思科路由器反向访问控制列表配置

  在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。

配置实例:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。

access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established Cisco 模拟器 定义ACL101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。

设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播。

检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。

通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的 ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。

时间: 2024-10-29 19:41:11

思科路由器反向访问控制列表配置的相关文章

反向访问控制列表的用途及格式

我们使用 访问控制列表除了合理管理 网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃.这样就可以有效的防范病毒的攻击.不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法 估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度.这时我们可以使用反向控制列表来解决以上的问题.一.反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用

思科路由器的DM VPN配置过程

在本文中,我们以图解教程的方式为您详解思科路由器的DM VPN配置过程.

思科路由器的静态路由配置

拓朴结构 在Router1上配置全部代码 Router>enable Router#conf Router(config)#int f0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#int s2/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(confi

编程实现遍历ACL访问控制列表检查进程访问权限

阅读本文的朋友需要对Windows访问控制模型有初步的了解,了解Token(访问令牌),ACL(访问控制列表),DACL(选择访问控制列表),ACE(访问控制列表项)等与访问控制模型相关的名词含义及之间的关系,当然我也会在文中简要科普一下ACM. 写这篇文章的目的主要是最近在写一个Win下本地提权的东西,涉及到了对ACL的操作,以前对ACL总是避而远之,Windows访问控制模型很复杂很头疼一个API会牵出一大把初始化要用的API.毕竟涉及到用户访问的安全,肯定不能让编程人员随意更改这些机制,复

在路由器上配置自反访问控制列表

自反访问列表会根据一个方向的 访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表. 那么如何在路由器上完成自反访问控制列表的配置呢?下面我们开始逐步进行:注意必须是内部发起的!用命名的ACL做.不是很好理解,看个例子吧.先看下面的:ipaccess-listextendedabc denyicmpany192.168.1.00.0.0.255 permitipanyany exit ints0/0 ipacce

在路由器上配置动态访问控制列表

通过配置动态 访问控制列表,可以进行哪些操作呢? 那么要如何进行操作呢?文章给出了详细的配置步骤,同时附有配置命令和注意事项.这种ACL是基于lock-and-key的,动态acl平时是不生效的,只用当条件触发时才生效. 例如:在某台路由器上我进行了 如下配置: username netdigedu password 123username netdigedu autocommand access-enable host time 5line vty 0 4login local同时配置一个动态

思科路由器简易安全配置

  很多初级网络管理员在使用思科路由器时都会忽略安全设置,以下三个方面非常适合初级的应用者在使用思科路由器时对网络安全进行配置. 一,路由器"访问控制"的安全配置 1,严格控制可以访问路由器的管理员.任何一次维护都需要记录备案. 2,建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制. 3,严格控制CON端口的访问.具体的措施有: A,如果可以开机箱的,则可以切断与CON口互联的物理线路. B,可以改变默认的连接属性,例如修改波特率(默认是96000

在三层交换机上如何配置访问控制列表?进入到interface fa0/2后该怎么做?

问题描述 在三层交换机上如何配置访问控制列表?进入到interface fa0/2后该怎么做? 在三层交换机上如何配置访问控制列表?求解.进入到interface fa0/2后该怎么做? 解决方案 http://wenku.baidu.com/link?url=Gr9SaIT2HDgogf9dH1r-XrYrl6_Q56GvcLD8b3cLXnAaKd1Xw6tIoCUwIyaS4fnqh-v2UcPNasJ-YM0lFG5VDXsbyMLjN04KTwd3TCRrFau

思科路由器IKEV2 L2LVPN预共享密码认证最简化配置

一.概述: 思科路由器对于IKEV2,是有很多预配的,因此可以很少的配置就能完成IKEV2的配置. 二.基本思路: A.两边都用SVTI的方式配置Flex VPN B.没有用动态路由,配置静态路由,如果一边用DVTI,则需要两边配置静态路由 三.测试拓扑: 四.Flex VPN的配置: A.R2: crypto ikev2 keyring KeyRing peer 202.100.2.1 address 202.100.2.1 pre-shared-key cisco crypto ikev2