172.16.3.0172.16.4.0
|  |
|  |
| E0 E1|
|-------------Route---------------|  172.16.4.16
A------|  |-------B
|  <--------  |

我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個網(wǎng)段，分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網(wǎng)段中的計算機都是服務(wù)器，我們通過反向ACL設(shè)置保護(hù)這些服務(wù)器免受來自172.16.3.0這個網(wǎng)段的病毒攻擊。

配置實例：禁止病毒從172.16.3.0/24這個網(wǎng)段傳播到172.16.4.0/24這個服務(wù)器網(wǎng)段。

 路由器配置命令：

access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established 定義ACL101，容許所有來自172.16.3.0網(wǎng)段的計算機訪問172.16.4.0網(wǎng)段中的計算機，前提是TCP連接已經(jīng)建立了的。當(dāng)TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。

int e 1 進(jìn)入E1端口

ip access-group 101 out 將ACL101宣告出去

設(shè)置完畢后病毒就不會輕易的從172.16.3.0傳播到172.16.4.0的服務(wù)器區(qū)了。因為病毒要想傳播都是主動進(jìn)行TCP連接的，由于路由器上采用反向ACL禁止了172.16.3.0網(wǎng)段的TCP主動連接，因此病毒無法順利傳播。

 小提示：檢驗反向ACL是否順利配置的一個簡單方法就是拿172.16.4.0里的一臺服務(wù)器PING在172.16.3.0中的計算機，如果可以PING通的話再用172.16.3.0那臺計算機PING172.16.4.0的服務(wù)器，PING不通則說明ACL配置成功。

通過上文配置的反向ACL會出現(xiàn)一個問題，那就是172.16.3.0的計算機不能訪問服務(wù)器的服務(wù)了，假如圖中172.16.4.13提供了WWW服務(wù)的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個擴展ACL規(guī)則，例如：access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www

這樣根據(jù)“最靠近受控對象原則”即在檢查ACL規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。172.16.3.0的計算機就可以正常訪問該服務(wù)器的WWW服務(wù)了，而下面的ESTABLISHED防病毒命令還可以正常生效。

筆者所在公司就使用的這種反向ACL的方式進(jìn)行防病毒的，運行了一年多效果很不錯，也非常穩(wěn)定。

【相關(guān)文章】

• 專題：訪問控制列表(ACL)介紹

• 設(shè)置服務(wù)器的訪問控

• VLAN 之間的訪問控制