在172.16.4.0/24網段中的計算機都是伺服器,我們透過反向ACL設定保護這些伺服器免受來自172.16.3.0這個網段的病毒攻擊。
配置例項:禁止病毒從172.16.3.0/24這個網段傳播到172.16.4.0/24這個伺服器網段。
Access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established Cisco 模擬器 定義ACL101,容許所有來自172.16.3.0網段的計算機訪問172.16.4.0網段中的計算機,前提是TCP連線已經建立了的。當TCP連線沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。
設定完畢後病毒就不會輕易的從172.16.3.0傳播到172.16.4.0的伺服器區了。因為病毒要想傳播都是主動進行TCP連線的,由於路由器上採用反向ACL禁止了172.16.3.0網段的TCP主動連線,因此病毒無法順利傳播。
檢驗反向ACL是否順利配置的一個簡單方法就是拿172.16.4.0裡的一臺伺服器PING在172.16.3.0中的計算機,如果可以PING通的話再用172.16.3.0那臺計算機PING172.16.4.0的伺服器,PING不通則說明ACL配置成功。
透過上文配置的反向ACL會出現一個問題,那就是172.16.3.0的計算機不能訪問伺服器的服務了,假如圖中172.16.4.13提供了WWW服務的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再新增一個擴充套件ACL規則,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www這樣根據“最靠近受控物件原則”即在檢查ACL規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的 ACL語句。172.16.3.0的計算機就可以正常訪問該伺服器的WWW服務了,而下面的ESTABLISHED防病毒命令還可以正常生效。
思科路由器反向訪問控制列表配置
相關文章
- 配置 Linux 的訪問控制列表(ACL)Linux
- JoomlaACL訪問控制列表OOM
- IOS - ACL (訪問控制列表)iOS
- 思科路由器基本配置命令路由器
- Redis 6.0 訪問控制列表ACL說明Redis
- 用訪問控制列表實現網路單向訪問(轉)
- ora-24247 :網路訪問被訪問控制列表(ACL)拒絕
- Windows原理深入學習系列-訪問控制列表Windows
- 交換技術:反向訪問列表在實際中的應用(轉)
- 演示:動態訪問控制列表(帶鎖的ACL)
- 如何使用自籤CA配置HTTPS加密反向代理訪問?HTTP加密
- HCNA Routing&Switching之訪問控制列表ACL
- 新手學堂:防火牆概念與訪問控制列表(轉)防火牆
- 網路訪問控制列表ACL(讀懂這篇就基本夠了,後面有配置案例)
- nginx的高階配置(5)——訪問控制Nginx
- 程式設計實現遍歷ACL訪問控制列表檢查程式訪問許可權程式設計訪問許可權
- 配置ACL在網路服務中訪問控制
- 如何用路由器控制上網時間及其訪問的網站路由器網站
- Mongodb訪問控制MongoDB
- Flask——訪問控制Flask
- RabbitMQ訪問控制MQ
- Nginx訪問控制Nginx
- Swift 訪問控制Swift
- Linux之facl----設定檔案訪問控制列表(詳解)Linux
- 檔案和目錄的訪問控制(2)新增訪問控制
- ABAC訪問控制模型模型
- 支援 ACL 訪問控制、引入 HOCON 全新配置檔案格式
- 通過CiscoSDM登入思科路由器路由器
- HTTP之訪問控制「CORS」HTTPCORS
- Vue前端訪問控制方案Vue前端
- Ubuntu 增加埠訪問控制Ubuntu
- Swift 中的訪問控制Swift
- web application 訪問控制WebAPP
- 控制資料訪問(一)
- openGauss 訪問控制模型模型
- 如何解決ORACLE11G裡面ORA-24247 網路訪問被訪問控制列表 (ACL) 拒絕 錯誤Oracle
- 配置hosts訪問githubGithub
- 版本控制常見問題列表——版本控制心得(三) (轉)