❶ 路由器 访问列表的设置
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则(哪些数据允许通过,哪些数据不允许通过);
2、将规则应用在路由器(或三层交换机)的接口上。
两种类型:
标准ACL(standard IP ACL)
扩展ACL (extended IP ACL)
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表(路由器和三层交换机支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表(路由器、三层交换机和二层交换机支持)
2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表(路由器、三层交换机)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL:
编号的扩展ACL (路由器和三层交换机支持)
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL (路由器、三层交换机和二层交换机支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表,定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段(absolute)
周期时间段(periodic)
混合时间段:先绝对,后周期
Router(config)# time-range time-range-name 给时间段取名,配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日 月 年”
end time date:表示时间段的结束时间,格式与起始时间相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、关联ACL与时间段,应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name
验证访问列表和time-range接口配置
Router# show access-lists !显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置
注:1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则:
从头到尾,至顶向下的匹配方式
匹配成功,则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口,只能配置入栈应用(In);
针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用。
访问列表的缺省规则是:拒绝所有。
对于标准ACL,应尽量将ACL设置在离目标网络最近的接口,以尽可能扩大源网络的访问范围。
对于扩展ACL,应尽量将ACL设置在离源网络最近的接口,以尽可能减少网络中的无效数据流。
❷ 怎样才能设置只让指定站点访问网站
要设置只让指定站点访问网站,可以采取以下几种方法:
### 使用路由器或防火墙设置
许多现代路由器和防火墙设备都支持URL过滤功能,这允许管理员定义哪些网站可以被访问,哪些被阻止。具体操作包括登录到路由器或防火墙的管理界面,找到“安全设置”或“防火墙设置”部分,启用URL过滤功能,并添加允许访问的网址列表。这种方法适用于对整个网络环境进行控制,确保所有通过该设备上网的设备都只能访问指定的网站。
利用代理服务器
配置代理服务器也是一种有效的限制访问方式。通过将网络请求转发到代理服务器,并设置代理服务器仅允许访问特定网址,可以实现对网络访问的精细控制。这通常涉及到安装和配置代理服务器软件,并设置相应的访问控制规则。然后,将所有设备的网络连接设置为通过该代理服务器访问互联网。这种方法适用于需要集中控制多台设备访问权限的场景。
使用上网行为管理软件
对于企业或大型组织来说,使用专业的上网行为管理软件是一种更高效、更全面的解决方案。这类软件通常提供灵活的网址过滤功能,允许管理员创建网站白名单或黑名单,并应用到指定的电脑或用户组上。此外,这些软件还常常具备实时监控、报告生成等功能,有助于管理员了解员工的上网行为,及时发现并处理违规行为。使用这类软件时,只需按照软件的指导文档进行设置,添加允许访问的网址到白名单中,并启用相应的策略即可。
修改系统hosts文件
对于Windows系统来说,另一种较为技术性的方法是修改hosts文件。通过将特定网站的域名解析到一个无效的IP地址,可以阻止对该网站的访问。然而,这种方法需要较高的计算机操作技能,且对于经常变化的网站IP地址来说,维护起来较为困难。因此,它通常不适用于需要频繁更新允许访问网站列表的场景。
综上所述,设置只让指定站点访问网站的方法多种多样,企业或个人可以根据自己的需求和实际情况选择适合的方法。无论采用哪种方法,都需要注意安全性和灵活性的平衡,避免过度限制用户的上网行为。同时,还需要定期更新和调整规则,以适应不断变化的网络环境和业务需求。