《网络互联技术》第章：访问控制列表

主讲教师：赵怀明江西工业职业技术学院第七章访问控制列表

（理论课时长：6节）【教学目的】：通过本章的学习，让学生知道访问控制列表的功能和实现机制、访问控制列表的分类、命名访问控制列表的配置和应用、基于时间的访问控制列表的使用；掌握访问控制列表的定义和应用、标准访问控制列表的配置、扩展访问控制列表的配置、访问控制列表的工作过程。能为简单的网络根据用户的要求设置访问控制列表来实现公司网络的内部管理、流量控制和安全控制。【重点难点】重点：标准访问控制列表的配置和应用；扩展访问控制列表的配置和应用。难点：基于时间的访问控制列表的理解和配置第七章：访问控制列表【教学内容】访问控制列表定义访问控制列表功能访问控制列表实现机制访问控制列表的工作过程分析访问控制列表的分类标准访问控制列表的配置和应用扩展访问控制列表的配置和应用命名访问控制列表的配置和应用基于时间的访问控制列瑶的配置和应用第七章：访问控制列表【教学方法】教学方式：多媒体教学教学方法：案例分析+视频教学通过对比分析让学生彻底掌握标准访问控制列表和扩展访问控制列表的区别。利用视频教学资料，使学生在任何时间和地点能重温教学内容，尽一步掌握标准（扩展）访问控制列表的配置和实际应用。通过上机实验让学生在boson模拟器的支持下完成标准访问控制列表和扩展访问控制列表的配置和应用。第七章：访问控制列表第一部分：访问控制列表概述一、数据包过滤技术数据包过滤是指路由器对需要转发的数据包，先获取报头信息，然后将其和设定的规则进行比较，根据比较的结果对数据包进行转发或丢弃。实现包过滤的核心技术是访问控制列表(AccessControlList,简称ACL)。Internet内部网络外部网络第一部分：访问控制列表概述二、访问控制列表的定义访问控制列表（AccessControlList，ACL）是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制，这种机制允许用户使用访问控制列表来管理信息流，以制作公司内部网络的相关策略。ACL根据指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。通过灵活地增加访问控制列表,可以把ACL当作一种网络控制的有利工具,用来过滤流入、流出路由器接口的数据包。第一部分：访问控制列表概述三、访问控制列表的实现机制（1）首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。（2）然后再将其应用在路由器的不同接口的不同方向上。（3）如果指定接口（该接口已应用指定的访问控制列表）指定方向（该方向上已应用指定的访问控制列表）上有数据包通过时，路由器将根据设定的访问控制列表的规则（逐条进行匹配，如果规则中上一条语句匹配，则下面所有的语句将被忽略）对数据包进行过滤，从而确定哪些数据包可以接收，哪些数据包需要拒绝。第一部分：访问控制列表概述四、访问控制列表的功能（1）、数据包过滤（2）、限制网络流量（3）、提高网络性能（4）、提高网络安全由于ACL访问控制列表是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。第一部分：访问控制列表概述五、访问控制列表的分类：主要分为标准访问控制列表和扩展访问控制列表。第一饱部分蜜：访盘问控看制列蔬表概扛述六、尽访问滨控制翅列表杆工作吨过程叼分析第二够部分钢：标堂准访量问控耍制列鬼表一、谈定义花标准IP访问宜控制签列表（1）语壤法：Ro她ut桶er烂(c减on徐fi吵g)猴#蜘ac荡ce赏ss破-l拳is蹦t尼[l翻is愤t翅nu脑mb顶er判][初pe慎rm唱it恩|d泪en迁y]站[h封os居t/依an类y]总[s咳ou献rc回e]司[s族ou薪rc务e-膏wi洋ld蔑ca撕rd家ma炕sk怜][肝Lo达g]（2）功包能：醋只能哨根据拐数据释帧的胞源地漆址进态行过训滤，续而不怀能根薄据数滩据帧队的目晌的地德址进仙行数涌据过蓬滤；清只能液拒绝范或允拔许整咽个协弹议族粮的数慰据包梨，而仗不能亭根据汗具体叫的协玩议对反数据苏包进迅行过稍滤。（3）位凉置：评由于丘不能恢根据蚁数据敬帧的僚目标秆地址椒进行桶过滤侵，而莫只能略根据许数据滋帧的延源地愁址进叙行过预滤，握因此道最好娘将标用准访询问控滤制列抵表放屑置离霞目标精主机浮（或刮目标编网络面）最陡近的甚位置康。第二踩部分圆：标侦准访析问控泽制列劈燕表（4）参姥数说饶明：定义此访问菊控制白列表孤必须遣在路宫由器雷的全膊局配砍置模耍式下岸进行li准st铜n圈um氧be休r：访及问控帮制列驳表号清的范乎围，壶标准IP访问尸控制取列表尤的列胳表号驳标识绝是从1到99。pe扫rm蹈it找/d涉en渠y：关鸭键字pe驻rm觉it和de度ny用来瞧表示奥满足伪访问量列表秤项的嚷报文命是允雕许通快过接滥口，沿还是终要过搏滤掉娇。pe节rm老it表示缘瑞允许匀“满谣足访罩问列道表项柿”的天报文衰通过汗接口de观ny表示严禁止超“满歼足访抓问列胶表项捡”的猾报文伙通过妥接口so储ur剥ce：源予地址扇，对收于标证准的IP访问负控制葬列表装，源态地址罗可以氧是：ho哀st、an冶y、具档体主笨机IP地址暖或具睡体网读络地眠址ho哄st用于绸指定涛某个瞎具体尊主机颜。an刻y用于罚指定个所有痒主机朴。so区ur幅ce灭-w菊i1湖dc酸ar梅dm菊as哨k：源萍地址至通配脱符屏纺蔽码第二长部分春：标卸准访犯问控谦制列移表二、ho帜st参数嗓讲解ho我st表示吵一种名精确祸的匹秩配，侵其屏尚蔽码像为荣（ho糕st是0.郑0.盼0.遭O通配结符屏括蔽码织的简序写）寻。例如吸，假睡定我目们希颗望允球许从19吩2.厦16卷8.坐5.释25来的预报文余，则锁应该剂制定殖如下疾标准IP访问举控制丹列表渴语句验：如果浓采用趁关键岔字ho柔st，则弹也可络以用奶下面简的语养句来星代替书：第二摸部分饶：标翠准访势问控而制列路表三、an之y参数吐讲解an芒y是源诊地证烘通配困符屏野蔽码“0稠.O状.O朗.O部2悔55投.2描55屑.2叉55烈.2拼55蛛”的简臣写。假定后我们突要拒床绝从计源地蛛址19蜻2.眉16英8.防5.竹25来的滔报文滔，并肤且要睛允许省从其股他源掀地址谊来的洞报文举，则僻应制精定如胃下标驳准IP访问悬控制统列表步语句罪：上述技命令拒可以行进行滩如下哈简写办：ac腾ce切ss牙-l改is沟t屈55山d那en遇y吓ho谁st她1逗92手.1胞68万.5圆.2报5律ac谱ce狼ss凶-l克is羡t价55锯p窗er破mi警t革an窗y第二土部分友：标碑准访海问控热制列们表四、砍标准悲访问尺控制愚列表搬常见钱错误戴分析（1）、遮标准恼访问辰控制鹅列表葡中语偷句顺咳序错蝴误：（2）、朋标准浆访问告控制炕列表矩中列系表号滤错误ac亭ce夕ss局-l匙is茎t推16碎6成de标ny贤h赞os抚t型19乱2.比16合8.项5.倚25细a问cc涌es介s-习li股st诱1画66裙p脚er筐mi施t盐an秆y（3）不振需要孤在标谎准访粒问控窜制列嫁表的彻最后育添加冻“de款ny蝴a芝ny朽”语句ac液ce本ss哗-l肺is与t锡66探p饿er梳mi牙t陆ho导st糟1棋92笨.1葵68什.5太.2萄5朝ac丙ce甩ss滩-l旨is昆t翅66真d秋en揭y幻玉an确y（4）、保忘记楼在标鸦准访隙问控换制列娇表的头最后愁添加绕“pe企rm之it架a马ny滋”语句第二配部分叫：标寻准访殃问控仇制列巾表五、pe洪rm莫it和de裤ny应用烤的规丹则（1）最谁终目粉标是忍尽量舟让访默问控垫制中朝的条瞧目少狠一些隆。另鬼外，锤访问洁控制狗列表岭是自已上而坦下逐文条对连比，赴所以仔一定艰要把览条件征严格训的列库表项影语句丧放在添上面爷，然盖后再胃将条突件稍浓严格牵的列复表选锣项放稠在其致下面企，最运后放通置条右件宽壤松的享列表烈选项午，还迟要注刑意，难一般敌情况伤下，膊拒绝读应放届在允坚许上刘面。（2）如笔果拒住绝的如条目闷少一劈燕些，养这样爬可以跨用DE像NY，但吊一定览要在膛最后木一条我加上运允许茂其它灿通过何，否退则所岗有的消数据油包将骆不能赏通过马。（3）如抹果允隆许的访条目男少一巨些，稳这样仅可以君用PE妥RM染IT，后凝面不胶用加堂拒绝凉其它评（系饺统默糊认会骄添加de吊ny疮a杆ny）。（4）最锡后，押用户之可以技根据湖实际召情况哑，灵端活应吨用de样ny和pe乎rm任it语句估。总放之，逆当访描问控且制列快表中烦有拒待绝条现目时功，在烈最后会面一竖定要姓有允青许，集因为AC陡L中系测统默准认最躬后一凑条是慈拒绝倍所有辨。第二暑部分鸟：标筋准访英问控苗制列即表六、撤应用心标准糊访问封控制陵列表在定痰义了合访问笔控制但列表委后，讨还必唱须将湿访问台控制握列表呆应用稍到路是由器资的某翻一个强接口仅中。（1）语覆法格致式Ro好ut纳er抹(c陆on饶fi围g-吧if络)#营i拌p彼ac灶ce幅ss水-g耍ro盯up础a泉cc竿es剧s-页li候st盏-n例um蜻be姨r悄{i妨n俭|高ou第t}（2）参姻数说界明必须绪先进仁入路裁由器旱的某案一个够接口挪，再选使用飘“ipac淘ce谦ss紧-g惨ro覆up养”命令近，将仓指定积的访突问控查制列氏表应幼用到航当前朵路由朴器接猪口中盐。参数in和ou崖t表示倦访问惯控制敌列表掉作用聋在接睛口上妙的方诵向。把（这曾里的in和ou察t是以监当前艳路由易器本合身为特参照答点的峡，控制红数据浮包由锋外向遣内进凯入当糠前路俗由器嘉指定汪接口车为秀“in览”；控醒制数蜻据包确由内掏向外翻流出亦当前辽路由滩器指好定接剑口为伯“ou屯t”）。第二摸部分资：标氏准访橡问控手制列惕表七、普标准楚访问腿控制站列表识例题车一：in方向猾控制Ro宗ut专er惹(c伟on纹fi粒gRo迫ut束er毛(c酱on佳fi园g)#轮a城cc勇es厦s-管li喝st讯6旺6肠pe道rm路it漏a宰nyRo或ut围er灰(c甚on驼fi魄g)#逢i惜nt转er泊fa赛ceet伤he饺rn咏et0/读0Ro遵ut郊er挺(c狠on地fi敢g-i扫f)亩#ipac懒ce挑ss大-g祖ro篇up绘6肃6皆in第二宫部分妖：标浅准访潜问控姓制列末表八、傲标准革访问届控制体列表吹例题惨二：ou旬t方向颂控制Ro搬ut懒er崭(c齐on纺fi万gRo寇ut扬er胸(c躲on屠fi末g)#岛a少cc陈es尘s-普li歌st港7森7示de属ny挣1牌92恳.1垮68醋.3嗽.0脉0汉.0勤.0由.2怀55Ro诉ut壮er眯(c眼on偶fi他g)#巾a第cc怖es贯s-问li浩st汽7闯7蓝pe盒rm敞it角a恋nyRo真ut石er谎(c圣on闻fi详g)#越i葵nt虏er评fa埋ceet急he屑rn容et0/顾1Ro耳ut久er答(c崭on熄fi展g-i旁f)升#ipac忧ce挨ss清-g诵ro浩up喇7耽7倦ou巴t第二瓶部分峡：标纸准访拍问控啦制列影表九、糊下面鬼图示狡中，呆谁可罪以与者主机A通信锻？第二产部分桑：标懒准访遗问控旧制列猾表十、煌虚拟危终端捡访问惯控制标准技访问榜列表变和控右制访视问列涉表不漏会拒洪绝来方自路缘瑞由器械虚拟逗终端母的访隙问，坏基于蜓安全序考虑辛，对逃路由沿器虚月拟终产端的屑访问翼和来略自路氏由器思虚拟匹终端础的访占问都波应该悉被拒猪绝，泛以下驼设置瞎：只日允许19马2.架16家8.闷5.祸0网段垄内的得主机间访问碗路由蒙器的糕虚拟尊端口容。第三攻部分警：扩暗展访拴问控义制列冠表一、寒扩展批访问个控制武列表悬简介顾名膀思义倚，扩副展的IP访问辜控制碑列表协用于纯扩展略报文赖过滤深能力兔。一毯个扩踢展的IP访问秃控制唤列表喘允许删用户麦根据仙如下仪内容号过滤坚报文:源地尊址、时目的韵地址添、协尸议类束型、辆源端富口、桨目的翅端口碍以及光在特档定报厦文字唤段中菜允许扬进行温特殊葡位比动较等梳等。排例如稼，通剪过扩叶展IP访问反控制挺列表镜用户打可以退实现虏：允渴许外慨部WE烈B通信瓜量通市过，袋而拒也绝外厚来的FT惠P和Te草ln逝et通信简量。扩展AC厦L既检印查数壁据包株的源听地址召，也香检查砍数据伴包的谎目的帅地址倡。此源外，叉还可恐以检衔查数宫据包朝特定刃的协阵议类架型、卷端口马号等逼。这蔽种扩重展后蒙的特财性给纠管理贤员带鸣来了携更大僵的灵炒活性住，可挠以灵则活多另变地葵设置AC蚂L的测诞试条图件。瞒数据衬包是区否被集允许桶通过碰出口如，既防可以丧基于伸它的排源地疤址，座也可种以基净于它方的目稳的地开址。第三绑部分闪：扩秀展访忆问控案制列锦表二、盟扩展典访问叮控制喇列表要的定母义（1）语嘴法格键式：Ro治ut灾er缝(c舒on斯fi昼g)飞#湖ac胃ce状ss撇-l邀is饺t唯ac锁ce围ss功-l营is储t-湿nu折mb岁er妙|沟p盼er湾mi袋t赛|d忆en匪y悟|貌pr讨ot迫oc队ol替s停ou临rc造e始[s铁ou去rc尊e-窜wi嗓ld虾ca咸rd各ma肌sk挎d桑es哗ti挂na季ti陡on身d穗es臭it虎in滴at粪io占n-葡wi嫁ld倒ca澡rd睛ma邪sk酒]币[o差pe监ra兄to饰r苍po帆rt担]（2）参进数说宴明li拜st相n市um酸be介r：扩齐展IP访问摸控制樱列表罩的表球号标替识从l0瓣0到19甲9。pr捉ot渔oc在ol：定飘义了锁需要翅被过题滤的薯协议苗，例号如IP、TC丘P、UD旺P、IC君MP并.源端配口号凑和目胡的端愧口号丧：源完端口钱号可纷以用吗几种壶不同很的方免法来仔指定钩。它繁可以事显式看地指弟定，丹使用壶一个务数字合或者颂使用彻一个志可识酬别的眠助记惭符。孔例如投，我纱们可朝以使芬用80或者ht纺tp来指显定We仇b的超粱文本迎传输塘协议搁。目活的端港口号伍的指谷定方浅法与只源端粱口号夫的指表定方径法相急同。第三等部分极：扩麦展访亩问控谁制列卷表三、翅常用疮的服疫务端铃口号文件铲传输此服务叼（FT线P）使甜用的控默认调端口犹号为20、21（其琴中数役据传抛输使兔用端桐口20、控猛制命绍令的蠢传输上使用免端口21）Te桂ln郑et远程吉登录辨服务慌使用炒的默限认端内口号保为23简单怜邮件螺服务弦（SM澡TP）使揉用的恶默认直端口贝号为25简单找文件卸传输卫服务变（TF粒TP）使匀用的里默认败端口医号为69域名钱服务寇（DN蜡S）使贵用的君默认行端口俊号为53WE嚷B服务降（HT抹TP）使欲用的晓默认剧端口踢号为80第三劈燕部分锦：扩执展访啊问控好制列煤表四、甘扩展麦访问娱控制忽列表防应用荐一：Ro广ut联er送(c钳on区fi企g)#工a带cc酬es寨s-蜻li环st垂1融16锈d可en棍yipRo耽ut习er仗(c耐on件fi桨g)#译a组cc普es爷s-坡li昨st蜂1划16伴p爷er刷mi奋tipan他yan招yRo烦ut置er闷(c忍on冶fi蛾g)#黑i醉nt哀er倾fa宾ceet呀he绩rn锦et0/所0Ro潜ut瞧er巩(c部on找fi紧g-i肺f)姜#ipac晕ce防ss友-g悲ro意up跨1熔16损i掉n目的快：拒绝黑主机19剩2.富16凶8.怀1.惕11对19烧2.谦16扬8.动2.榜0网络栋内任宏何主妙机的杀任何电访问或。由于降可根柱据目站标IP地址矿对数隙据包捎进行在过滤啄，因贿此原赏则上识扩展牙访问夫控制耀列表傍应放框置离横源主课机最漂近的澡位置愿。这呢样可煮减少告无用以数据旋饭的凯传递豪，从甚而减栽少网汁络流行量。第三六部分颂：扩已展访辆问控浓制列束表五、楚扩展化访问穿控制车列表吵应用驾二：Ro婚ut件er世(c斯on傲fi趟g)#完a链cc隐es死s-萝li屠st炉1谱18疼p严er灭mi糕ttc爹p19福2.右16节8.单1.诸0焰0.齐0.偿0.踢25亦5裙an克yeqww惹wRo浪ut塔er繁(c嚼on智fi唐g)#肥a苏cc冻es齿s-阁li篮st脑1赤18勾p花er安mi嚼ttc浮p19岩2.锅16页8.殖1.典0葵0.隆0.宗0.腹25栏5电an宏yeq21Ro莫ut漆er帮(c奸on晃fi铺g)#村a罗cc贞es僚s-致li绘st兰1止18粘p亚er杆mi渗ttc诞p19浊2.干16缴8.往1.林0舟0.幕0.捧0.泡25弄5跳an已yeq20Ro赌ut荷er赶(c狂on饮fi什g)#岸i恒nt朝er逢fa挡ceet蓬he饭rn孕et0/净0Ro柴ut帜er疼(c显on绝fi佣g-i婚f)羡#ipac竞ce病ss猫-g绢ro惨up酿1敲18翅i免n目的：不允归许网折段的牧用户击访问朵网络骄内除WE搏B、FT荒P服务呜以外斜的其站他服高务。（由寒于默刑认禁须止了IC垫MP数据且包，睡因此祥，虽足然网莫络内批的主稍机可欢以WE爷B、FT简P方式遵访问肯指定捉的主放机，饶但无量法pi牢ng通提译供WE赤B、FT殿P服务逼的主解机：丑、）第三堵部分辉：扩怜展访唐问控易制列纽奉表六、优扩展筝访问兰控制驰列表帮应用脾三：Ro驶ut窑er禁(c肺on帮fi晶g)#弊a钩cc惑es拔s-臣li挤st响1皂28麦p尊er件mi届ttc布pan肺y回ho际st纲1命92执.1苏68艘.2辽.2eqww技wRo票ut揭er示(c挪on蜓fi搜g)#旦a战cc珠es撇s-饲li册st谋1烤28多p旗er立mi返ttc寻pan字y撕ho忍st陪1纯92跌.1爱68滑.2袭.2eq21Ro虹ut仪er澡(c剖on苍fi呆g)#险a盏cc涨es流s-挪li精st道1益28口p骡er罪mi奏ttc汽pan积y暴ho牙st丢1刚92瓣.1抖68即.2伤.2eq20Ro梅ut县er杂(c踩on叮fi仙g)#赤i巡寿nt罪er血fa悟ceet虑he肃rn号et0/该1Ro逢ut毛er弓(c名on柳fi尸g-i厉f)必#ipac朴ce鞠ss哈-g厦ro介up火1侍28踪蝶o印ut目的：只允沈许所多有主讨机访慨问皮服务门器提阿供的WE处B和FT摊P服务狡。第三顿部分姐：扩故展访已问控节制列保表七、夹扩展著访问跨控制完列表怨应用换四：Ro丢ut概er供(c纵on糖fi顺g)哑#驱ac致ce甲ss壳-l第is置t柿10竟1热de悉ny勇t弊cp稀17治2.锤16缝.4牺.0进0李.0摊.0仪.2校55日1盆72炊.1樱6.葱3.缴0腊0.剑0.辨0.浊25叶5剪eq猪2葡1Ro呼ut亿er扮(c朵on缸fi截g)饱#我ac道ce岁ss例-l动is户t砌10捉1杀pe雁rm柱it都i乞p狮an气y昌an料yRo起ut黎er多(c顽on堡fi科g)逼#舒in待te跪rf涝ac惊e煌et序he敞rn旁et踪蝶0Ro刮ut喇er纪(c订on妥fi沙g-旅if欧)#丝式i诉p量ac饼ce临ss躁-g纱ro庄up阶1序01艇o椅ut目的：（1）拒光绝网胁络17谊2.水16最.4岁.0的FT鹿P通信绩流量块通过e0E0E1/24/24/243FTP×第三兼部分吴：扩萄展访辫问控饿制列馒表八、含扩展桃访问荣控制软列表棵应用贫五：Ro谨ut创er饼(c偏on变fi听g)主#弯ac僵ce脖ss锤-l久is稼t舍10烫1坚pe唐rm嫂it诵t宫cp脆a剧ny恒1接72形.1言6.模4.留0妖0.败0.拆0.发25蚕5占eq罗2宝5Ro书ut痛er点(c极on晋fi麦g)蜻#蔬in过te棋rf出ac辽e饭et帽he紧rn饶et腐1Ro要ut许er滩(c关on铅fi跟g-饲if红)#买i围p摘ac哗ce却ss妥-g裹ro对up灵1崖01敢o馅ut目的：（1）只允谊许外兔部网钥络的哥SM稿TP青通信租流量需通过尘e1E0E1/24/24/243SMTP第四偿部分付：命轻名访迟问控辆制列速表一、置命名搏访问若控制衬列表烧简介命名AC肢L允许尸在标收准AC蕉L和扩筛展AC乓L中使舍用一四个字邻母数曲字组嗓合的烛字符询串来洞替代疾前面定所使劝用的我数字果来表丘示AC庸L表号技。在使夫用列谁表号代表示制的“崭标准IP访问绘控制费列表燥”和每“扩钞展IP访问帽控制而列表考”中勤，如求果输畜入的池语句镜出现指错误愚，用牌户不栋能方淡便地毁进行稻修改是，而绣必须焰先将蜂整个AC惊L列表剑删除恐后，牲再重执新创薯建。寒而在雷使用钉名字胜表示舟的“洁标准IP访问岗控制绕列表帝”和提“扩弹展IP访问线控制对列表兵”中嘱，用塔户可胡以方旬便地透对AC委L语句衬进行倚修改快。另外羽，在街设计绪命名监的控但制列鸦表时命，应盏该注耍意：（1）、11脾.2以前姜的版宅本的Ci线sc财o栽IO场S不支栏持命佣名的AC习L。（2）、拢不能漠以同故一个谢名字愈来命工名多致个AC肾L。第四畅部分贝：命独名访悼问控只制列貌表二、捉定义欢和应捏用命绵名标赖准访意问控嗓制列春表（1）定义破标准误命名肾访问光控制邪列表陷名称西：Ro互ut侮er狐(c宵on异fi国g)挠#艘ip穗a膝cc昏es省s-庭li劳st默s望ta界nd枕ar年d宾ac他ce贯ss采-l爆is逃t-夹na暂me（2）应用怨标准慨命名甚访问区控制效列表沈到路来由器婶指定让端口栏的指密定方得向上Ro蜂ut锣er表(c特on浓fi六g-贯if依)#肿i快p傅ac悔ce污ss帽-g病ro峰up迷a也cc套es漆s-伙li还st孟-n草am负e危{禁in抱|素o头ut王}三、伸定义趁和应暴用命伍名扩扶展访徐问控舱制列跪表（1）定义焰扩展螺命名锡访问概控制迟列表圣名称纺：Ro仁ut刻er右(c渡on种fi市g)烧#医ip好a精cc辫es充s-萝li播st刃e因xt盈en曾de井d坏ac仙ce笼ss纪-l冤is巾t-射na拾me（2）应用勉扩展止命名膊访问箱控制费列表见到路掏由器挂指定茶端口魂的指富定方姿向上Ro鞋ut解er遇(c演on梦fi掩g-喂if满)#善i等p夏ac辨ce格ss这-g丛ro普up扑a每cc汇es丑s-鸟li陡st秩-n侵am以e核{两in逐|冈o均ut蹈}第四巴部分净：命转名访身问控糖制列控表四、朴命名惜标准驳访问格控制针列表帐实例（1）功见能实脉现：馋禁止膀源地烤址为19逝2.潜16潮8.供5.句25的数抚据包什流入弓路由拼器的E冒0/巨0接口挖，其邻实就干是禁鲁止了19扇2.期16粪8.申5.供25主机盲的对歉外访雀问。（2）拓握朴结免构第四贼部分膏：命右名访巨问控肿制列想表3、定拉义标滤准命瞧名访爹问控列制列谢表Ro叙ut舌er饱(c陷on射fi曲g)好#鱼ip利a石cc波es港s-龟li举st享s旬ta总nd您ar惠dbl单oc锡k2间5Ro批ut丑er峰(c栏on赵fi岗g-经st究d-茄na养cl舰)#匀R棍ou代te您r(料co恐nf逝ig戒-s失td掩-n项ac绳l)吃#pe姓rm支it搂a初nyRo约ut挑er考(c蝴on很fi赴g-末st骡d-街na址cl钟)#晕e季xi抗t4、应钳用标程准命沈名访萍问控代制列守表到气路由布器指折定接府口的套指定琴方向恩上Ro须ut辟er搂(c顿on觉fi壁g)蛋#接in湿te市rf狠ac阻e遍et锻he房诚rn盼et愁0钉/0怖Ro姐ut基er童(c重on乖fi途g-桌if症)#户i牙p何ac腥ce鸟ss跨-g醒ro躬upbl柱oc描k2蛙5in第五涉部分逝：时捏间访罚问控卷制列凑表一、吹基于枣时间捏的访斑问控捕制列缎表基于岗时间明的访怜问控旧制列蜜表可到以根池据一醋天中蹦的不柱同时寄间，夺或者洗根据炎一星更期中露的不偶同日曾期，锣或二墓者相筋结合沸来控哀制网兴络数亮据包佛的转智发。辜这种稠基于诊时间盛的访趋问列芒表，字就是籍在原戴来的伐标准职访问途列表侵和扩港展访炒问列蛙表中霜，加涝入有笛效的讨时间已范围烛来更司合理柴有效拍地控魂制网民络。庄配置富基于割时间芹的访绕问控继制列恰表之浅前，世必须梳正确弹配置鞠路由个器的奋时间:配置休时间仍语法讯：#c鼓lo为ck钟s掩et彩h个h:艇mm袍:s圾s结<1觉-3椅1>蒸M尼ON躬TH书<电19垃92卵-2谁03活5>第五气部分夫：时著间访再问控扎制列塌表二、耳定义革时间吹名称Ro研ut厕er昏(c恒on闹fi锻g)零#ti誓me捆-r政an即ge修[规ti志me禁-r齐an登ge估-n绝am洲e]ti志me交-r末an菜ge：用文来定惩义时帐间范悟围ti割me网-r才an房诚ge是-n气am阀e：时炮间范坝围名标称，箱以便血在后喜面的施访问希控制明列表锐中引材用三、估定义违时间上名称芹所指槐向的胀具体字时间惰范围（1）定检义绝嘴对时恋间范切围Ro赛ut晕er偿(c烘on完fi磁g-t杂im敌e-邻ra移ng毁e)宋#ab腰so惕lu萄te招s沾ta斗rthh吹:m吉m<1疏-3安1>膛M稍ON伯TH跨<冶19松93仓-2刊03递5>辰e琴ndhh推:m敌m<1延-3锈1>厅m控on轮th完<罚19骆93协-2爷03折5>该命哨令用果来指高定绝板对时析间范器围。遗它后驼面紧箩跟st坟ar唐t和en辞d两个挤关键辞字。郊在两翅个关喂键字勇后面更的时筋间要镰以24小时开制和钢“hh:抢mm（小赤时：铜分钟全）”辆表示炉，日述期要坑按照画“日/月/年”听形式堵表示捉。第五谈部分北：时恭间访别问控浑制列葛表（2）定译义相存对时毫间范掀围Ro凝ut繁er破(c何on合fi牲g-够ti怪me卸-r豆an汽ge挣)#pe盟ri有od肤ic曾[星期胜几（顶英文磁）]槽hh蜓:m里m哗to傻h属h:云mm主要苏以星忙期为棒参数摇来定凤义时坦间范天围。量它的下参数凡主要裤有Mo呢nd羞ay、Tu找es牺da令y、We绵dn境es都da钞y、Th席ur灶sd场ay、Fr奔id占ay、Sa撕tu饭rd族ay、Su亚nd郑ay中的换一个弊或者锄几个赢的组宗合，本也可登以是da斑il龟y（每喝天）维、we筐ek没da狗y（周谎一到艳周五伴）或尖者we揪ek保en唤d（周生末）诵。基于忧时间秆访问越列表犁的设布计中恰，用ti灰me体-r执an洽ge命令畜来指荐定时佣间范汇围的险名称旅，然滑后用ab府so俱lu瓶te命令疫，或兴者一把个或毒多个pe灵ri付od严ic命令钥来具蠢体定贪义时吓间范死围。押但两崖者不极能同意时使苦用，政否则屡配置央会失议效。第五馅部分禽：时回间访摊问控吴制列虫表四、缝将时是间范小围名泛称作医用到宴指定延的访瘦问控认制列骄表中Ro训ut好er积(co呀nf家ig挖)#ac苦ce喘ss言-l回is丘t列表裂编号[d加en东y|舒pe依rm葱it生]围ip源ip源掩辉码目标ip目标劣掩码ti峰me遣-r党an村ge羽[以ti速me办-r盗an贝ge抵-n寺am赠e]Ro港ut博er握(c绳on邀fi凉g)遥#ac西ce舌ss魄-l辟is恢t揪<a形s号>差pe涛rm雄it姑a活ny栗a刺ny五、辰将访编问控管制列笋表添胖加到漫指定湿接口逐的指差定方猫向Ro很ut么er盏(c壶on冻fi姻g)挽#in臂te际rf滩ac存e化fa展st耕et况he遍rn站et模块/接口Ro绘ut昂er桂(c猴on遵fi滥g-扛if钟)#ip据a雅cc涨es猛s-尾gr询ou慨p列表勾号[i裳n|访ou城t]第五付部分插：时惰间访春问控现制列剥表六、嘱实例盆演示（1）拓你朴结滴构第五座部分拌：时溜间访止问控坑制列轧表（2）实尖验要杂求（3）实衡验命检令第五枕部分狂：时萍间访醉问控她制列数表七、长访问裁控制划列表途命令耻清单第六勿部分召：AC昂L存放促位置娇分析一、扛网络吸拓朴赔结构ABCD二、它标准僵访问却控制毫列表异存放吨位置坛分析如果猜要A的网糕络拒鸽绝来期自网巧络的锤访问,访问绒控制危列表段为:ac则ce付ss杰-l翅is毁t赛1晕pe蚂rm援it充a莲ny显然雁把这字条AC沿L放在苗除A之外挠的任洁何路槽由器纱的任标何端佩口都雁是不思合适歌的,这样由会影捞响到纵向B和C发送无数据附。第六宴部分掘：AC淋L存放赴位置轻分析三、吼扩展币访问岗控制久列表鄙存放原位置参分析如果卷要A拒绝虚来自菠网络登的TE割LN寻ET访问初，扩伍展访缎问控情制列语表为捏：ac同ce苦ss财-l泛is看t装10驳2讲de荐ny傍t扭cp19黄2.弓16屠8.回5.就0监0.厚0.计0.淋25滤5腐eq却2抄3ac邮ce症ss血-l获is捉t清10摧2驳pe字rm奶it钢i融p望an施y抗an汽y如果顺把这口条AC絮L放在A中，早尽管跌可以身对访旨问进估行控禽制，岭但被从丢弃送的数废据流糠还是汤在网妇络中扫传送户。所多以最鞠好能缸在D就把底他限销制掉胡。标准分访问删控制斧列表里原则寺上最写好放肌置在深离目能标主开机（江网络数）最脱近的把位置森；扩猫展访贯问控亡制列脸表原珍则上捐最好想放置躬在离欺源主暂机（学网络夏）最悼近的而位置树。附加罗：标蜜准访村问控浴制列更表示抚例一饺：Rt惧A(浩co凝nf链igRt昂A(册co传nf凡ig芝)#乡丰i许nt行er警fa围ce天e饲th架er来ne啦t翅0Rt凉A(茶co抹nf背ig绑