資源描述:
《通過(guò)訪問(wèn)控制列表禁止QQ游戲.doc》由會(huì)員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1���、通過(guò)訪問(wèn)控制列表禁止QQ游戲前言:當(dāng)今世界網(wǎng)絡(luò)發(fā)展飛快����,各企業(yè)單位都在建設(shè)局域網(wǎng)并加入了互聯(lián)網(wǎng)�。但是有些網(wǎng)絡(luò)不僅沒用得到很好的利用,反而適得其反�。比如上班族放著事情不做,常常在上班時(shí)間玩游戲���、聊天��,怎么樣去阻止這種行為呢��?運(yùn)用訪問(wèn)控制列表來(lái)是一種又靈活又普遍的維護(hù)網(wǎng)絡(luò)的一種技術(shù)��。[關(guān)鍵字]:ACL一�����、ACL概述如果某公司的員工成天泡網(wǎng)����、QQ聊天、網(wǎng)絡(luò)游戲等現(xiàn)象�,如何在上班時(shí)間禁止玩QQ和網(wǎng)絡(luò)游戲呢,如何將一個(gè)網(wǎng)絡(luò)有效的管理起來(lái)了��?這就可以用路由器的ACL來(lái)解決類似問(wèn)題��。訪問(wèn)控制列表(ACL(AccessControlList�,
2、訪問(wèn)控制列表)是應(yīng)用在路由器接口的指令列表��。訪問(wèn)控制列表����,是最簡(jiǎn)單的數(shù)據(jù)控制指令。它能告訴路由器哪些能數(shù)據(jù)所可以收�,哪些數(shù)據(jù)需要拒絕。它是一種主機(jī)防護(hù)技術(shù)�,但與傳統(tǒng)的主機(jī)的防火墻、主機(jī)防病毒或主機(jī)入侵檢測(cè)等防護(hù)技術(shù)的功能卻不同����。(一)、ACL的原理訪問(wèn)控制列表按照不同場(chǎng)合應(yīng)用可分很多種,基本上分為標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表����。標(biāo)準(zhǔn)訪問(wèn)控制列表是通過(guò)使用IP包中的源IP地址進(jìn)行過(guò)濾����,使用的訪問(wèn)控制列表號(hào)來(lái)創(chuàng)建相應(yīng)的ACL。標(biāo)準(zhǔn)訪問(wèn)控制列表檢查路由的數(shù)據(jù)包的源地址���,從而允許或拒絕基于網(wǎng)絡(luò)���、子網(wǎng)或主機(jī)的IP地址的所有通信流量通
3、過(guò)路由器的端口��。ACL使用包過(guò)濾技術(shù)�,在路由器上讀取第三層及第四層包頭中的信息(如源地址、目的地址��、源端口、目的端口等)�����,根據(jù)預(yù)先設(shè)定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的�����,它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用��,也可以按照網(wǎng)段進(jìn)行大范圍的訪問(wèn)控制管理��,為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段����。但是,如果希望將過(guò)濾細(xì)到端口����,或者對(duì)數(shù)據(jù)包的目的地址進(jìn)行過(guò)濾,就如同前言里的問(wèn)題���,這時(shí)候使用擴(kuò)展IP訪問(wèn)列表可以有效的容許用戶訪問(wèn)物理LAN而并不容許他使用某個(gè)特定服務(wù)(例如WWW�����,F(xiàn)TP等)�����。擴(kuò)展訪問(wèn)控制列表使用的ACL號(hào)和標(biāo)準(zhǔn)訪問(wèn)控
4�、制列表使用的ACL號(hào)也有不同�,其擴(kuò)展訪問(wèn)列表號(hào)為100到199。(二)��、訪問(wèn)控制列表命令的基本格式要使用訪問(wèn)控制列表�,必須要在全局模式下�����。建立訪問(wèn)控制列表的命令�����。路由器一開機(jī)�,進(jìn)去的那個(gè)界面提示符是“>”,如果是這樣子��,”router>”是執(zhí)行模式�,這就要先進(jìn)入特權(quán)模式(也就是用戶在此模式下輸入“enable”),這樣提示符就是“router#”�,在特權(quán)命令提示符下鍵入configureterminal的命令就可以進(jìn)入全局配置模式。在全局模式中就可以設(shè)置訪問(wèn)控制列表了。Rorter(config)#access-listacc
5����、ess-list-number{permit
6、deny}{test-conditions}注:acce4ss-list-number是訪問(wèn)控制列表的序列號(hào)��。Permit(允許)和deny(拒絕)先其中一個(gè)��。Test-conditions是用來(lái)與數(shù)據(jù)包的信息比較的條件����。在建立完訪問(wèn)控制列表之后,要在接口上應(yīng)用它�,命令如下:Router(config-if)#{protocol}access-groupaccess-list-number如果要?jiǎng)h除已經(jīng)建立的訪問(wèn)控制列表,命令如下:Rorter(config)#noaccess-l
7�����、istaccess-list-number(三)��、設(shè)計(jì)訪問(wèn)控制列表時(shí)需考慮的規(guī)則1�、自上而下的處理方式訪問(wèn)表表項(xiàng)的檢測(cè)按自上而下的順序進(jìn)行,并且從第一個(gè)表項(xiàng)開始��,所以必須考慮在訪問(wèn)表中放入語(yǔ)句的次序����。2��、添加表項(xiàng)新的表項(xiàng)被添加到訪問(wèn)表的末尾����,也就是說(shuō)�,不可能改變已有訪問(wèn)表的功能。如果要改變�����,就必須創(chuàng)建一個(gè)新訪問(wèn)表并刪除已存在的訪問(wèn)表���,并且將新訪問(wèn)表用于接口上。??3����、訪問(wèn)表位置盡量考慮將擴(kuò)展的訪問(wèn)表放在靠近過(guò)濾源的位置上,這樣創(chuàng)建的過(guò)濾器就不會(huì)反過(guò)來(lái)影響其他接口上的數(shù)據(jù)流�。另外,盡量使標(biāo)準(zhǔn)的訪問(wèn)表靠近目的���,由于標(biāo)準(zhǔn)訪問(wèn)表只使用
8�、源地址,因此將其靠近源會(huì)阻止報(bào)文流向其他端口���。4���、語(yǔ)句的位置由于IP協(xié)議包含ICMP、TCP和UDP��,所以應(yīng)將更為具體的表項(xiàng)放在不太具體的表項(xiàng)前面���,以保證位于另一語(yǔ)句前面的語(yǔ)句不會(huì)否定表中后面語(yǔ)句的作用效果�。5�、其他注意事項(xiàng)如果沒有access-list,則等于permitany����。一旦添加了訪問(wèn)表,最后缺省為denyany��。二�����、實(shí)例假如這個(gè)公司使用的是CISCO2620路由器的NAT功能上網(wǎng)����,Web和Mail都是通過(guò)NAT的端口映射實(shí)現(xiàn)的��。首先����,打開QQ以后���,在防火墻里可以看到QQ正在和服務(wù)器UDP8080端口進(jìn)行通訊��,那么我
9�、們要做的就是禁止源地址UDP8080端口����。Router(config)#access-list111UDPdenyanyanyeq8080Router(config)#access-list111TCPpermitanyanyRouter(config)#access-lis
