資源描述:
《通過訪問控制列表禁止QQ游戲.doc》由會(huì)員上傳分享�����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1����、通過訪問控制列表禁止QQ游戲前言:當(dāng)今世界網(wǎng)絡(luò)發(fā)展飛快,各企業(yè)單位都在建設(shè)局域網(wǎng)并加入了互聯(lián)網(wǎng)�����。但是有些網(wǎng)絡(luò)不僅沒用得到很好的利用�����,反而適得其反��。比如上班族放著事情不做���,常常在上班時(shí)間玩游戲�、聊天����,怎么樣去阻止這種行為呢?運(yùn)用訪問控制列表來是一種又靈活又普遍的維護(hù)網(wǎng)絡(luò)的一種技術(shù)��。[關(guān)鍵字]:ACL一��、ACL概述如果某公司的員工成天泡網(wǎng)�、QQ聊天、網(wǎng)絡(luò)游戲等現(xiàn)象��,如何在上班時(shí)間禁止玩QQ和網(wǎng)絡(luò)游戲呢��,如何將一個(gè)網(wǎng)絡(luò)有效的管理起來了���?這就可以用路由器的ACL來解決類似問題���。訪問控制列表(ACL(AccessControlList,
2�、訪問控制列表)是應(yīng)用在路由器接口的指令列表���。訪問控制列表,是最簡單的數(shù)據(jù)控制指令����。它能告訴路由器哪些能數(shù)據(jù)所可以收,哪些數(shù)據(jù)需要拒絕�����。它是一種主機(jī)防護(hù)技術(shù)����,但與傳統(tǒng)的主機(jī)的防火墻、主機(jī)防病毒或主機(jī)入侵檢測等防護(hù)技術(shù)的功能卻不同����。(一)、ACL的原理訪問控制列表按照不同場合應(yīng)用可分很多種�����,基本上分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表���。標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾�,使用的訪問控制列表號(hào)來創(chuàng)建相應(yīng)的ACL����。標(biāo)準(zhǔn)訪問控制列表檢查路由的數(shù)據(jù)包的源地址,從而允許或拒絕基于網(wǎng)絡(luò)�����、子網(wǎng)或主機(jī)的IP地址的所有通信流量通
3����、過路由器的端口。ACL使用包過濾技術(shù)���,在路由器上讀取第三層及第四層包頭中的信息(如源地址���、目的地址、源端口�、目的端口等),根據(jù)預(yù)先設(shè)定義好的規(guī)則對包進(jìn)行過濾�����,從而達(dá)到訪問控制的目的��,它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用,也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理�,為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段。但是�����,如果希望將過濾細(xì)到端口��,或者對數(shù)據(jù)包的目的地址進(jìn)行過濾���,就如同前言里的問題�����,這時(shí)候使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個(gè)特定服務(wù)(例如WWW���,F(xiàn)TP等)。擴(kuò)展訪問控制列表使用的ACL號(hào)和標(biāo)準(zhǔn)訪問控
4����、制列表使用的ACL號(hào)也有不同,其擴(kuò)展訪問列表號(hào)為100到199����。(二)��、訪問控制列表命令的基本格式要使用訪問控制列表,必須要在全局模式下�。建立訪問控制列表的命令。路由器一開機(jī)�,進(jìn)去的那個(gè)界面提示符是“>”,如果是這樣子���,”router>”是執(zhí)行模式���,這就要先進(jìn)入特權(quán)模式(也就是用戶在此模式下輸入“enable”),這樣提示符就是“router#”����,在特權(quán)命令提示符下鍵入configureterminal的命令就可以進(jìn)入全局配置模式。在全局模式中就可以設(shè)置訪問控制列表了���。Rorter(config)#access-listacc
5����、ess-list-number{permit
6����、deny}{test-conditions}注:acce4ss-list-number是訪問控制列表的序列號(hào)���。Permit(允許)和deny(拒絕)先其中一個(gè)。Test-conditions是用來與數(shù)據(jù)包的信息比較的條件�����。在建立完訪問控制列表之后�,要在接口上應(yīng)用它,命令如下:Router(config-if)#{protocol}access-groupaccess-list-number如果要?jiǎng)h除已經(jīng)建立的訪問控制列表�,命令如下:Rorter(config)#noaccess-l
7、istaccess-list-number(三)���、設(shè)計(jì)訪問控制列表時(shí)需考慮的規(guī)則1�����、自上而下的處理方式訪問表表項(xiàng)的檢測按自上而下的順序進(jìn)行���,并且從第一個(gè)表項(xiàng)開始,所以必須考慮在訪問表中放入語句的次序���。2�����、添加表項(xiàng)新的表項(xiàng)被添加到訪問表的末尾���,也就是說��,不可能改變已有訪問表的功能。如果要改變�,就必須創(chuàng)建一個(gè)新訪問表并刪除已存在的訪問表,并且將新訪問表用于接口上��。??3�、訪問表位置盡量考慮將擴(kuò)展的訪問表放在靠近過濾源的位置上,這樣創(chuàng)建的過濾器就不會(huì)反過來影響其他接口上的數(shù)據(jù)流�。另外,盡量使標(biāo)準(zhǔn)的訪問表靠近目的��,由于標(biāo)準(zhǔn)訪問表只使用
8��、源地址�,因此將其靠近源會(huì)阻止報(bào)文流向其他端口。4�����、語句的位置由于IP協(xié)議包含ICMP、TCP和UDP��,所以應(yīng)將更為具體的表項(xiàng)放在不太具體的表項(xiàng)前面�,以保證位于另一語句前面的語句不會(huì)否定表中后面語句的作用效果。5�、其他注意事項(xiàng)如果沒有access-list,則等于permitany�����。一旦添加了訪問表�,最后缺省為denyany。二�����、實(shí)例假如這個(gè)公司使用的是CISCO2620路由器的NAT功能上網(wǎng)�,Web和Mail都是通過NAT的端口映射實(shí)現(xiàn)的。首先��,打開QQ以后�,在防火墻里可以看到QQ正在和服務(wù)器UDP8080端口進(jìn)行通訊,那么我
9��、們要做的就是禁止源地址UDP8080端口����。Router(config)#access-list111UDPdenyanyanyeq8080Router(config)#access-list111TCPpermitanyanyRouter(config)#access-lis
