ssh與訪問控制列表

⑴ 華為acl應用到vlan配置

1、使用system-view命令進入[]模式。

⑵ 如何配置Cisco路由器ACL訪問控制列的實際案例

第一階段實驗：配置實驗環境，網路能正常通信
R1的配置：

復制代碼
代碼如下:
R1>en
R1#conf t
R1（config）#int f0/0
R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shut
R1（config-if）#int loopback 0
R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1
R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exit
R1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1（config）#username benet password testR1（config）#line vty 0 4
R1（config-line）#login local

SW1的配置：

復制代碼
代碼如下:
SW1>en
SW1#vlan data
SW1（vlan）#vlan 2
SW1（vlan）#vlan 3
SW1（vlan）#vlan 4
SW1（vlan）#vlan 100
SW1（vlan）#exit
SW1#conf t
SW1（config）#int f0/1
SW1（config-if）#no switchport
SW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15
SW1（config-if-range）#switchport
trunk encapsulation dot1qSW1（config-if-range）#switchport mode
trunkSW1（config-if-range）#no shut
SW1（config-if-range）#exit
SW1（config）#int vlan 2
SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 3
SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 4
SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 100
SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip routing
SW1（config）#int vlan 1
SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#username benet password testSW1（config）#line vty 0 4

SW1（config-line）#login local

SW2的配置：

復制代碼
代碼如下:
SW2>en
SW2#vlan data
SW2（vlan）#vlan 2
SW2（vlan）#vlan 3
SW2（vlan）#vlan 4
SW2（vlan）#exit
SW2#conf t
SW2（config）#int f0/15
SW2（config-if）#switchport mode trunk
SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#int f0/1
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 2SW2（config-if）#no shut
SW2（config-if）#int f0/2
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 3SW2（config-if）#no shut
SW2（config-if）#int f0/3
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 4SW2（config-if）#no shut
SW2（config-if）#int vlan 1
SW2（config-if）#ip addr 192.168.0.2 255.255.255.0SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#ip default-gateway 192.168.0.1SW2（config）#no ip routing
SW2（config）#username benet password testSW2（config）#line vty 0 4
SW2（config-line）#login local

SW3的配置：

復制代碼
代碼如下:
SW3>en
SW3#vlan data
SW3（vlan）#vlan 100
SW3（vlan）#exit
SW3#conf t
SW3（config）#int f0/15
SW3（config-if）#switchport mode trunk
SW3（config-if）#no shut
SW3（config-if）#int f0/1
SW3（config-if）#switchport mode access
SW3（config-if）#switchport access vlan 100SW3（config-if）#no shut
SW3（config-if）#int vlan 1
SW3（config-if）#ip addr 192.168.0.3 255.255.255.0SW3（config-if）#no shut
SW3（config-if）#exit
SW3（config）#ip default-gateway 192.168.0.1SW3（config）#no ip routing
SW3（config）#username benet password testSW3（config）#line vty 0 4
SW3（config-line）#login local

網路管理區主機PC1（這里用路由器模擬）

復制代碼
代碼如下:
R5>en
R5#conf t
R5（config）#int f0/0
R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shut
R5（config-if）#exit
R5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1

財務部主機PC2配置IP:
IP地址：192.168.3.2 網關：192.168.3.1
信息安全員主機PC3配置IP:
IP地址：192.168.4.2 網關：192.168.4.1
伺服器主機配置IP:
IP地址：192.168.100.2 網關：192.168.100.1第一階段實驗驗證測試：
所有部門之間的主機均能互相通信並能訪問伺服器和外網（測試方法：用PING命令）
在所有主機上均能遠程管理路由器和所有交換機。（在PC主機上用telnet命令）
第二階段實驗：配置ACL實現公司要求
1、只有網路管理區的主機才能遠程管理路由器和交換機R1的配置：

復制代碼
代碼如下:
R1#conf t
R1（config）#access-list 1 permit 192.168.2.0 0.0.0.255R1（config）#line vty 0 4
R1（config-line）#access-class 1 in

SW1的配置

復制代碼
代碼如下:
SW1#conf t
SW1（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW1（config）#line vty 0 4
SW1（config-line）#access-class 1 in

SW2的配置

復制代碼
代碼如下:
SW2#conf t
SW2（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW2（config）#line vty 0 4
SW2（config-line）#access-class 1 in

SW3的配置

復制代碼
代碼如下:
SW3#conf t
SW3（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW3（config）#line vty 0 4
SW3（config-line）#access-class 1 in

驗證：在PC1可以遠程TELNET管理路由器和交換機，但在其他主機則被拒絕telnet
2、內網主機都可以訪問伺服器，但是只有網路管理員才能通過telnet、ssh和遠程桌面登錄伺服器，外網只能訪問伺服器80埠。
在SW1三層交換機上配置擴展ACL
3、192.168.3.0/24網段主機可以訪問伺服器，可以訪問網路管理員網段，但不能訪問其他部門網段，也不能訪問外網。
在SW1三層交換機上配置擴展ACL
4、192.168.4.0/24網段主機可以訪問伺服器，可以訪問管理員網段，但不能訪問其他部門網段，可以訪問外網。
在SW1三層交換機上配置擴展ACL
以上就是通過實際案例來告訴大家如何配置Cisco路由器ACL訪問控制列

⑶ 在linux 下怎麼定義訪問控制列表

利用tcp wrapper機制，文件為/etc/hosts.deny和/etc/hosts.allow 在/etc/hosts.deny中加入：sshd:192.168.5.0/24:deny或在/etc/hosts.allow中加入：sshd:192.168.5.0/24:deny
附：TCPWrapper，顧名思義，就是用來封裝使用TCP/IP協議應用的一個東西，例如：telnet，ftp，ssh等。封裝起來做地址過濾，不讓他人隨便連到主機上，也就是安全上常說的access control list（ACL）。

⑷ cisco防火牆配置的基本配置

激活以太埠必須用enable進入，然後進入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默認情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,
inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。 採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部埠outside的安全級別（100安全級別最高）
security100是內部埠inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網路，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。 採用命令為：ip address
如：內部網路為：192.168.1.0 255.255.255.0
外部網路為：222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 在默然情況下，PIX的以太埠是不允許telnet的，這一點與路由器有區別。Inside埠可以做telnet就能用了,但outside埠還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
PIX passwd:
輸入密碼：cisco 此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網路協議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,埠為：80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside NAT跟路由器基本是一樣的，
首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接著定義內部網段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則：
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
則某些情況下，外部地址是很有限的，有些主機必須單獨佔用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下：
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 在內部網路，為了維護的集中管理和充分利用有限IP地址，都會啟用動態主機分配IP地址伺服器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.1.200
DNS: 主202.96.128.68 備202.96.144.47
主域名稱：
DHCP Client 通過PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain 靜態埠重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了埠重定向的功能，允許外部用戶通過一個特殊的IP地址/埠通過Firewall PIX
傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了，這種方式並不是直接連接，而是通過埠重定向，使得內部伺服器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99
telnet埠，通過PIX重定向到內部主機192.168.1.99的telnet埠（23）。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99
FTP，通過PIX重定向到內部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208
www(即80埠)，通過PIX重定向到內部192.168.123的主機的www(即80埠)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201
HTTP(8080埠)，通過PIX重定向到內部192.168.1.4的主機的www(即80埠)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5
smtp(25埠)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25埠)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 顯示命令show config
保存命令write memory

⑸ 思科Cisco路由器的ACL控制列表設置

1、首先在電腦上點擊打開Cisco軟體。准備兩個PC，一個server和三個路由器，並連接。