cisco安全访问控制列表

cxwpf200

hostname Router1 ；路由器名称　　enable secret xxxx ；特权访问口令为 xxxx
　　interface serial 0 ；定义接口
　　deion To Internet ； 目的描述
　　ip address 162.70.73.33 255.255.255.248 ；设置IP地址
　　ip access-list 101 in ； 定义入站过滤器
　　ip access-list 102 out ；定义出站过滤器
　　access-list 101 permit tcp any any established Note 1 ；允许所有tcp业务流入，会话始于园区网内
　　access-list 101 permit tcp any host 144.254.1.3 eq ftp ；允许 ftp 到不洁网（dirty net ）中的ftp服务器
　　access-lsit 101 permit tcp any host 144.254.1.3 eq ftp-data ! ；允许 ftp 数据到不洁网中的ftp服务器
　　access-list 101 deny ip 127.0.0.0 0.255.255.255 any ；阻止来自Internet并以RFC
　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any ；保留地址为源的数据包入站
　　access-list 101 deny ip 172.16.0.0 0.240.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny icmp any any echo-reply ；拒绝任何应答
　　access-list 101 deny icmp any any host-unreachable ；拒绝任何无法接通的主机 网管论坛bbs_bitsCN_com
　　access-list 101 deny udp any any eq snmp ；拒绝引入的SNMP
　　access-list 101 deny udp any eq 2000 ；拒绝引入的openwindows
　　access-list 101 deny udp any any gt 6000 ；拒绝引入的X-windows
　　access-list 101 deny tcp any any eq 2000 ； 拒绝引入的openwindows
　　access-list 101 deny tcp any any gt 6000 ；拒绝引入的X-windows
　　access-list 101 deny udp any any eq 69 ； 拒绝引入的tftpd
　　access-list 101 deny udp any any eq 111 ； 拒绝引入的SunRPC
　　access-list 101 deny udp any any eq 2049 ；拒绝引入的NFS
　　access-list 101 deny tcp any any eq 111 ； 拒绝引入的SunRPC
　　access-list 101 deny tcp any any eq 2049 ； 拒绝引入的 NFS
　　access-list 101 deny tcp any any eq 87 ； 拒绝引入的连接
　　access-list 101 deny tcp any any eq 512 ； 拒绝引入的 BSD UNIX “r”指令
　　access-list 101 deny tcp any any eq 513 ； 拒绝引入的 BSD UNIX “r”指令
　　access-list 101 deny tcp any any eq 514 ； 拒绝引入的 BSD UNIX “r”指令
　　access-list 101 deny tcp any any eq 515 ； 拒绝引入的 lpd
　　access-list 101 deny tcp any any eq 540 ； 拒绝引入的 uucpd 网管联盟bitsCN@com
　　access-list 101 permit ip any any ； 其它均允许
　　access-list 102 permit ip 144.254.0.0 0.0.255.255 any ； 只允许有源的包
　　access-list 102 deny ip any any ；园区网到Internet的地址
　　aaa new-model ； 在全范围实现AAA
　　aaa authentication login default tacacs+ ；默认登录方法经由 tacacs+
　　aaa authentication login staff tacacs+ local ；通过tacacs+鉴别工作人员用户名... ； 如果无法连接服务器，退而求其次的方法是本地鉴别
　　aaa authorization exec tacacs+ local ； 鉴别通过后，授权运行 exec shell
　　aaa authorization commands 0 tacacs+ none ；鉴别与指定特权等级相关的运行模式指令
　　aaa authorization commands 1 tacacs+ none ； 如果无可用的tacacs+ 服务器，
　　aaa authorization commands 15 tacacs+ local ； 15级权限指令就需要本地鉴别，其它不需要任何鉴别
　　aaa accounting update newinfo ； 每当有新的记帐信息需要报告时，中间记帐记录将被送到服务器
　　aaa accounting exec start-stop tacacs+ ； 对终端会话进行记帐
　　aaa accounting network start-stop tacacs ； 对所有 PPP, SLIP和ARAP连接记帐
　　username user1 password 7 user1 ；创建本地口令并以加密格式存储 网管联盟bitsCN@com
　　tacacs-server host 244.252.5.9 ； 定义tacacs+ 服务器地址
　　tacacs-server key xxxxxxx ； 定义共享的 tacacs+ 密码
　　line con 0
　　exec-timeout 5 30 ； 确认控制台会话结束时间
　　login authentication user1 ；只有用户名工作人员可接入控制台
　　line aux 0
　　transport input none ；没有telnet进入
　　no exec ；该端口没有得到运行提示
　　line vty 0 3
　　exec-timeout 5 30 ； 确认 telnet 会话结束时间
　　login authentication default ； 通过 tacacs+ 登录鉴别
　　privilege level 15 ； 获得15 级权限
　　line vty 4
　　exec-timeout 5 30 ； 确认 telnet 会话结束时间
　　login authentication user1 ； 鉴别为工作人员
　　rotary 1
　　privilege level 1
　　logging on ； 开启syslog
　　logging 244.252.5.5 ；定义syslog服务器地址
　　logging console information ； 定义登录的信息