路由器访问权限控制

阅读:0 来源: 发表时间:2023-03-23 12:35作者:周淑贞

本篇文章给大家谈谈路由器允许访问列表,以及路由器访问权限控制对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。

本文目录一览:

1、路由器的访问控制列表是怎样设置的?

2、怎样将MAC地址添加到路由器的允许访问列表当中

3、无线路由器的允许访问列表什么意思? 有限制么?

4、怎样在家用路由器中设置可以访问的网站列表

5、路由器访问控制列表(ACL)的特性有哪些?

路由器的访问控制列表是怎样设置的?

在路由上建若干个访问控制列表(ACL),然后配置好后把它们应用到相应端口,就能实现你的要求。

扩展型的ACL可以实现限制某些IP地址的某些服务或端口的拦截,比如电子邮件,FTP之类都是可以限制的,只能访问某一站点也是可以实现的,只允许它们访问限定的IP就行了。

具体的就是TELNET到你路由的接口,然后打命令去。具体命令想解释清楚就太长了。。。也不知道你什么情况没法细说。

限制改IP也很容易实现,如果你用的WINDOWS的话,只要设置权限就行了。具体的到“本地安全策略”里设,点

开始-运行-输入“gpedit.msc”

在“本地策略”的“用户权利指派”里有各用户组的权利分配。如果对用户组做调整,用“组策略”-开始-运行-“gpedit.msc”

可以把用户划分到不同的组以分配权限。

怎样将MAC地址添加到路由器的允许访问列表当中

进路由器 打开安全设置 MAC地址过滤 在里面设置MAC地址

有无线的话 在无限的选项里也有MAC地址过滤。

路由器访问权限控制

无线路由器的允许访问列表什么意思? 有限制么?

路由器里面有限制ip/mac的选项,如果开启了这个选项,那么只有该列表下的ip/mac才可以访问网络,其它访客需要管路员把该设备加进该列表才能访问网络。

我就是这么做的,比人就算接到路由器上也不能访问网络,没有路由器的密码也不能更改,所以看起来你连上了,但是没有权限。

如果是自己家里的路由器,进去把有关无线设置方面的选项看下一般的勾都给他去掉,防火墙关了,安全方面可以设置个密码。

怎样在家用路由器中设置可以访问的网站列表

一般小厂的家用路由器不支持这种功能。像TP-Link等知名厂家的家用路由器会支付这种功能。

可以进入路由器设置界面,安全设置这一类中,查找一下有没有IP过滤和域名过滤(网址过滤)。如果有,添加相应的过虑规则就可以了。

例如在域名过滤一栏中添加一项“sina.com.cn”设置为“允许”,则说明用户除了可以访问新浪之外,不能访问其他网站。

如果在域名过滤一栏中添加一项“sina.com.cn”设置为“不允许”,则说明用户除了不能访问新浪之外,其他网站都能访问。

路由器访问控制列表(ACL)的特性有哪些?

网络安全保障的第一道关卡 对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形,以及其他的一些功能都可以通过访问表来达到目的。 访问列表的种类划分 目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。

1、基本访问表控制基于网络地址的信息流,且只允许过滤源地址。

2、扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。

表1列出了路由器所支持的不同访问表的号码范围。

由于篇幅所限,本文只对标准访问列表和扩展访问列表进行讨论。 标准IP访问表 标准IP访问表的基本格式为:

access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]

下面对标准IP访问表基本格式中的各项参数进行解释:

1.list number---表号范围

标准IP访问表的表号标识是从1到99。

2.permit/deny----允许或拒绝

关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。 3.source address----源地址

对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示,如:198.78.46.8。

4.host/any----主机匹配

host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配,其屏蔽码为0.0.0.0。例如,假定我们希望允许从198.78.46.8来的报文,则使用标准的访问控制列表语句如下:

access-list 1 permit 198.78.46.8 0.0.0.0

如果采用关键字host,则也可以用下面的语句来代替:

access-list 1 permithost 198.78.46.8

也就是说,host是0.0.0.O通配符屏蔽码的简写。

与此相对照,any是源地证/目标地址0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源地址198.78.46.8来的报文,并且要允许从其他源地址来的报文,标准的IP访问表可以使用下面的语句达到这个目的:

access-list 1 deny host 198.78.46.8

access-list 1 permit any

注意,这两条语句的顺序;访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒,将permit语句放在deny语句的前面,则我们将不能过滤来自主机地址198.78.46.8的报文,因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。 5.wildcardmask------通配符屏蔽码

Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的,也就是说,二进制的O表示一个"匹配"条件,二进制的1表示一个"不关心"条件。假设组织机构拥有一个C类网络198.78.46.0,若不使用子网,则当配置网络中的每一个工作站时,使用于网屏蔽码255.255.255.O。在这种情况下,1表示一个 "匹配",而0表示一个"不关心"的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的,所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.O.255。

6.Log----日志记录

log关键字只在IOS版本11.3中存在。如果该关键字用于访问表中,则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用log关键字,会使控制台日志提供测试和报警两种功能。系统管理员可以使用日志来观察不同活动下的报文匹配情况,从而可以测试不同访问表的设计情况。当其用于报警时,管理员可以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝,很可能表明有潜在的黑客攻击活动。 扩展的IP访问控制列表 顾名思义,扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。一个扩展的IP访问表的一般语法格或如下所示:

下面简要介绍各个关键字的功能:

1.list number----表号范围

扩展IP访问表的表号标识从l00到199。

2.protocol-----协议

协议项定义了需要被过滤的协议,例如IP、TCP、UDP、ICMP等等。协议选项是很重要的,因为在TCP/IP协议栈中的各种协议之间有很密切的关系,如果管理员希望根据特殊协议进行报文过滤,就要指定该协议。

另外,管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中,允许IP地址的语句放在拒绝TCP地址的语句前面,则后一个语句根本不起作用。但是如果将这两条语句换一下位置,则在允许该地址上的其他协议的同时,拒绝了TCP协议。

3.源端口号和目的端口号

源端口号可以用几种不同的方法来指定。它可以显式地指定,使用一个数字或者使用一个可识别的助记符。例如,我们可以使用80或者http来指定Web的超文本传输协议。对于TCP和UDP,读者可以使用操作符 ""(小于)、""(大于)"="(等于)以及""(不等于)来进行设置。

目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。

下面的实例说明了扩展IP访问表中部分关键字使用方法:

access-list 101 permit tcp any host 198.78.46.8 eq smtp

access-list 101 permit tcp any host 198.78.46.3 eq www

第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?

eq Match only packets on a given port number

cr

log Log matches against this entry

Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log

4.选项

扩展的IP访问表支持很多选项。其中一个常用的选项有log,它已在前面讨论标准访问表时介绍过了。另一个常用的选项是established,该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能,使用established选项的访问表语句检查每个 TCP报文,以确定报文的ACK或RST位是否已设置。

例如,考虑如下扩展的IP访问表语句:

access-list 101 permit tcp any host 198.78.46.8 established

该语句的作用是:只要报文的ACK和RST位被设置,该访问表语句就允许来自任何源地址的TCP报文流到指定的主机198.78.46.8。这意味着主机198.78.46.8此前必须发起TCP会话。 5.其他关键字

deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用均与标准IP访问表中的相同。

表2是对部分关键字的具体解释。

表 2:

管理和使用访问表 在一个接口上配置访问表需要三个步骤

(1)定义访问表;

(2)指定访问表所应用的接口;

(3)定义访问表作用于接口上的方向。

我们已经讨论了如何定义标准的和扩展的IP访问表,下面将讨论如何指定访问表所用的接口以及接口应用的方向。

一般地,采用interface命令指定一个接口。例如,为了将访问表应用于串口0,应使用如下命令指定此端口:

interface serial0

类似地,为将访问表应用于路由器的以太网端口上时,假定端口为Ethernet0,则应使用如下命令来指定此端口:

interface ethernet0

在上述三个步骤中的第三步是定义访问表所应用的接口方向,通常使用ip access-group命令来指定。其中,列表号标识访问表,而关键字in或out则指明访问表所使用的方向。方向用于指出是在报文进入或离开路由器接口时对其进行过滤。如下的实例将这三个步骤综合在一起: intface serial0

ip access-group 107 in

access-list 107 remark allow traffic to tom's pc

access-list 107 ip any host 198.78.46.8

access-list 107 remark allow only web traffic to webserver

access-list 107 tcp any host 198.78.46.12 eq 80

access-list 107 remark block everything else

access-list 107 deny any any

在本例中,先使用interface命令指定串行端口0,并使用ipaccess-group命令来将访问表l07中的语句应用于串行接口的向内方向上。最后,输入6个访问表语句,其中三条访问表语句使用关键字remark

关于路由器允许访问列表和路由器访问权限控制的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。

    声明

    删帖请联系zhiyihome@qq.com;