【正文】 某些強大的含義當Access Lists過濾IP和IPX數(shù)據(jù)包的時候。 有兩類Access Lists類型使用IP和IPX： standard Access Lists: 只過濾網(wǎng)絡(luò)來源IP地址，基本上許可或者拒絕全部的協(xié)議，IPX standards可以過濾來源和目標IPX地址 extended access list：它檢查來源和目標IP地址，網(wǎng)絡(luò)層報頭的協(xié)議段，和傳輸層報頭端口編號，IPX extended Access List 使用來源和目標IPX地址，網(wǎng)絡(luò)層報頭的協(xié)議段，和傳輸層報頭socket 編號 一旦你建立了一個Access Lists，你應用它到一個inbound or outbound list 接口 inbound Access Lists: 數(shù)據(jù)包路由到outbound接口之前，先通過Access Lists處理。 outbound Access Lists:數(shù)據(jù)包路由到outbound接口然后處理它通過Access Lists。 仍有一些Access Lists方針當建立和實現(xiàn)Access Lists在一個路由器時我們應該遵循，你可以只分配一個Access Lists到一個接口，一個協(xié)議，或者一個方向，這個意思是你只能有一個inbound Access Lists和一個ountbound Access Lists在一個接口組織你Access Lists以便更多的明確的測試在Access Lists的頂端，在任何時候一個新的Lists加到Access Lists將被放在list的底部你不能移動Access Lists里面的line， 如果你想移動它你將移動全部的list, 最好在編輯它之前拷貝Access Lists到一個正文編輯。它只例外情況當使用名字Access Lists。 除非你在到達Access Lists的結(jié)束之前獲得許可，所有的數(shù)據(jù)包將會丟棄，否則你只有關(guān)閉接口了。 建立一個Access Lists和應用它他到一個接口，任何Access Lists 到接口的將無法應用如果沒有一個Access Lists呈遞。 Access Lists是設(shè)計應用到過濾通過路由器交通，所以他們只會過濾到路由器的數(shù)據(jù)包而不會過濾來自路由器的數(shù)據(jù)包。 把IP standard Access Lists盡量放在接近目標的地方 把IP extended Access Lists盡量放在接近來源的地方 standard IP access lists 這使用來源IP地址，你使用Access Lists編號199建立一個standard IP Access Lists Router(config) accesslist 10 deny .......... 現(xiàn)在有三個選擇可供使用，你可以使用任何命令去許可或者拒絕任何主機或者網(wǎng)絡(luò)， 你可以使用一個IP地址去指定或者匹配一個明確的網(wǎng)絡(luò)或者IP主機， 你可以使用host命令去只指定一個明確的的主機 Router(config) accesslist 10 deny host Router(config) accesslist 10 deny Router(config) accesslist 10 deny any 也可以用下面的 Router(config) accesslist 10 deny 不過也有另一個方法來指定一個主機，你可以使用通配符，去指定一個網(wǎng)絡(luò)或者一個子網(wǎng)，你沒有選擇但可以使用通配符在Access Lists Wildcards 它是Access Lists指定使用一個主機，網(wǎng)絡(luò)，或者一部分網(wǎng)絡(luò)，你需要了解block sizes。block sizes是使用來指定一個地址范圍，下面顯示某些不同的block sizes可供使用。 64 32 16 8 4 當你需要指定一個地址范圍時，你選擇最接近最大的的block size，如果你需要指定34 networks. 你需要64，如果你要指定18 主機，你需要32， 到 158=7 7最接近8 從07就是8的原因 standard IP Access List example router(config)accesslist 10 deny router(config)accesslist 10 permit any= 訪問列表設(shè)完，下面是應用到接口 router(config)int e0 router(configif) ip accessgroup 10 out 以上結(jié)果是所有從ethernet 0的接， extended ip Access List 在標準IP訪問列表里，注意到你該如果阻止全部來自某處的子網(wǎng), 如果你想他們只能獲得訪問幾個服務器該如何做呢？在標準的訪問列表里，你不能允許用戶只用網(wǎng)絡(luò)的一部份，不過擴展IP訪問列表可能解決這個問題，它允許你選擇你的IP來源和目標地址，還有可以選擇端口號碼。 router(config)accesslist 110 deny ? tcp ........... ip .................. 在這里你要選擇訪問列表類型，這是非常重要的，你一定要明白如果你想使用應用程序過濾，你必須選擇一個允許你通IOS模式的網(wǎng)絡(luò)協(xié)議項目，實例1，如果你要過濾telnet或者ftp，你必須選擇TCP，如果你選擇IP，你將不能離開網(wǎng)絡(luò)層，這樣你就不能允許任何更高層的過濾。 router(config)accesslist 110 deny tcp any host eq 23 ftp 但這樣其實你會拒絕所有的通信，因為訪問列表里找不到的將全部被拒絕，所以你要 router(config)accesslist 110 permit ip any any router(configif) ip accessgroup 110 in monitoring ip access lists show accesslist : 顯示所有，但看不到訪問列表接到哪一種接口 show accesslist 110: 顯示110的所有，但看不到訪問列表接到哪一種接口 show ip accesslist: 只顯示路由器的IP訪問列表 show ip interface: 顯示哪一個接口設(shè)置哪一種訪問列表 show run: 顯示所有訪問列表和接口 IPX access lists IPX standard: 過濾來源，目標，主機，網(wǎng)絡(luò)號碼（800899） ipx extended: 過濾來源，目標，主機，網(wǎng)絡(luò)號碼, socket number（900999) ipx sap filter:控制SAP交通(1001099) IPX standard: router(config)accesslist 810 permit 20 40 router(config)int e0 router(configif)ipx accessgroup 810 out ipx extended accesslist number permit/deny protocol source socket destination socket ipx SAP: accesslist number permit/deny source service type accesslist 1010 permit 1(=any) 4 sales(=sap server name) router(configif)ipx inputsapfilter(從項目中停止所有的 SAP更新） router(configif)ipx outputsapfilter（停止某些SAP傳出定期的60秒SAP更新） verity ipx access list routersh ipx int routersh ipx access 傳統(tǒng)的Linux文件系統(tǒng)的權(quán)限控制是通過user、group、other與r（讀）、w（寫）、x（執(zhí)行）的不同組合來實現(xiàn)的。隨著應用的發(fā)展，這些權(quán)限組合已不能適應現(xiàn)時復雜的文件系統(tǒng)權(quán)限控制要求。例如，我們可能需把一個文件的讀權(quán)限和寫權(quán)限分別賦予兩個不同的用戶或一個用戶和一個組這樣的組合。傳統(tǒng)的權(quán)限管理設(shè)置起來就力不從心了。為了解決這些問題，Linux開發(fā)出了一套新的文件系統(tǒng)權(quán)限管理方法，叫文件訪問控制列表（Access Control Lists，ACL）。要啟用ACL，需內(nèi)核提供ACL支持和安裝ACL管理工具。，在編譯內(nèi)核時只要在file systems分支下，把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists選中就可以了。用以下命令掛接硬盤啟用文件系統(tǒng)ACL。debian:~ mount t ext2 o acl /dev/hda1 /mnt/hda1我們也可把選項寫到/etc/fstab文件中，在需啟用acl的分區(qū)選項包含acl參數(shù)。ACL有兩種，一種是存取ACL（access ACLs），針對文件和目錄設(shè)置訪問控制列表。一種是默認ACL（default ACLs），只能針對目錄設(shè)置。如果目錄中的文件沒有設(shè)置ACL，它就會使用該目錄的默認ACL。要設(shè)置ACL，首先要安裝管理工具，它們分別是getfacl和setfacl，在debian中只要安裝acl軟件包即可。debian:~ aptget install aclsetfacl工具可為文件和目錄ACL，命令格式如下：setfacl m rules的格式如下，多條規(guī)則間可用逗號分隔。u:uid:perms 為用戶設(shè)置ACL，perms為r、w、x的組合g:gid:perms 為組設(shè)置ACLo:perms 為其它組設(shè)置ACLm:perms 設(shè)置有效權(quán)限屏蔽下面是setfacl的實例：debian:~ setfacl m u:jims:rw m選項表示添加或修改文件或目錄的權(quán)限訪問列表debian:~ setfacl x u:jims:rw x選項表示刪除文件或目錄的訪問列表要設(shè)置默認的ACL，只在rules前加一個d:，以表示指定一個目錄，如：debian:getfacl file: owner: jims group: jimsuser::rwxgroup::rother::r什么是訪問控制列表？訪問控制列表在Cisco IOS軟件中是一個可選機制，可以配置成過濾器來控制數(shù)據(jù)包，以決定該數(shù)據(jù)包是繼續(xù)向前傳遞到它的目的地還是丟棄。為什么要使用訪問控制列表？最初的網(wǎng)絡(luò)只是連接有限的LAN和主機，隨著路由器連接內(nèi)部和外部的網(wǎng)絡(luò)，加上互聯(lián)網(wǎng)的普及，控制訪問成為新的挑戰(zhàn)，網(wǎng)絡(luò)管理員面臨兩難的局面：如何拒絕不期望的訪問而允許需要的訪問？訪問控制列表增加了在路由器接口上過濾數(shù)據(jù)包出入的靈活性，可以幫助管理員限制網(wǎng)絡(luò)流量，也可以控制用戶和設(shè)備對網(wǎng)絡(luò)的使用，它根據(jù)網(wǎng)絡(luò)中每個數(shù)據(jù)包所包含的信息內(nèi)容決定是否允許該信息包通過接口。訪問控制列表有哪些類型？訪問控制列表主要可以分為以下兩種：A、標準訪問控制列表：標準訪問控制列表只能夠檢查可被路由的數(shù)據(jù)包的源地址，根據(jù)源網(wǎng)絡(luò)、子網(wǎng)、主機IP地址來決定對數(shù)據(jù)包的拒絕或允許，使用的局限性大，其序列號范圍是199。B、擴展訪問控制列表：擴展訪問控制列表能夠檢查可被路由的數(shù)據(jù)包的源地址和目的地址，同時還可以檢查指定的協(xié)議、端口號和其他參數(shù)，具有配置靈活、精確控制的特點，其序列號的范圍是100199。以上兩種類型都可以基于序列號和命名來配置，我們建議使用命名來配置訪問控制列表，這樣在以后的修改中也是很方便的。訪問控制列表具有什么樣的特點？A、它是判斷語句，只有兩種結(jié)果，要么是拒絕(deny),要么是允許(permit)；B、它按照由上而下的順序處理列表中的語句；C、處理時，不匹配規(guī)則就一直向下查找，一旦找到匹配的語句就不再繼續(xù)向下執(zhí)行；D、在思科中默認隱藏有一條拒絕所有的語句，也就默認拒絕所有(any)。由上面的特點可以總結(jié)出，訪問控制列表中語句的順序也是非常重要的，另外就是所配置的列表中必須有一條允許語句。配置訪問控制列表需要注意什么？A、訪問控制列表只能過濾流經(jīng)路由器的流量，對路由器自身發(fā)出的數(shù)據(jù)包不起作用。B、一個訪問控制列表中至少有一條允許語句。配置訪問控制列表的步驟是什么？第一步：創(chuàng)建訪問控制列表：accesslist accesslistnumber {deny|permit} {test conditions}//accesslistnumber：序列號，這個地方也可以寫命名的名稱；//deny：拒絕；//permit：允許；//test conditions：過濾條件語句第二步：應用訪問控制列表：A、首先要進入接口模式；B、ip accessgroup accesslistnumber {in|out}標準訪問控制列表的格式：accesslist [list number| word] [permit|deny] [source address] [wildcard mask]//[list number|word]列表序列號或者命名//[permit|deny]允許或者拒絕//[source address]源IP地址//[wildc