acl部署原則:
acl通過過濾資料報並且丟棄不希望抵達目的地的資料報來控制通訊流量。然而,網路能否有效地減少不必要的通訊流量,這還要取決於網路管理員把acl放置在哪個地方。
舉個例子:我們經常見到對常見病毒埠進行過濾的acl,那麼這種acl應用在**比較合適呢?
如果要控制外網進來的流量對伺服器的埠訪問過濾,那麼這種限制就應該放在這個網路的出口處較好,這樣可以將這種非法流量從一開始就拒之門外。當然如果內網也需要對伺服器的埠訪問進行過濾,那麼由於內網的源ip很多,目的ip一致的情況下,在靠近目標ip的地方做acl過濾,因為這樣只需要乙個acl即可,否則你需要在很多裝置上去分別部署,因為你要控制所有的源到這個目的ip的訪問,影響效率。而如果你在接近伺服器的交換機上部署acl,那麼你只需要乙個acl即可。
總結如下:
1、對常見的病毒埠過濾的acl,一般部署在接入層交換機上。
2、對外提供公共伺服器的伺服器,一般建議在接近伺服器的交換機上控制對其埠的訪問。
3、對於網段間的互訪,根據實際情況,可以選擇在源或目的網段上做控制,也可以在網路較大的情況,網段互訪規則較多的情況下,在中間核心裝置上集中部署。
4、對於上下級機構、內外網訪問規則見的訪問控制,建議在邊界裝置上集中部署。
一、組網需求
客戶要求對接入交換機應用防病毒acl,過濾常見的病毒埠,實現基本安全防護,acl可以方便的新增或刪除其中的部分條目。
二、配置要點
1、部署擴充套件acl,新增防病毒的條目;
2、在物理埠上應用acl;
3、新增或刪除部分條目;
交換機 sw的配置命令如下:
1、定義acl
wenlf# configure terminal
wenlf(config)# ip access-list extended defencevirus ------>在配置模式下建立擴充套件訪問列表防病毒acl
wenlf(config-ext-nacl)# 10 deny tcp any any eq 27665 ------>下述防病毒埠**於日常實踐經驗
wenlf(config-ext-nacl)# 20 deny tcp any any eq 16660
wenlf(config-ext-nacl)# 30 deny tcp any any eq 65000
wenlf(config-ext-nacl)# 40 deny tcp any any eq 33270
wenlf(config-ext-nacl)# 50 deny tcp any any eq 39168
wenlf(config-ext-nacl)# 60 deny tcp any any eq 6711
wenlf(config-ext-nacl)# 70 deny tcp any any eq 6712
wenlf(config-ext-nacl)# 80 deny tcp any any eq 6776
wenlf(config-ext-nacl)# 90 deny tcp any any eq 6669
wenlf(config-ext-nacl)# 100 deny tcp any any eq 2222
wenlf(config-ext-nacl)# 110 deny tcp any any eq 7000
wenlf(config-ext-nacl)# 120 deny tcp any any eq 135
wenlf(config-ext-nacl)# 130 deny tcp any any eq 136
wenlf(config-ext-nacl)# 140 deny tcp any any eq 137
wenlf(config-ext-nacl)# 150 deny tcp any any eq 138
wenlf(config-ext-nacl)# 160 deny tcp any any eq 139
wenlf(config-ext-nacl)# 170 deny tcp any any eq 445
wenlf(config-ext-nacl)# 180 deny tcp any any eq 4444
wenlf(config-ext-nacl)# 190 deny tcp any any eq 5554
wenlf(config-ext-nacl)# 200 deny tcp any any eq 9996
wenlf(config-ext-nacl)# 210 deny tcp any any eq 3332
wenlf(config-ext-nacl)# 220 deny tcp any any eq 1068
wenlf(config-ext-nacl)# 230 deny tcp any any eq 455
wenlf(config-ext-nacl)# 240 deny udp any any eq 31335
wenlf(config-ext-nacl)# 250 deny udp any any eq 27444
wenlf(config-ext-nacl)# 260 deny udp any any eq 135
wenlf(config-ext-nacl)# 270 deny udp any any eq 136
wenlf(config-ext-nacl)# 280 deny udp any any eq netbios-ns
wenlf(config-ext-nacl)# 290 deny udp any any eq netbios-dgm
wenlf(config-ext-nacl)# 300 deny udp any any eq netbios-ss
wenlf(config-ext-nacl)# 310 deny udp any any eq 445
wenlf(config-ext-nacl)# 320 deny udp any any eq 4444
wenlf(config-ext-nacl)# 330 permit ip any any
wenlf(config-ext-nacl)#exit
2、應用在介面上
wenlf(config)#inte***ce range fastethernet 0/1-24
wenlf(config-if-range)#ip access-group defencevirus in
3、新增或刪除ace
wenlf(config-ext-nacl)#15 deny tcp any any eq 707 ------>編號15,可以插入序號10和20之間,保持編寫防病毒條目的有序性。預設每個條目之間以10遞增序號。
wenlf(config-ext-nacl)#no 15 ------>刪除編號15的條目
解決企業考勤管理的常見病
考勤管理是人力資源管理的某礎工作之一,但卻常常被管理者所 忽視,以致因考勤而產生的勞動爭議案件居高不下。而諸多考勤管理工作中的 常見病 也直接導致用人單位承擔起了巨大的法律風險。用人單位無考勤制度在企業用工實踐中,用人單位對勞動者進行管理約束最基本的手段,就是要求員工按時上下班,這也是企業對員工實施...
如何手動清除常見的小病毒
在本文中涉及的軟體1 process explorer 乙個程序管理器,比系統中的任務管理器強點。2 autoruns 自啟動項管理器,可以檢視系統中地自啟動專案,掃瞄很全面。病毒確實是乙個令人頭痛的問題,特別對於那些對系統不是太熟悉的人。本文針對這一部分人,嘗試著教會他們如何應對。如果您是大蝦,請...
某一常見電腦病毒的剖析
可能大家經常在公共場合的電腦上列印或者拷貝一些檔案,相信很多人都對公共計算機上的病毒厭惡許久,今天筆者就慘遭病毒破壞,親眼看著u盤裡的檔案一點一點的被病毒同化233333333333333,出於禮貌的回禮,筆者分析了病毒的產生和工作原理,在此記錄分享。宣告 該病毒最後被360輕鬆刪除 其實叫病毒似乎...