访问控制列表
对于禁止QQ和网络游戏,其实可以通过路由器的访问控制列表(ACL)来实现的。那么什么是访问控制列表呢?访问控制列表是思科的IOS提供的一种控制网络访问的工具,利用ACL可以在路由器的接口上灵活地控制过滤数据包,从而可以决定在路由器的任意接口上允许或者禁止我们需要控制的数据包。一个IP访问列表是控制一个或一组IP或其上的端口的一串命令序列。
IP访问控制列表分为三类,分别为标准访问控制列表(Standard access lists),扩展访问控制列表(Extended access lists)和命名访问控制列表(Named access lists)。
标准访问控制列表是基于源地址和掩码,是对整个TCP/IP协议族的过滤,列表的编号是1至99,格式如下:
Router(config)#access-list access-lists-number(1~99) {deny|permit} souce [wildcard]
Router(config-if)#{protocol} access-group access-list-number {in|out}
扩展访问列表检查源地址和目的地址,可以精确地过滤TCP或者UDP的端口。列表的编号是100至199,格式如下:
Router(config)#access-list access-list-number(100-199) {permit|deny} protocol source source-wildward [operator port] destination destination destination-wildcard [operator port] [established] [log]
Router(config-if)#ip access-group access-list-number {in|out}
命名访问控制列表可以使用一组字母和数字的组合来代替扩展访问控制列表中的数字,使用它可以用来删除某一条特定的控制字符串,这样就可以更方便的精心修改。
具体关于ACL的使用请参阅2003年10月的《网管员世界》或者思科的培训教材,比如CCNA的培训教材或相关资料。
禁止QQ和网络游戏
所有的网络应用,此处所指的是QQ和基于TCP/IP的网络游戏,都是通过和远端的服务器建立TCP或UDP的连接进行通讯的,也就是说,它们是用TCP或UDP端口进行通讯的。我们可以禁止QQ和网络游戏特定的TCP或UDP端口,但是我们如何才能知道QQ和网络游戏是通过哪个端口和服务器端口通讯的呢?大家应该都知道,一般的 *** 作系统里有一条“netstat”命令,可以列出详细的端口列表。但是面对众多的IP地址和端口号,我们是很难看出哪一个IP地址和端口才是我们需要控制的。
其实,有很多单机版的网络防火墙软件,可以让我们详细并即时地看到哪一个应用软件在使用什么端口和远端通讯。在这里我推荐大家使用天网防火墙个人版。
下面就以我公司禁止QQ的设置为例来演示一下。我公司上网是通过Cisco 2611路由器的NAT功能上网的,Web和Mail都是通过NAT的端口映射实现的。
首先,打开QQ以后,在天网防火墙里可以看到QQ正在和服务器UDP 8080端口进行通讯,那么我们要做的就是禁止源地址UDP 8080端口。
Router(config)# access-list 102 udp deny any any eq 8080
Router(config)# access-list 102 tcp permit any any
Router(config)# access-list 102 udp permit any any
Router(config)# access-list 102 ip permit any any
Router(config-if)# ip access-group 102 in
第一个命令定义了编号为102的ACL,禁止所有源地址和目的地址的UDP 8080端口的数据包,最后一个命令是在interface模式下,此处应在靠近局域网的端口应用上面定义的编号为102的ACL。因为ACL默认需要至少有一条规则让数据可以通过网络接口,所以第二、三、四行的命令是规定所有的TCP、UDP、IP协议可以通过。
设置完成以后,用天网防火墙可以看到QQ在不停的尝试和远端服务器UDP 8080端口进行通信,但是过一会儿以后,发现QQ又可以连接上去了。这是因为新版的QQ可以使用TCP 80端口进行通信。因为TCP 80端口是>我是在这个网址下载的, >天网防火墙 天网防火墙 作为免费防火墙,的确是我见到的最好的免费防火墙 : 天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮你抵挡网络入侵和攻击,防止信息泄露。天网防火墙把网络分为本地网和互联网,可针对来自不同网络的信息,来设置不同的安全方案,适合于任何方式上网的用户。 1)严密的实时监控 天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。 2)灵活的安全规则 天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。 3)应用程序规则设置 新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其它很多软件防火墙不具有的功能。 4)详细的访问记录和完善的报警系统 天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,你可以清楚地看到是否有入侵者想连接到你的机器,从而制定更有效的防护规则。与以往的版本相比,天网防火墙(个人版)设置了完善的声音报警系统,当出现异常情况的时候,系统会发出预警信号,从而让用户作好防御措施。 5)即时聊天保护功能 DBlackICE 对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线: 1该软件的最大特点是灵敏度和准确率非常高,稳定性也相当出色,系统资源占用率极少。 2BlackICE集成有非常强大的检测和分析引擎,可以识别200 多种入侵技巧,给你全面的网络检测以及系统防护。 3它还能即时监测网络端口和协议,拦截所有可疑的网络入侵,无论黑客如何费尽心机也无法危害到你的系统。 4它可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来,以便你采取进一步行动。这也很有自己的特点。 EKFW傲盾防火墙 KFW傲盾防火墙 个人版 很适合家庭个人用户: 主要功能: 1、实时数据包地址 、类型过滤 2、功能强大的包内容过滤 3、包内容的截获 4、先进的应用程序跟踪 5、灵活的防火墙规则设置 6、实用的应用程序规则设置 7、详细的全安纪录 8、专业级别的包内容记录 9、完善的报警系统 10、IP地址翻译 11、简捷方便漂亮的 *** 作界面 12、强大的端口分析功能 13、强大在线模块升级功能 下载地址: >
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)