:访问控制列表概述•访问控制列表()是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。•工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。•实际应用:阻止某个网段访问服务器。阻止网段访问网段,但网段可以访问网段。禁止某些端口进入网络,可达到安全性。二:标准・标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了网段,则网段下所有的主机都不能访问服务器,而网段下的主机却可以。用之间数字作为表号一般用于局域网,所以最好把标准应用在离目的地址最近的地方。•标准的配置:()表号禁止网段地址反掩码禁止某各网段或某个()表号(允许)注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。()接口进入想要应用此的接口(因为访问控制列表只能应用在接口模式下)()表号设置在此接口下为或为其中查看访问控制列表。•标准访问控制列表的工作原理。(每当数据进入路由器的每口接口下,都会进行以下进程。)•配置扩展访问控制列表。表号禁止协议源地址网段反掩目的地址网段反注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。如:想要拒绝一个具体的主机地址并且允许其他主机,那么要确保有关这个具体主机的条目最新出现。三:扩展•扩展访问控制列表对数据包源地址、目的地址、源端口、目的端口都进行检查。若使用扩展访问控制列表禁止某网段访问别的网段,则网段下所有主机不能访问网段,而网段下的主机可以访问网段。用之间数字作为表号一般用于外网,所以最好把扩展应用在离源地址最近的地方。码端口禁止网段(源网段)下的某协议(或某端口)访问网段(目的网段)()接口用此的接口进入想要()表号注:扩展默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。()表号激活该接口下咋访问控制列表,并根据实际情况设置此接口为常用端口及所属协议。端口号丿7炷J描述tcp/udp0-4未分配'20FTP--Date文件数据传输协议TCP21FTP:文件传输协TCP23Telnet终端连接TCP25SMPT简单右键服盖器TCP42Nameserver主机名字服务器UDP<53Domain域名服务器〔加小TCP/UDPWWWwwwj艮务TCP8098远程控制TCP扩展访问控制列表的工作原理:每当数据进入路由器的每口接口下,都会进行以下进程。)
