反向訪問控制列表：

    我們使用訪問控制列表除了合理管理網(wǎng)絡(luò)訪問以外還有一個(gè)更重要的方面，那就是防范病毒，我們可以將平時(shí)常見病毒傳播使用的端口進(jìn)行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊。

    不過即使再科學(xué)的訪問控制列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o效，畢竟未知病毒使用的端口是我們無法估計(jì)的，而且隨著防范病毒數(shù)量的增多會(huì)造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò)訪問的速度。這時(shí)我們可以使用反向控制列表來解決以上的問題。

一、反向訪問控制列表的用途

    反向訪問控制列表屬于ACL的一種高級(jí)應(yīng)用。他可以有效的防范病毒。通過配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相PING，A可以PING通B而B不能PING通A。

    說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個(gè)過程，首先是源主機(jī)向目的主機(jī)發(fā)送連接請(qǐng)求和數(shù)據(jù)，然后是目的主機(jī)在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機(jī)。反向ACL控制的就是上面提到的連接請(qǐng)求。

    二、反向訪問控制列表的格式

    反向訪問控制列表格式非常簡單，只要在配置好的擴(kuò)展訪問列表最后加上established即可。我們還是通過實(shí)例為大家講解。

網(wǎng)絡(luò)環(huán)境介紹：

    我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網(wǎng)段中的計(jì)算機(jī)都是服務(wù)器，我們通過反向ACL設(shè)置保護(hù)這些服務(wù)器免受來自172.16.3.0這個(gè)網(wǎng)段的病毒攻擊。

    配置實(shí)例：禁止病毒從172.16.3.0/24這個(gè)網(wǎng)段傳播到172.16.4.0/24這個(gè)服務(wù)器網(wǎng)段。

    路由器配置命令：

    access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established    定義ACL101，容許所有來自172.16.3.0網(wǎng)段的計(jì)算機(jī)訪問172.16.4.0網(wǎng)段中的計(jì)算機(jī)，前提是TCP連接已經(jīng)建立了的。當(dāng)TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。

    int e 1    進(jìn)入E1端口

    ip access-group 101 out    將ACL101宣告出去

    設(shè)置完畢后病毒就不會(huì)輕易的從172.16.3.0傳播到172.16.4.0的服務(wù)器區(qū)了。因?yàn)椴《疽雮鞑ザ际侵鲃?dòng)進(jìn)行TCP連接的，由于路由器上采用反向ACL禁止了172.16.3.0網(wǎng)段的TCP主動(dòng)連接，因此病毒無法順利傳播。

    小提示：檢驗(yàn)反向ACL是否順利配置的一個(gè)簡單方法就是拿172.16.4.0里的一臺(tái)服務(wù)器PING在172.16.3.0中的計(jì)算機(jī)，如果可以PING通的話再用172.16.3.0那臺(tái)計(jì)算機(jī)PING172.16.4.0的服務(wù)器，PING不通則說明ACL配置成功。

    通過上文配置的反向ACL會(huì)出現(xiàn)一個(gè)問題，那就是172.16.3.0的計(jì)算機(jī)不能訪問服務(wù)器的服務(wù)了，假如圖中172.16.4.13提供了WWW服務(wù) 的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個(gè)擴(kuò)展ACL規(guī)則，例如：access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www

    這樣根據(jù)“最靠近受控對(duì)象原則”即在檢查ACL規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語 句。172.16.3.0的計(jì)算機(jī)就可以正常訪問該服務(wù)器的WWW服務(wù)了，而下面的ESTABLISHED防病毒命令還可以正常生效。