【题目】网络技术区专题活动－55

金算盘

什么是访问控制列表ACL.它可以为我们带来些什么.请举例进行说明.也可以在模拟器上举例说明.

ibmibeicafy

ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，后来扩展到三层交换机，部分二层交换机如2950之类也提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

使用ACL，可以用来：
限制网络流量；
提供流量控制；
提供网络访问的基本安全级别；
在路由器接口决定那种流量被控制。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。要达到更多的功能，需要和系统级及应用级的访问权限控制结合使用。

[ Last edited by ibmibeicafy on 2005-3-21 at 19:48 ]

ibmibeicafy

为每个ACL分配一个编号，唯一的。
然后应用到某个接口。
下例中定义了ACL1并应用到earthnet 0上。

ibmibeicafy

刚才的是最简单标准访问控制列表。
下面看一个最简单的扩展的。
见图：
这里有两条语句，第一条允许172.16.10.0网段的机器使用telnet访问其他网段，第二条禁止172.16.10.0网段的机器使用ftp访问其它网段。

nikon4500

楼上的强啊

flyfrog

理论楼上都说了，我来个应用实例吧，对抗病毒
封掉icmp协议，封掉netbios等，还有RPC服务常用端口，防止冲击波振荡波病毒的扩散

access-list 115 deny   icmp any any echo
access-list 115 deny   icmp any any echo-reply
access-list 115 deny   udp any any eq 1434
access-list 115 deny   tcp any any eq 135
access-list 115 deny   udp any any eq 135
access-list 115 deny   udp any any eq netbios-ns
access-list 115 deny   udp any any eq netbios-dgm
access-list 115 deny   tcp any any eq 139
access-list 115 deny   udp any any eq netbios-ss
access-list 115 deny   tcp any any eq 445
access-list 115 deny   tcp any any eq 593
access-list 115 deny   tcp any any eq 3389
access-list 115 deny   tcp any any eq 1025
access-list 115 deny   tcp any any eq 2745
access-list 115 deny   tcp any any eq 3127
access-list 115 deny   tcp any any eq 6129
access-list 115 deny   tcp any any eq 4444
access-list 115 deny   tcp any any eq 5554
access-list 115 deny   tcp any any eq 9996
access-list 115 deny   tcp any any eq 1068
access-list 115 permit ip any any

金算盘

此题目ID: ibmibeicafy获胜,奖励NB,记入排名榜.ID: flyfrog,作为补充使答案更加完善,奖励小花了,谢谢大家的参与.