压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　ACL部署原則：

　　ACL通過(guò)過(guò)濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來(lái)控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個(gè)地方。

　　原則：根據(jù)減少不必要通信流量的通行準(zhǔn)則，管理員應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來(lái)源處。

　　舉個(gè)例子：我們經(jīng)常見(jiàn)到對(duì)常見(jiàn)病毒端口進(jìn)行過(guò)濾的ACL，那么這種ACL應(yīng)用在哪里比較合適呢？

　　對(duì)于網(wǎng)絡(luò)中的用戶(hù)來(lái)說(shuō)，這個(gè)防病毒端口的過(guò)濾顯然用在最接近用戶(hù)的交換機(jī)上來(lái)做比較好，這樣可以從源頭上控制被感染的機(jī)器采用病毒端口進(jìn)行通訊，減少對(duì)其他交換機(jī)上用戶(hù)帶來(lái)的應(yīng)用。

　　如果要控制外網(wǎng)進(jìn)來(lái)的流量對(duì)服務(wù)器的端口訪問(wèn)過(guò)濾，那么這種限制就應(yīng)該放在這個(gè)網(wǎng)絡(luò)的出口處較好，這樣可以將這種非法流量從一開(kāi)始就拒之門(mén)外。當(dāng)然如果內(nèi)網(wǎng)也需要對(duì)服務(wù)器的端口訪問(wèn)進(jìn)行過(guò)濾，那么由于內(nèi)網(wǎng)的源IP很多，目的IP一致的情況下，在靠近目標(biāo)IP的地方做ACL過(guò)濾，因?yàn)檫@樣只需要一個(gè)ACL即可，否則你需要在很多設(shè)備上去分別部署，因?yàn)槟阋刂扑械脑吹竭@個(gè)目的IP的訪問(wèn)，影響效率。而如果你在接近服務(wù)器的交換機(jī)上部署ACL，那么你只需要一個(gè)ACL即可。

　　總結(jié)如下：

　　1、對(duì)常見(jiàn)的病毒端口過(guò)濾的ACL，一般部署在接入層交換機(jī)上。

　　2、對(duì)外提供公共服務(wù)器的服務(wù)器，一般建議在接近服務(wù)器的交換機(jī)上控制對(duì)其端口的訪問(wèn)。

　　3、對(duì)于網(wǎng)段間的互訪，根據(jù)實(shí)際情況，可以選擇在源或目的網(wǎng)段上做控制，也可以在網(wǎng)絡(luò)較大的情況，網(wǎng)段互訪規(guī)則較多的情況下，在中間核心設(shè)備上集中部署。

　　4、對(duì)于上下級(jí)機(jī)構(gòu)、內(nèi)外網(wǎng)訪問(wèn)規(guī)則見(jiàn)的訪問(wèn)控制，建議在邊界設(shè)備上集中部署。

　　一、組網(wǎng)需求

　　客戶(hù)要求對(duì)接入交換機(jī)應(yīng)用防病毒ACL，過(guò)濾常見(jiàn)的病毒端口，實(shí)現(xiàn)基本安全防護(hù)，ACL可以方便的添加或刪除其中的部分條目。

　　二、配置要點(diǎn)

　　1、部署擴(kuò)展ACL，添加防病毒的條目；

　　2、在物理端口上應(yīng)用ACL；

　　3、添加或刪除部分條目；

　　wKioL1MWpvvRbVvmAADKuThX7e8011.jpg

　　交換機(jī) SW的配置命令如下：

　　1、定義ACL

　　WENLF# configure terminal

　　WENLF(config)# ip access-list extended  defencevirus    ——>在配置模式下創(chuàng)建擴(kuò)展訪問(wèn)列表防病毒ACL

　　WENLF(config-ext-nacl)# 10 deny tcp any any eq 27665    ——>下述防病毒端口來(lái)源于日常實(shí)踐經(jīng)驗(yàn)

　　WENLF(config-ext-nacl)# 20 deny tcp any any eq 16660

　　WENLF(config-ext-nacl)# 30 deny tcp any any eq 65000

　　WENLF(config-ext-nacl)# 40 deny tcp any any eq 33270

　　WENLF(config-ext-nacl)# 50 deny tcp any any eq 39168

　　WENLF(config-ext-nacl)# 60 deny tcp any any eq 6711

　　WENLF(config-ext-nacl)# 70 deny tcp any any eq 6712

　　WENLF(config-ext-nacl)# 80 deny tcp any any eq 6776

　　WENLF(config-ext-nacl)# 90 deny tcp any any eq 6669

　　WENLF(config-ext-nacl)# 100 deny tcp any any eq 2222

　　WENLF(config-ext-nacl)# 110 deny tcp any any eq 7000

　　WENLF(config-ext-nacl)# 120 deny tcp any any eq 135

　　WENLF(config-ext-nacl)# 130 deny tcp any any eq 136

　　WENLF(config-ext-nacl)# 140 deny tcp any any eq 137

　　WENLF(config-ext-nacl)# 150 deny tcp any any eq 138

　　WENLF(config-ext-nacl)# 160 deny tcp any any eq 139

　　WENLF(config-ext-nacl)# 170 deny tcp any any eq 445

　　WENLF(config-ext-nacl)# 180 deny tcp any any eq 4444

　　WENLF(config-ext-nacl)# 190 deny tcp any any eq 5554

　　WENLF(config-ext-nacl)# 200 deny tcp any any eq 9996

　　WENLF(config-ext-nacl)# 210 deny tcp any any eq 3332

　　WENLF(config-ext-nacl)# 220 deny tcp any any eq 1068

　　WENLF(config-ext-nacl)# 230 deny tcp any any eq 455

　　WENLF(config-ext-nacl)# 240 deny udp any any eq 31335

　　WENLF(config-ext-nacl)# 250 deny udp any any eq 27444

　　WENLF(config-ext-nacl)# 260 deny udp any any eq 135

　　WENLF(config-ext-nacl)# 270 deny udp any any eq 136

　　WENLF(config-ext-nacl)# 280 deny udp any any eq netbios-ns

　　WENLF(config-ext-nacl)# 290 deny udp any any eq netbios-dgm

　　WENLF(config-ext-nacl)# 300 deny udp any any eq netbios-ss

　　WENLF(config-ext-nacl)# 310 deny udp any any eq 445

　　WENLF(config-ext-nacl)# 320 deny udp any any eq 4444

　　WENLF(config-ext-nacl)# 330 permit ip any any

　　WENLF(config-ext-nacl)#exit

　　2、應(yīng)用在接口上

　　WENLF(config)#interface range fastEthernet 0/1-24

　　WENLF(config-if-range)#ip access-group defencevirus in

　　3、添加或刪除ACE

　　WENLF(config-ext-nacl)#15 deny tcp any any eq 707        ——>編號(hào)15，可以插入序號(hào)10和20之間，保持編寫(xiě)防病毒條目的有序性。默認(rèn)每個(gè)條目之間以10遞增序號(hào)。

　　WENLF(config-ext-nacl)#no 15                             ——>刪除編號(hào)15的條目