企业安全合理配置访问控制列表（acl）

《企业安全合理配置访问控制列表（acl）》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、企业安全合理配置访问控制列表（ACL）～教育资源库　　网络安全越来越受到大家的重视，不论是企业还是其他组织在构建网络环境时，首先需要考虑自己的网络需要什么样的安全防护，然后通过技术手段、管理制度等多方面都综合部署来加强网络的防护能力。其实困扰企业的并不仅仅是如何通过采用安全设备来保证网络安全，特别是一些拥有众多分支机构的大型企业，如何保证分支机构与总部，以及分支机构之间的通信安全才是最迫切的需求。近日的互联网大会上，安全企业纷纷表示了加强等级防护措施的重要性，只有加强对用户端数据进行验证、控制，才能真正有效地防止黑客入侵。

2、　　为何要使用ACL　　我们知道ACL可以使用包过滤技术，在路由器上读取第三、四层包头部信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。网络中的节点可分为资源节点和用户节点两大类，其中资源节点提供服务或数据；用户节点访问资源节点所提供的服务与数据。ACL可以用来过滤流入和流出路由器或三层交换机接口的数据包。ACL的主要功能一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制用户节点的访问权限。但ACL的这种技术具有局限性。需要和更高级（如系统级、应用级）的访问

3、控制结合使用，才能达到更好的预防攻击者的远程接入。　　设置访问控制列表（ACL），管理员首先要了解网络概况，要对每台服务器进行分类，细分访问网络资源的客户端。为了保护网络访问的安全，通常有些企业会采用安全跳板来实现网络的相对安全。例如：为IP地址进行分类，使得存在安全隐患的计算机要访问服务器资源时，先登陆到管理员指定好跳转设备中，然后通过跳转平台的网络地址来访问所需的资源。　　配置ACL　　废话说了这么多，下面我们直接来看看如何配置ACL。首先在全局配置模式下定义访问列表，然后将其应用到接口中，使通过该接口的数据包与我们以

4、定义的访问规则进行相应的匹配，然后决定是否允许通过。这种匹配过程是自上而下进行的，在执行到访问列表的尾部，如果还没有与其相匹配的语句，数据包将被拒绝通过。在实现过程中应给每一条访问控制列表加上相应的标准IP访问控制列表编号，其作用主要是阻止/允许某一网络的所有通信流量。　　access-listaccess-list-number(1~99)　　{deny

5、permit}source[source-itany　　Router(config)#interfaceether0　　Router(config-if)#ipacce

6、ss-group1in　　上面的语句主要说明：在全局配置模式下定义一条拒绝192.168.1.1主机通过的语句，掩码使用255.255.255.0，然后将其访问列表应用到接口中。　　阻止192.168.1.1主机执行Tel命令。　　Router(config)#access-list2denytcp192.168.1.1255.255.255.0anyeq23　　Router(config)#access-list2permitipanyany　　Router(config)#interfaceether0　　Router

7、(config-if)#ipaccess-group2in　　因为Tel使用端口23，所以将端口号为23的数据包拒绝，最终应用到某一接口，这样就可以禁止Tel命令对服务器的连接。如果需要网络地址变更的，一定要检查访问控制列表是否符合所需变更后的规则。作为网络管理员永远不要忘记，一个很小的失误就可能引起整个防线的崩溃，所以每次设置后都应该仔细测试下网络状况，确保所做的修改适合实际网络的需要。　　对于企业或组织用户而言，正确地设置ACL访问控制列表将起到类似防火墙的作用。为了满足接入访问控制，以及分支网络间的访问控制，可以通过

8、制订符合企业自身要求的访问控制列表（ACL），来达到防止黑客远程入侵目的。友情提醒：，特别！