❶ 路由器 訪問列表的設置
什麼是訪問列表
IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問
內網訪問外網時,進行安全的數據過濾
防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。
兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)
2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name
驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置
註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。
銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。
訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。
❷ 怎樣才能設置只讓指定站點訪問網站
要設置只讓指定站點訪問網站,可以採取以下幾種方法:
### 使用路由器或防火牆設置
許多現代路由器和防火牆設備都支持URL過濾功能,這允許管理員定義哪些網站可以被訪問,哪些被阻止。具體操作包括登錄到路由器或防火牆的管理界面,找到“安全設置”或“防火牆設置”部分,啟用URL過濾功能,並添加允許訪問的網址列表。這種方法適用於對整個網路環境進行控制,確保所有通過該設備上網的設備都只能訪問指定的網站。
利用代理伺服器
配置代理伺服器也是一種有效的限制訪問方式。通過將網路請求轉發到代理伺服器,並設置代理伺服器僅允許訪問特定網址,可以實現對網路訪問的精細控制。這通常涉及到安裝和配置代理伺服器軟體,並設置相應的訪問控制規則。然後,將所有設備的網路連接設置為通過該代理伺服器訪問互聯網。這種方法適用於需要集中控制多台設備訪問許可權的場景。
使用上網行為管理軟體
對於企業或大型組織來說,使用專業的上網行為管理軟體是一種更高效、更全面的解決方案。這類軟體通常提供靈活的網址過濾功能,允許管理員創建網站白名單或黑名單,並應用到指定的電腦或用戶組上。此外,這些軟體還常常具備實時監控、報告生成等功能,有助於管理員了解員工的上網行為,及時發現並處理違規行為。使用這類軟體時,只需按照軟體的指導文檔進行設置,添加允許訪問的網址到白名單中,並啟用相應的策略即可。
修改系統hosts文件
對於Windows系統來說,另一種較為技術性的方法是修改hosts文件。通過將特定網站的域名解析到一個無效的IP地址,可以阻止對該網站的訪問。然而,這種方法需要較高的計算機操作技能,且對於經常變化的網站IP地址來說,維護起來較為困難。因此,它通常不適用於需要頻繁更新允許訪問網站列表的場景。
綜上所述,設置只讓指定站點訪問網站的方法多種多樣,企業或個人可以根據自己的需求和實際情況選擇適合的方法。無論採用哪種方法,都需要注意安全性和靈活性的平衡,避免過度限制用戶的上網行為。同時,還需要定期更新和調整規則,以適應不斷變化的網路環境和業務需求。