两极人生,八度空间

Fight for my CISSP and PMP

首页 新随笔 联系 聚合 管理
  156 Posts :: 22 Stories :: 67 Comments :: 0 Trackbacks
在日常工作中,在安全控制中,应用一些必要的访问策略来限制非授权的访问时十分必要的。使用方便的访问列表也许是最佳选择之一。要熟练的用应用访问列表。那么则需要掌握各种访问列表。下面主要从两类访问列表来总结:
1.标准访问列表
2.扩展访问列表
首先讨论标准访问列表的一些基本知识,它的应用范围及应该注意的事项
1.标准访问列表
如何创建?
Access-list list number deny/permit source address wildcard mask log
list number的范围在标准访问列表中是1-99,这个范围的列表号表明它于IP协议有关。标准访问列表主要基于目标地址的数据包的过滤。source address就是要控制的目标地址,wildcard mask是通配符掩码,就是是子网掩码的补充,它的计算方法可以根据子网掩码计算,比如子网掩码是255.255.255.192,那么此4个十进制点隔的地址依次减去255,即可得0.0.0.64,所谓的通配符掩码。0表示必许匹配条件
针对目标网络或者目标主机要创建一条标准列表,该如何实施呢首先要清楚,在访问列表的最低端默认隐藏着deny any的策略。
如:access-list 1 permit 10.2.11.0 0.0.0.255 log 就是允许来自网络10.2.11.0的数据包通过,并在缓存中记录日志。
    access-list 2 deny  host 10.2.11.50    拒绝来自主机10.2.11.50上的数据包,其中host关键字等价于通配符码为0.0.0.0
    access-list 2 permit any
2.扩展访问列表
扩展访问列表可以基于源地址,目标地址,源端口,目标端口,使用的网络协议(tcp,udp,icmp,ftp,http)来实现数据包的过滤和访问限制
格式:access-list list number permit/deny [protocol]prototol-keyword[source address wildcard mask][source-port] [destination- address wildcard mask][destination-port][log option]
扩展访问列表的列表号范围100-199.在交换机或者路由器上维护访问列表,要删掉其中的访问列表,要特别注意,如果你的列表是标准访问列表,当你使用no access-list命令时,会将所有的访问列表清除。而扩展访问列表不存在这种不方便。你尽可使用no access-list list-number进行删除。
如何创建?access-list 101 permit protocol tcp any 10.1.1.0 0.0.0.255
          access-list 102 permit protocol tcp any 198.61.12.50 0.0.0.0 eq smtp 允许任何主机的tcp报文到达特定主机198.61.12.50的smtp端口
          access-list 102 permit protocol tcp any 198.61.12.8 0.0.0.0 eq www  允许任何主机的tcp报文到达特定主机198.61.12.8的http服务端口(80)端口。
3.创建了两类列表如何将之应用呢?
必须清楚要将列表应用到那些接口。如interface vlan 2
                                  ip access-group 101 in
或者 interface serial 1
     ip access-group 102 in


posted on 2008-10-16 11:24 Jerome 阅读(750) 评论(3)  编辑 收藏 引用 所属分类: Cisco Network TechnologyTelecommunication and Network Security

Feedback

# re: 访问列表学习总结 2008-10-22 20:46 金山毒霸2008
除了访问列表、通过程序代理可是不错的,就是难一些。  回复  更多评论
  

# re: 访问列表学习总结 2008-10-29 09:54 Jerome
@金山毒霸2008
人类最高的智慧,就是用最简单的方式最好的完成我们想做的事。  回复  更多评论
  

# re: 访问列表学习总结 2009-03-31 09:09 虚拟主机
Jerome 说的不错  回复  更多评论
  

只有注册用户登录后才能发表评论。