通过访问控制列表禁止QQ游戏
通过访问控制列表禁止QQ游戏
前言:当今世界网络发展飞快,各企业单位都在建设局域网并加入了互联网。但是有些网络不仅没用得到很好的利用,反而适得其反。比如上班族放着事情不做,常常在上班时间玩游戏、聊天,怎么样去阻止这种行为呢?运用访问控制列表来是一种又灵活又普遍的维护网络的一种技术。
[关键字]:ACL
一、ACL概述
俄罗斯和中国的时差如果某公司的员工成天泡网、QQ聊天、网络游戏等现象,如何在上班时间禁止玩QQ和网络游戏呢,如何将一个网络有效的管理起来了?这就可以用路由器的ACL来解决类似问题。
访问控制列表(ACL(Access Control List,访问控制列表)是应用在路由器接口的指令列表。访问控制列表,是最简单的数据控制指令。它能告诉路由器哪些能数据所可以收,哪些数据需要拒绝。它是一种主机防护技术,但与传统的主机的防火墙、主机防病毒或主机入侵检测等防护技术的功能却不同。(一)、ACL的原理
访问控制列表按照不同场合应用可分很多种,基本上分为标准访问控制列表和扩展访问控制列表。标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号来创建相应的ACL。标准
访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的端口。
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、源端口、目的端口等),根据预先设定义好的规则对包进行过滤,从而达到访问控制的目的,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
但是,如果希望将过滤细到端口,或者对数据包的目的地址进行过滤,就如同前言里的问题,这时候使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号和标准访问控制列表使用的ACL号也有不同,其扩展访问列表号为100到199。
焊接技术要求(二)、访问控制列表命令的基本格式
要使用访问控制列表,必须要在全局模式下。建立访问控制列表的命令。木门品牌排行
路由器一开机,进去的那个界面提示符是“>”,如果是这样子,”router>”是执行模式,这就要先进入特权模式(也就是用户在此模式下输入“enable”),这样提示符就是“router#”,在特权命令提示符下键入你现在在哪里 我每天都在想你
configure terminal的命令就可以进入全局配置模式。在全局模式中就可以设置访问控制列表了。Rorter(config)#access-list    access-list-number  {permit|deny}
{test-conditions}
注:acce4ss-list-number是访问控制列表的序列号。Permit(允许)和deny(拒绝)先其中一个。Test-conditions是用来与数据包的信息比较的条件。
在建立完访问控制列表之后,要在接口上应用它,命令如下:Router(config-if)#{protocol}  access-group access-list-number
如果要删除已经建立的访问控制列表,命令如下:
Rorter(config)#noaccess-list    access-list-number
(三)、设计访问控制列表时需考虑的规则
1、自上而下的处理方式
访问表表项的检测按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问表中放入语句的次序。
2、添加表项
新的表项被添加到访问表的末尾,也就是说,不可能改变已有访问表的功能。如果要改变,就必须创建一个新访问表并删除
已存在的访问表,并且将新访问表用于接口上。
3、访问表位置
尽量考虑将扩展的访问表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其他接口上的数据流。另外,尽量使标准的访问表靠近目的,由于标准访问表只使用源地址,因此将其靠近源会阻止报文流向其他端口。
4、语句的位置
由于IP协议包含ICMP、TCP和UDP,所以应将更为具体的表项放在不太具体的表项前面,以保证位于另一语句前面的语句不会否定表中后面语句的作用效果。
5、其他注意事项
如果没有access-list,则等于permit any。一旦添加了访问表,最后缺省为deny any。
日本留学手续
二、实例
假如这个公司使用的是CISCO 2620路由器的NAT功能上网,Web 和Mail都是通过NAT的端口映射实现的。
首先,打开QQ以后,在防火墙里可以看到QQ正在和服务器UDP 8080端口进行通讯,那么我们要做的就是禁止源地址UDP 8080端口。手机q币充值中心
Router (config) # access-list 111 UDP deny any any eq 8080
Router (config) # access-list 111 TCP permit any any
Router (config) # access-list 111 UDP permit any any
Router (config) # access-list 111 ip permit any any
Router (config-if) # ip access-group 111 in
第一个命令定义了编号为111的ACL,禁止所有源地址和目的地址的UDP 8080端口的数据包,最后一个命令是在接口模式下,此处应在靠近局域网的端口应用上面定义的编号为111的ACL。因为ACL默认
需要至少有一条规则让数据可以通过网络接口,所以第二、三、四行的命令是规定所有的TCP、UDP、IP协议可以通过。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。