密不透风的管理：用ACL构建防火墙体系

核心提示： 标准IP访问控制列表：在实现过程中应给每一条访问控制列表加上相应的编号，标准IP访问控制列表的编号为1至99，密不透风的管理：用ACL构建防火墙体系(3)，作用是阻止某一网络的所有通信流量，或允许某一网络的所有通信流量，例如，要阻止192.168.0.45主机Telnet流量，语法为：Ro

标准IP访问控制列表：

在实现过程中应给每一条访问控制列表加上相应的编号。标准IP访问控制列表的编号为1至99，作用是阻止某一网络的所有通信流量，或允许某一网络的所有通信流量。语法为：

Router(config)#access-list access-list-number(1~99)
{deny|permit} source [source-wildcard]

如果没有写通配符掩码，则默认值会根据源地址自动进行匹配。下面举例来说明：要阻止源主机为192.168.0.45的一台主机通过E0，而允许其他的通讯流量通过E0端口。

Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0
或Router(config)#access-list 1 deny host 192.168.0.45
或Router(config)#access-list 1 deny 192.168.0.45
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 1 in

首先我们在全局配置模式下定义一条拒绝192.168.0.45主机通过的语句，通配符掩码可以使用0.0.0.0或host，或使用缺省值来表示一台主机，然后将其访问列表应用到接口中。如果现在又修改了计算机的IP地址，那么这条访问控制列表将对您不起作用。

扩展IP访问控制列表：

扩展IP访问控制列表的编号为100至199，并且功能更加灵活。例如，要阻止192.168.0.45主机Telnet流量，而允许Ping流量。

Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 101 in