反向访问控制列表配置防病毒实例

来源：作者：出处：巧巧读书 2006-07-25 进入讨论组

　　　　　 172.16.3.0　　　　　　　　　　　　　　　172.16.4.0
　　　　　　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　 |

　　　　　　　　　　　|　　E0　　　　　　　　　　　　 E1　　　　 |
　　　　　　　　　　　|-------------Route---------------|　172.16.4.16
　　　　　 A------|　　　　　　　　　　　　　　　　　　　　　　　 |-------B
　　　　　　　　　　　|　<--------　　　　　　　　　　　　　　　　|
　　
　　
　　我们采用如图所示的网络结构。路由器连接了二个网段，分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中的计算机都是服务器，我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。
　　
　　配置实例：禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。
　　
　　路由器配置命令：
　　
　　access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established　　定义ACL101，容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机，前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。
　　
　　int e 1　　进入E1端口
　　
　　ip access-group 101 out　　将ACL101宣告出去
　　
　　设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的，由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接，因此病毒无法顺利传播。
　　
　　小提示：检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机，如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器，PING不通则说明ACL配置成功。
　　
　　通过上文配置的反向ACL会出现一个问题，那就是172.16.3.0的计算机不能访问服务器的服务了，假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则，例如：access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www
　　
　　这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了，而下面的ESTABLISHED防病毒命令还可以正常生效。
　　
　　笔者所在公司就使用的这种反向ACL的方式进行防病毒的，运行了一年多效果很不错，也非常稳定。