用访问控制下文构筑“铜墙铁壁”

笔者在路由器和交换机上进行ACL（访问控制列表）配置来防范病毒和黑客攻击，效果非常好。经过配置后，在很多主机没打相应补丁的情况下，各网络设备有效地阻止了震荡波的攻击。

由于病毒（特别是系统漏洞病毒）都是利用相应端口进行传播与攻击的，所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。

我们以Cisco产品为例进行说明，具体ACL配置如下：

access-list 101 permit tcp any any established

这个命令是建立一个ACL，它只容许已经建立的连接从外向里传输数据，而对于事先没有建立的连接将被拒绝进行数据传输。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了。

现在让我们来看看如何利用这一技术迎战震荡波。公司很多计算机没有打补丁，这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒。由于我们设置了ACL，所以当外部的病毒主动向内部445、5554、9996端口传输时，这些数据会被路由器过滤掉，实现真正的防患于未然。而这样的设置对内网中的用户使用网络没有任何影响。

提示
1.由于established语句只支持TCP协议，所以如果公司要传输DNS等信息，还要设置相应的ACL语句把UDP的传输打开，格式为access-list 101 permit udp any any。

2.这样设置之后用户会抱怨FTP使用不了，因为FTP密码验证和数据传输使用的不是同一个端口，密码验证用21端口，而数据传输用20端口，所以我们也要加上相应的ACL，格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。(责任编辑：liucl)