密不透风的管理：用ACL构建防火墙体系

核心提示： time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to[days-of-the week] hh:mm下面分别来介绍一下每个命令和参数的详细

time-range time-range-name absolute
[start time date] [end time date]
periodic days-of-the week hh:mm to
[days-of-the week] hh:mm

下面分别来介绍一下每个命令和参数的详细情况：

time-range 用来定义时间范围的命令。

time-range-name 时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。

absolute 该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm表示，日期要按照日/月/年来表示。如果省略start及其后面的时间，则表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止。如果省略end及其后面的时间，则表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且一直进行下去。

periodic 主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily(每天)、weekday(周一至周五)，或者weekend(周末)。

下面我们来看一个实例：在一个网络中，路由器的以太网接口E0连接着202.102.240.0网络，还有一个串口S0连入Internet。为了让202.102.240.0网络内的公司员工在工作时间内不能进行WEB浏览，从2003年5月1日1时到2003年5月31日晚24时这一个月中，只有在周六早7时到周日晚10时才可以通过公司的网络访问Internet。

我们通过基于时间的扩展访问控制列表来实现这一功能：

Router# config t
Router(config)# interface Ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1
may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http

我们是在一个扩展访问列表的基础上，再加上时间控制就达到了目的。因为是控制WEB访问的协议，所以必须要用扩展列表，那么编号需在100至199之间。我们定义了这个时间范围的名称是http，这样，我们就在列表中的最后一句方便地引用了。

合理有效地利用基于时间的访问控制列表，可以更有效、更安全、更方便地保护我们的内部网络，这样您的网络才会更安全，网络管理人员也会更加轻松。

检验

在路由器中用show running-config命令检查当前正在运行的配置文件，用show ip access-list命令来查看访问控制列表，并在计算机的命令提示符下用Ping/Telnet命令进行测试。

总结

在网络安全体系中，最重要的安全要素—访问控制的控制点在网络通信通道的出入口上。内部网络通过路由器的广域网接口与Internet相连，再通过此路由器的局域网接口接入内部网络，而正确地放置ACL访问控制列表将起到防火墙的作用。为了满足与Internet间的访问控制，以及满足内部网络不同安全属性网络间的访问控制要求，在路由器上配置防火墙，让网络通信均通过它，以此控制网络通信及网络应用的访问权限。