科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道恰当应用ACL访问控制列表 保证网络安全稳定

恰当应用ACL访问控制列表 保证网络安全稳定

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

恰当应用ACL访问控制列表 保证网络安全稳定

来源:IT实验室 2009年3月26日

关键字: 路由器 访问控制 ACL

  • 评论
  • 分享微博
  • 分享邮件

  单向屏蔽ICMP ECHO报文

  1.设置如下的访问控制列表

  access-list 100 permit icmp any 本地路由器广域地址 echo

  access-list 100 deny icmp any any echo

  access-list 100 permit ip any any

  2.在路由器相应端口上应用

  interface {外部网络接口} {网络接口号}

  ip access-group 100 in

  列表第一行,是允许外网主机可以PING通我方路由器广域口地址,便于外网进行网络测试。列表第二行,系禁止外网主机发起的任何ICMP ECHO 报文到达我方网络主机,杜绝了外网主机发起的“端口扫描器Nmap ping操作”。列表第三行允许所有的IP协议数据包通过,是保证不影响其他各种应用。端口应用上设置在入方向进行应用,保证了我方网络主机可PING通外网任意主机,便于我方进行网络连通性测试。

  防止病毒传播和黑客攻击

  针对微软操作系统的漏洞,一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等进行病毒传播和攻击,可如下设置访问控制列表阻止病毒传播和黑客攻击。

  1.设置如下的访问控制列表

  access-list 101 deny udp any any eq 135

  access-list 101 deny udp any any eq 137

  access-list 101 deny udp any any eq 138

  access-list 101 deny udp any any eq 1434

  access-list 101 deny tcp any any eq 135

  access-list 101 deny tcp any any eq 137

  access-list 101 deny tcp any any eq 139

  access-list 101 deny tcp any any eq 445

  access-list 101 deny tcp any any eq 4444

  access-list 101 deny tcp any any eq 5554

  access-list 101 deny tcp any any eq 9995

  access-list 101 deny tcp any any eq 9996

  access-list 101 permit ip any any

  2.在路由器相应端口上应用

  interface {外部网络接口} {网络接口号}

  ip access-group 101 in

  说明:在同一端口上应用访问控制列表的IN语句或OUT语句只能有一条,如需将两组访问列表应用到同一端口上的同一方向,需将两组访问控制列表进行合并处理,方能应用。

  利用访问控制列表实现QoS

  针对一些重要业务和特殊应用,使用时要求保证带宽,不用时又能将带宽让出来给其他应用,可用如下设置访问控制列表和数据包染色技术来实现。

  1.设置如下的访问控制列表

  access-list 102 permit ip 网段1IP 子网掩码 host 服务器1IP

  access-list 103 permit ip 网段2IP 子网掩码 host 服务器2IP

  access-list 104 permit ip 网段3IP 子网掩码 host 服务器3IP

  2.数据包染色标记

  class-map match-all Critical-1

  match ip dscp 34

  class-map match-all Critical-2

  match ip dscp 26

  class-map match-all Critical-3

  match ip dscp 35

  3.数据包染色分类

  class-map match-any Critical-1

  match access-group 102 /*匹配访问控制列表102 */

  class-map match-any Critical-2

  match access-group 103 /*匹配访问控制列表103 */

  class-map match-any Critical-3

  match access-group 104 /*匹配访问控制列表104 */

  4.策略定义

  policy-map AA

  class Critical-1

  bandwidth percent 10 /*定义保障带宽为基本带宽的10% */

  random-detect dscp-based /*定义路由器带宽拥塞时的数据包丢弃策略 */

  random-detect dscp 34 24 40 10

  /* 定义发生拥塞时DSCP=34数据包的最小丢包率/最大丢包率/丢弃概率分别是:24/40/10 */

  class Critical-2

  bandwidth percent 5

  random-detect dscp-based

  random-detect dscp 26 24 40 10

  classs Critical-3

  bandwidth percent 2

  random-detect dscp-based

  random-detect dscp 35 24 40 10

  5.在路由器相应端口上进行策略应用

  interface Serial0/0

  service-policy output AA

  如上设置后,即实现了在端口Serial0/0上符合访问控制列表102的业务保障带宽是基本带宽的10%,符合访问控制列表103的业务保障带宽为基本带宽的5%,符合访问控制列表104的业务保障带宽为基本带宽的2%。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章