 |
扩展访问控制列表比标准访问控制列表提供了更广阔的控制范围,其灵活性也比标准访问控制列表要高的多。在实际工作中,很少有网络管理员会简单的采用标准访问控制列表,而基本上是采用扩展型的访问控制列表,来对通过路由器的部分数据流量进行过滤。如我们有时候只允许来自于外部的EMAIL通信流量进入企业网络,而其他的通信流量,如FTP、WEB等等,路由器都要把他们挡在门外,此时,就可以通过扩展型的访问控制列表来实现。扩展访问控制列表提供了很多的控制关口,如源地址、目标地址、协议类型、端口号等等,这种扩展后所带来的功能,可以实现网络管理员对网络访问进行复杂控制的要求,而不再是简单的只根据IP地址进行控制。废话不说了,我们先来看一个扩展访问控制列表的实例,看看其到底有什么神秘的地方。
案例二:拒绝企业内部某个用户访问FTP服务器
假设现在企业内部有一台主机A,其IP地址为192.168.1.10。而路由器上有一台FTP服务器B,其IP地址为192.168.0.2。现在企业为了FTP服务器的安全,只有经过授权的用户才能够访问这台FTP服务器。一般来说,这台FTP服务器是为业务部门准备的,默认情况下,只要业务员可以访问这台FTP服务器。
针对这种情况,该如何配置访问控制列表呢?
Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21
Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255
要拒绝某个协议类型的数据流量,若依靠标准的访问控制列表是达到这个目标的。一般来说,标准的访问控制列表之能够简单的对IP地址进行数据流量的过滤,也就是说,其要么允许全部的数据包通过,要么就是拒绝所有的数据包。而现在若采用扩展的访问控制列表,则可以根据数据包的协议来类型来实现对部门数据包进行过滤,对部分数据包放行。
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
2008-8-4 
