网络层访问权限控制技术ACL详解

　　permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp

　　这个例子告诉我们在写ACL时，一定要遵循最为精确匹配的ACL语句一定要写在最前面的原则，只有这样才能确保不会出现无用的ACL语句。

　　基于时间的ACL

　　在确保了服务器的数据安全性后，领导又准备对内部员工上网进行控制。需要在上班时间内(9:00-18:00)禁止内部员工浏览internet，禁止使用QQ、MSN。而且在2003年6月1号到2号的任何时间内都不允许进行上述操作。但在任何时间都能够允许以其他方式访问Internet。天哪，这可叫人怎么活呀，但领导既然这样安排，也只好按指示做了。

　　首先，让我们来分析一下这个需求，浏览internet现在基本上都是使用 http或https进行访问，标准端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登录会使用到TCP/UDP8000 这两个端口，更有可能使用到udp/4000进行通讯。而且这些软件都能支持代理服务器，现在的代理服务器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP1080(socks)这三个端口上。这个需求如下表所示：

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

应用	协议	源地址	源端口	目的地址	目的端口	操作
IE	TCP	10.1/16	任何	任何	80	限制访问
IE	TCP	10.1/16	任何	任何	443	限制访问
MSN	TCP	10.1/16	任何	任何	1863	限制访问
QQ	TCP	10.1/16	任何	任何	8000	限制访问
QQ	UDP	10.1/16	任何	任何	8000	限制访问
QQ	UDP	10.1/16	任何	任何	4000	限制访问
HTTP代理	TCP	10.1/16	任何	任何	8080	限制访问
HTTP代理	TCP	10.1/16	任何	任何	3128	限制访问
Socks	TCP	10.1/16	任何	任何