利用訪問控制列表提高網(wǎng)絡(luò)安全及實(shí)例

精品文檔精心整理精品文檔可編輯的精品文檔利用訪問控制列表提高網(wǎng)絡(luò)安全及實(shí)例目錄：1、利用訪問控制列表提高網(wǎng)絡(luò)安全及實(shí)例2、項目9、利用訪問列表進(jìn)行網(wǎng)絡(luò)管理利用訪問控制列表提高網(wǎng)絡(luò)安全及實(shí)例禹龍?zhí)锷鷤ィㄐ陆髮W(xué)網(wǎng)絡(luò)中心，新疆烏魯木齊830046）摘要：本文以cisco路由器為例，結(jié)合實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)，詳細(xì)介紹了如何利用訪問控制列表來提高網(wǎng)絡(luò)安全性能。關(guān)鍵詞：網(wǎng)絡(luò)安全包過濾access-listStrengtheningthesecurityofnetworkbyusingaccesscontrollistandinstanceYulong(networkofcenterofXinjiangUniversity,XinjiangUrumqr830046)Abstract:Withciscorouterandaccordingthematerialnetworkstructure,howtostrengthenthesecurityofnetworkbyusingaccesscontrollistisdiscussedindetail.Keywords:securityofnetworkpacketfilteringaccess-list引言網(wǎng)絡(luò)安全問題一般包括網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)安全。網(wǎng)絡(luò)系統(tǒng)安全是防止網(wǎng)絡(luò)系統(tǒng)遭到未經(jīng)授權(quán)的非法訪問、存取或破壞；數(shù)據(jù)安全主要是防止重要、敏感數(shù)據(jù)被竊取等。網(wǎng)絡(luò)安全的防護(hù)手段多種多樣，例如，密碼技術(shù)、安全協(xié)議、防火墻、安全WEB服務(wù)器等等。但是，單純依靠防御是不夠的，我們必須重視網(wǎng)絡(luò)的整體安全。實(shí)際上，每一種設(shè)備對網(wǎng)絡(luò)的安全管理方面都有一定的作用，完全可以結(jié)合整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的特性制定多層次、全方位的安全解決方案，通過網(wǎng)絡(luò)路由過濾、虛擬子網(wǎng)的劃分、服務(wù)器實(shí)時監(jiān)控、口令和訪問權(quán)限的限制等多項技術(shù)，最大可能的保障網(wǎng)絡(luò)安全。通過路由器提高網(wǎng)絡(luò)安全性路由器工作在tcp/ip模型的第三層（即網(wǎng)絡(luò)層），是Intranet和Internet的連接處，是信息出入的必經(jīng)之路，對網(wǎng)絡(luò)的安全具有舉足輕重的作用。而現(xiàn)在大多商業(yè)路由器都提供了基于協(xié)議、IP等標(biāo)準(zhǔn)的包過濾的能力，能有效地防止外部用戶對局域網(wǎng)的安全訪問，同時可以限制網(wǎng)絡(luò)流量，也可以限制局域網(wǎng)內(nèi)的用戶或設(shè)備使用網(wǎng)絡(luò)資源。下面我們以Cisco路由器為例，討論如何利用路由器來提高網(wǎng)絡(luò)的安全性。2.1數(shù)據(jù)包過濾簡而言之，基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫作包過濾（packetfiltering）。包過濾路由器可以通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。當(dāng)然，利用路由器實(shí)現(xiàn)的數(shù)據(jù)包過濾安全機(jī)制不需要增加任何額外的費(fèi)用。Cisco路由器是通過訪問列表access-list命令來完成包過濾規(guī)則的設(shè)置，故包過濾器又被稱為訪問控制列表（AccessControlList）。它將訪問列表定義為應(yīng)用于Internet地址的一系列允許和拒絕條件的組合。2.2訪問列表的基本概念Cisco訪問列表缺省進(jìn)行靜態(tài)分組過濾，其提供了標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表。標(biāo)準(zhǔn)訪問列表的語法如下：access-list[1-99]permit|deny{address}{wildcard-mask}擴(kuò)展訪問列表的語法如下：access-list[100-199]permit|deny{protocol}{source}{source-mask}{destination}{destination-mask}{operator}{port}est(shortforestablishifapplicable)其中，protocol為協(xié)議，如TCP、IP、UDP、ICMP等；因?yàn)镮P封裝TCP、UDP和ICMP包，所以它可以用來與其中任一種協(xié)議匹配。Operator有效操作符為：It(小于)，gt(大于)，eq(等于)，neq(不等于)。Est參數(shù)表示將檢測數(shù)據(jù)包中TCP標(biāo)志，防止不可信主機(jī)對建立TCP會話的要求，而允許已建立TCP會話的數(shù)據(jù)包通過。TCP標(biāo)志是用來表示TCP包的類型，如：打開連接包(SYN=1,ACK=0),打開連接確認(rèn)包(SYN=1,ACK=1),打開連接確認(rèn)包的確認(rèn)（SYN=0,ACK=1）。1)SYN=1,ACK=0（打開連接）SERVER1)SYN=1,ACK=0（打開連接）SERVERCLIENT2)SYN=1,ACK=1（打開連接確認(rèn)）2)SYN=1,ACK=1（打開連接確認(rèn)）3)SYN=0,ACK=1（確認(rèn)打開連接確認(rèn)）3)SYN=0,ACK=1（確認(rèn)打開連接確認(rèn)）TCP打開連接從上圖可以看出，SYN=1,ACK=0這種情況只發(fā)生在一個系統(tǒng)要建立與另一個系統(tǒng)的連接時。分組過濾利用這個獨(dú)特的標(biāo)志設(shè)置控制TCP會話，只要阻止了初始連接請求，就無法建立兩個系統(tǒng)之間的對話。2.3利用訪問列表實(shí)現(xiàn)安全控制實(shí)例2.3.1實(shí)例網(wǎng)絡(luò)模型主機(jī)n主機(jī)1Cisco7206Internet主機(jī)n主機(jī)1Cisco7206Internet(2/30)S0E0(0/24)(2/30)S0E0(0/24)OA--serverWWW-serverDNS-serverMail--serverOA--serverWWW-serverDNS-serverMail--serverTELNEET-serverFTP--serverTELNEET-serverFTP--server2.3.2實(shí)現(xiàn)步驟及方法以下我們建立的access-list101將應(yīng)用于cisco7206的s0接口上，并且是對進(jìn)入的包進(jìn)行過濾(in)。1.防地址欺騙對進(jìn)入的包進(jìn)行過濾可以阻止一類叫做地址欺騙的攻擊，即從外部端口進(jìn)入的包是不可能來自于內(nèi)部網(wǎng)絡(luò)的。Access-list101denyip55any2.對訪問DNS-server、telnet-server的控制為了允許外部主機(jī)向DNS-server發(fā)出DNS查詢，必須讓目標(biāo)地址指向服務(wù)器1且UDP端口為53的數(shù)據(jù)包通過。由于兩個DNS—server交換信息時，用源和目標(biāo)端口號53，而不象許多其它服務(wù)一樣用大于1023的答復(fù)端口。Access-list101permitudpanyhosteq53Access-list101permittcpanyhosteqtelnet3.對訪問MAIL-server的控制access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqpop34.對WWW、FTPserver的訪問控制access-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteq21access-list101permittcpanyhosteq20其中，端口21用來傳輸FTP命令，而端口20用來傳輸數(shù)據(jù)。5.建立網(wǎng)絡(luò)連接由于沒有限制內(nèi)部主機(jī)和服務(wù)器對外部的訪問，所以必須讓外部服務(wù)器返回的數(shù)據(jù)答復(fù)包進(jìn)入，此時，返回包的目的端口號都將大于1023。Access-list101permittcpanyeq2055gt1023Access-list101permittcpany55gt1023establish由于內(nèi)部主機(jī)使用外部FTP-server時，返回的數(shù)據(jù)沒有置ack位的，所以上面兩條語句不能顛倒。6.對OA-server的訪問控制因?yàn)镺A-server為供局域網(wǎng)內(nèi)部使用的辦公自動化系統(tǒng)，所以不允許外部訪問access-list101denyipanyhost7.保護(hù)內(nèi)部所有winx環(huán)境的機(jī)器現(xiàn)在微軟采取了netbiosoverTCP/IP的方法來解決通過IP地址搜索主機(jī)的問題,使用的是445,139,137,138幾個端口。為了防止外部對內(nèi)部機(jī)器的搜索和共享，應(yīng)該在路由器上拒絕進(jìn)入內(nèi)部的搜索請求包。access-list101denytcpanyany4458.保護(hù)路由器不允許外部通過telnet和snmp來訪問路由器本身。Access-list101denyipanyhost2eq23Access-list101denyipanyhost0eq1619.阻止探測要阻止向內(nèi)的探測，最常見的命令是ping過濾如下：access-list101denyicmpanyanyecho10.拒絕一切不必要的UDP通信流access-list101denyudpanyany11.隱含拒絕cisco訪問表的處理過程是從上到下進(jìn)行匹配檢測，并且在訪問表的最后總由一個隱含的”denyall”表項。這樣，所有不能和顯式表項匹配的數(shù)據(jù)包都會自動被拒絕。從上述步驟可以分析出：第6至第10步的所有表項可以綜合成一條，即：access-list101denyipanyany因?yàn)檫@正好是隱含的denyall表項，所以可以不用寫成顯式表項。12．限制局域網(wǎng)內(nèi)用戶使用網(wǎng)絡(luò)資源在一些單位經(jīng)常會有限制局域網(wǎng)內(nèi)的用戶使用網(wǎng)絡(luò)資源的要求，例如希望局域網(wǎng)內(nèi)的機(jī)器只能訪問一些免費(fèi)的網(wǎng)址，而不能訪問收費(fèi)的網(wǎng)址。對于這種要求，我們學(xué)校以前是通過代理服務(wù)器進(jìn)行限制的，隨著用戶數(shù)量的增大，代理服務(wù)器的瓶頸顯得更為嚴(yán)重。我們把這種限制轉(zhuǎn)移到路由器上去做，效果很好。以下建立的access-list102將應(yīng)用于cisco7206的E0接口上，并且是對進(jìn)入的包進(jìn)行過濾(in)。(假設(shè)需要限制的主機(jī)是：28---54)access-list102permitip2827x.x.x.xy.y.y.yx.x.x.x為允許訪問的外部網(wǎng)絡(luò)。access-list102denyip2827anyaccess-list102permitipanyany2.3.3利用反射性訪問表實(shí)現(xiàn)安全控制從上面的訪問列表的控制中，我們可以看出，能進(jìn)入到網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包只有允許進(jìn)入的數(shù)據(jù)請求包，和所有的數(shù)據(jù)答復(fù)包，這樣看來內(nèi)部網(wǎng)絡(luò)似乎已經(jīng)很安全了，但是由于靜態(tài)分組過濾沒有維護(hù)狀態(tài)，單純依賴于對TCP標(biāo)志的檢測，因此不能保證允許進(jìn)入的通信流就是合法的數(shù)據(jù)答復(fù)，例如無法阻止FIN掃描這一類的攻擊。而動態(tài)分組過濾彌補(bǔ)了這個漏洞，它用一個連接表監(jiān)視通信對話的狀態(tài)，而不止是利用標(biāo)志設(shè)置，這使路由器能更好地進(jìn)行通信流量控制。在IOS11.2以后，cisco路由器支持反射性訪問表（reflexiveaccesslist）,其適用于任何IP傳輸。使用反射性訪問表時，路由器生成所有活動對話的動態(tài)狀態(tài)表，提供了遠(yuǎn)遠(yuǎn)優(yōu)于靜態(tài)過濾的通信控制，增強(qiáng)了安全可靠性。下面仍以上述2.3.1中的網(wǎng)絡(luò)模型為例，給出使用反射性訪問表進(jìn)行安全控制的實(shí)現(xiàn)方法：ipaccess-listextendedfilterindenyip55anypermitudpanyhosteq53reflexdnsfilterpermittcpanyhosteq23reflextelfilterpermittcpanyhosteq25reflexsmtfilterpermittcpanyhosteq110reflexpopfilterpermittcpanyhosteq80reflexhttfilterpermittcpanyhosteq20reflexftpdatafilterpermittcpanyhosteq21reflexftpfilterevaluatefilterallipaccess-listextendedfilteroutpermitip55anyreflectfilterallevaluatednsfilterevaluatetelfilterevaluatesmtfilterevaluatepopfilterevaluatehttfilterevaluateftpdatafilterevaluateftpfilter最后，應(yīng)該把上述反射訪問表都應(yīng)用于cisco7206的s0接口上：ipaccess-groupfilteroutoutipaccess-groupfilterinin。2.3.4減少潛在危險一些DOS攻擊經(jīng)常會利用路由器上開啟的一些小服務(wù)，例如echo,discard等，所以建議在路由器接口上關(guān)閉這些服務(wù)：noserviceudp-small-servesnoservicetcp-small-servesnoservicefingernoipdirected-broadcastnocdprunnosnmp2.源路由選擇使用數(shù)據(jù)鏈路層的信息，已穿越過了網(wǎng)絡(luò)層，所以就有可能允許攻擊者為本地網(wǎng)上的數(shù)據(jù)指定不正確的路由，所以應(yīng)禁止使用源路由選擇：noipsource-route3.攻擊者利用ICMP重定向來對路由器進(jìn)行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到他們指定的機(jī)器，從而獲得不應(yīng)有的訪問權(quán)，所以應(yīng)該在外部網(wǎng)絡(luò)進(jìn)入路由器的接口（本例指cisco7206的s0口）上禁止ICMP重定向：noipredirects4.cisco路由器局域網(wǎng)接口在缺省情況下開啟代理ARP，雖然這是一個有用的特性，但它也會引起一定的問題，例如可能導(dǎo)致不必要主機(jī)之間的通信。所以應(yīng)關(guān)閉此功能:noipproxy-arp3.小結(jié)通過以上配置，使路由器完成了一定的防火墻功能，提高了網(wǎng)絡(luò)的安全性。參考文獻(xiàn)：ciscoGilbertHeldKentHundley著，Cisco安全體系結(jié)構(gòu)作者簡介：禹龍（1974--）女，講師，主要研究方向：網(wǎng)絡(luò)技術(shù)及應(yīng)用。田生偉(1973--)男,講師,主要研究方向:網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全精品文檔精心整理精品文檔可編輯的精品文檔項目九、利用訪問列表進(jìn)行網(wǎng)絡(luò)管理(一)利用IP標(biāo)準(zhǔn)訪問列表進(jìn)行網(wǎng)絡(luò)流量的控制【項目名稱】編號的標(biāo)準(zhǔn)IP訪問列表?！卷椖拷虒W(xué)目的】掌握路由器上編號的標(biāo)準(zhǔn)IP訪問列表規(guī)則及配置?！卷椖勘尘懊枋觥考偃缒闶悄彻镜木W(wǎng)絡(luò)管理員，公司的經(jīng)理部、財務(wù)部門和銷售部門分別屬不同的3個網(wǎng)段，三部門之間利用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財務(wù)部門進(jìn)行訪問，但經(jīng)理部可以對財務(wù)部門進(jìn)行訪問。PC1代表經(jīng)理部的主機(jī)，PC2代表銷售部門的主機(jī)、PC3代表財務(wù)部門的主機(jī)。【知識鏈接】1、IPACL（IP訪問控制列表或IP訪問列表）是實(shí)現(xiàn)對流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。2、IPACL分為兩種：標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)IP訪問列表——根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展IP訪問列表——根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，從而對數(shù)據(jù)包進(jìn)行過濾。3、IPACL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口時路由器進(jìn)行數(shù)據(jù)包的過濾。出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時進(jìn)行數(shù)據(jù)包的過濾。4、IPACL的配置有兩種方式：按照編號的訪問列表，按照命名的訪問列表。5、標(biāo)準(zhǔn)IP訪問列表編號范圍是1~99、1300~1999；擴(kuò)展IP訪問列表編號范圍是100~199、2000~2699?！卷椖考寄芤蟆繉W(xué)會實(shí)現(xiàn)網(wǎng)段間互相訪問的安全控制?！就瓿身椖克柙O(shè)備】R1762路由器（兩臺）、V.35線纜（1條）、直連線或交叉線（3條）【項目拓?fù)洹俊卷椖繉?shí)施步驟】1、基本配置：Ra基本配置Red-Giant>enable14(password:b402)Red-Giant#configureterminalRed-Giant(config)#hostnameRaRa(config)#interfacefastEthernet0/1Ra(config-if)#ipaddressRa(config-if)#noshutdownRa(config-if)#interfaceFastEthernet1/1Ra(config-if)#ipaddressRa(config-if)#noshutdownRa(config-if)#interfaceserial1/2Ra(config-if)#ipaddressRa(config-if)#clockrate64000Ra(config-if)#noshutdownRa(config-if)#end2、測試命令：showipinterfacebrief。Ra#showipintbrief!觀察接口狀態(tài)InterfaceIP-Addressress(Pri)OK?Statusserial1/2/24YESUPserial1/0noaddressYESDOWNFastEthernet0/1/24YESUPFastEthernet1/1/24YESUPNull0noaddressYESUP3、Rb基本配置Red-Giant>enableRed-Giant#configureterminalRed-Giant(config)#hostnameRbRb(config)#interfacefastEthernet0/1Rb(config-if)#ipaddressRb(config-if)#noshutdownRb(config-if)#exitRb(config-if)#interfaceserial1/2Rb(config-if)#ipaddressRb(config-if)#noshutdownRb(config-if)#end4、測試命令：showipinterfacebrief。Rb#showipintbrief!觀察接口狀態(tài)InterfaceIP-Addressress(Pri)OK?Statusserial1/2/24YESUPserial1/0noaddressYESDOWNFastEthernet0/1/24YESUPFastEthernet1/1noaddressYESDOWNNull0noaddressYESUP5、配置靜態(tài)路由Ra(config)#iprouteserial1/2Rb(config)#iprouteserial1/2Rb(config)#iprouteserial1/26、測試命令：showiproute。Ra#showiproute!查看路由表信息Codes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,FastEthernet0/1C/32islocalhost.C/24isdirectlyconnected,FastEthernet1/1C/32islocalhost.C/24isdirectlyconnected,serial1/2C/32islocalhost.S/24isdirectlyconnected,serial1/0Rb#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetS/24isdirectlyconnected,serial1/2S/24isdirectlyconnected,serial1/2C/24isdirectlyconnected,serial1/2C/32islocalhost.C/24isdirectlyconnected,FastEthernet0/1C/32islocalhost.7、配置標(biāo)準(zhǔn)IP訪問控制列表。Ra(config)#access-list10deny55!拒絕來自網(wǎng)段的流量通過Ra(config)#access-list10permitany!允許所有網(wǎng)段的流量通過8、驗(yàn)證測試：Ra#showaccess-lists10StandardIPaccesslist1includes2items:deny,wildcardbits55permit,wildcardbits55把訪問控制列表在接口下應(yīng)用。Ra(config)#interfacefastEthernet0/1Ra(config-if)#ipaccess-group1in!9、驗(yàn)證測試：Ra#showipinterfacefastEthernet0/1FastEthernet0/1IPinterfacestateis:UPIPinterfacetypeis:BROADCASTIPinterfaceMTUis:1500IPaddressis:/24(primary)IPaddressnegotiateis:OFFForwarddirect-boardcastis:ONICMPmaskreplyis:ONSendICMPredirectis:ONSendICMPunreachabledis:ONDHCPrelayis:OFFFastswitchis:ONRoutehorizontal-splitis:ONHelpaddressis:ProxyARPis:ONOutgoingaccesslistis10.!查看訪問列表在接口上的應(yīng)用Inboundaccesslistisnotset.10、驗(yàn)證測試：網(wǎng)段內(nèi)的主機(jī)不能ping通網(wǎng)段內(nèi)的主機(jī)；但網(wǎng)段內(nèi)的主機(jī)能ping通網(wǎng)段內(nèi)的主機(jī)?！咀⒁馐马棥?、注意在訪問控制列表的網(wǎng)絡(luò)掩碼是反掩碼。2、標(biāo)準(zhǔn)控制列表要應(yīng)用在盡量靠近目的地址的端口上設(shè)置。(二)利用IP擴(kuò)展訪問列表實(shí)現(xiàn)服務(wù)的訪問限制【項目名稱】命名的擴(kuò)展IP訪問列表?！卷椖拷虒W(xué)目的】掌握在交換機(jī)上命名的擴(kuò)展IP訪問列表規(guī)則及配置。【項目背景描述】你是我們學(xué)校的網(wǎng)絡(luò)管理員，在S3550-24交換機(jī)上連著學(xué)校的WWW和FTP的服務(wù)器，另外還連接著學(xué)生宿舍樓和教工宿舍樓，學(xué)校規(guī)定學(xué)生只能對服務(wù)器進(jìn)行WWW訪問，不能進(jìn)行FTP訪問，則對教工沒有此限制?！局R鏈接】1、IPACL（IP訪問控制列表或IP訪問列表）是實(shí)現(xiàn)對流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。2、IPACL分為兩種：標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)IP訪問列表——根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展IP訪問列表——根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，從而對數(shù)據(jù)包進(jìn)行過濾。3、IPACL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。入棧應(yīng)用是指由外部經(jīng)該接口時路由器進(jìn)行數(shù)據(jù)包的過濾。出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時進(jìn)行數(shù)據(jù)包的過濾。4、IPACL的配置有兩種方式：按照編號的訪問列表，按照命名的訪問列表。5、標(biāo)準(zhǔn)IP訪問列表編號范圍是1~99、1300~1999；擴(kuò)展IP訪問列表編號范圍是100~199、2000~2699。【項目技能要求】學(xué)會實(shí)現(xiàn)網(wǎng)段間互相訪問的安全控制?！就瓿身椖克柙O(shè)備】S3550交換機(jī)（1臺）、PC（3臺)、直連線（3