permit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521
exit
int vlan 2
ip access-group server- protect
就能够了。现在对命名的IP access-list的配置方法解释如下:
ip access-list extend server-access-limit:ip access-list相当于使用编号的access-list中的access-list段。extend表明是扩展的ACL(对应地, standard表示标准的ACL)。server-access-limit是access-list的名字,相当于基于编号的ACL中的编号字段。
permit tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521:这一段和使用编号的access-list的后半段的意义相同,都由操作和条件两段组成。
其实基于名字的IP ACL更有一个很好的长处就是能够为每个ACL取一个有意义的名字,便于日后的管理和维护。所以Ultra工作室强烈建议各位看官在实际工作中均使用命名的ACL。
进一步完善对服务器数据的保护――ACL执行顺序再探讨
在服务器网段中的数据库服务器中存放有大量的市场信息,市场部门的人员不希望研发部门访问到数据库服务器,经过协商,同意研发部门的领导的机器(IP地址为10.1.6.33)能够访问到数据库服务器。这样,我们的服务器网段的的访问权限部分如下表所示:
| 协议 | 源地址 | 源端口 | 目的地址 | 目的端口 | 操作 |
| TCP | 10.1/16 | 任何 | 10.1.2.20/32 | 80 | 允许访问 |
| TCP | 10.1/16 | 任何 | 10.1.2.22/32 | 21 | 允许访问 |
| TCP | 10.1/16 | 任何 | 10.1.2.21/32 | 1521 | 允许访问 |
| TCP | 10.1.6/24 | 任何 | 10.1.2.21/32 | 1521 | 禁止访问 |
| TCP | 10.1.6.33/32 | 任何 | 10.1.2.21/32 | 1521 | 允许访问 |
| IP | 10.1/16 | N/A | 任何 | N/A | 禁止访问 |
于是,网管就在server-protect后面顺序加了两条语句进去,整个ACL变成了如下形式:
ip access-list extend server-protect
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp
deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
做完之后发现根本没起到应有的作用,研发部门的任何机器还是能够访问到数据库服务器。这是为什么呢?
前面我们提到过,ACL的执行顺序是从上往下执行,一个包只要碰到一条匹配的ACL语句后就会停止后续语句的执行,在我们的这个ACL中,因为前面已有了一条permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521语句。内部网上任何访问10.1.2.21的1521端口的在这儿就全部通过了,跟本不会到后面两句去比较。所以导致达不到我们的目的。应该把 server-protect这个ACL按如下形式进行修改才能满足我们的需要:
ip access-list extend server-protect
permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
