技巧與問(wèn)答

? 什么是訪問(wèn)控制策略？

訪問(wèn)控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，而訪問(wèn)控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制策略包括入網(wǎng)訪問(wèn)控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制策略和防火墻控制策略7個(gè)方面的內(nèi)容。

? 如何配置標(biāo)準(zhǔn)訪問(wèn)控制列表？

擴(kuò)展ACL中，命令access-list的完全語(yǔ)法格式如下：

Router(confi g)#access-listaccess-list-number{permit|deny}
  protocol[sourcesource-wildcarddestinationdestination-wildcard]
    [operatoroperan][established][log]
    access-list-number訪問(wèn)控制列表表號(hào)100~199
    permit|deny表示在滿足測(cè)試條件的情況下，該入口是允許還是拒絕后面指定地址的
  通信流量
    protocol用來(lái)指定協(xié)議類型，如IP\TCP\UDP\ICMP\GRE\IGRP
    sourcedestination源和目的，分別用來(lái)標(biāo)識(shí)源地址和目的地址
    source-wildcard、destination-wildcard---反碼
    operatoroperan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一個(gè)
  端口號(hào)
    esablished------如果數(shù)據(jù)包使用一個(gè)已建立連接，便可以允許Tcp信息量通過(guò)

例如：

拒絕所有從172.16.4.0到172.16.3.0的FTP通信流量通過(guò)E0。

（1）創(chuàng)建ACL。

Router(confi g)#access-list101denytcp172.16.4.00.0.0.255172.16.
  3.00.0.0.255eq21
    Router(confi g)#access-list101permitipanyany

（2）應(yīng)用到接口上。

Router（confi g）#interfacefastethernet0/0
    Router（confi g-if）#ipaccess-group101out
    拒絕來(lái)自指定子網(wǎng)的Telnet通信流量
    Router（confi g）#access-list101denytcp172.16.4.00.0.0.255172.16.
  3.00.0.0.255eq23
    Router（confi g）#access-list101permitipanyany
    應(yīng)用到接口：
    Router（confi g）#interfacefastethernet0/0
    Router（confi g-if）#ipaccess-group101out

? Windows 7在哪里打開(kāi)訪問(wèn)控制權(quán)限的屬性？

這種情況在多人使用一臺(tái)計(jì)算機(jī)時(shí)才有意義，一般個(gè)人使用計(jì)算機(jī)時(shí)設(shè)置這種屬性是沒(méi)意義的。

要使用這個(gè)屬性需要進(jìn)入“控制面板”/“用戶賬戶”更改超級(jí)用戶，也就是你計(jì)算機(jī)中的administrators用戶的賬戶設(shè)置，為其設(shè)定密碼，并設(shè)置相關(guān)文件夾為私有（注意你的磁盤(pán)格式應(yīng)為NTFS, FAT32格式無(wú)效），同時(shí)啟用USER或其他用戶為它們?cè)O(shè)置組級(jí)別，這樣級(jí)別低的用戶登錄就會(huì)對(duì)你所設(shè)置的文件操作受限。

以后用超級(jí)用戶登錄對(duì)每個(gè)文件夾設(shè)置權(quán)限就可以了（右擊文件夾，在彈出的快捷菜單中選擇“屬性”命令）。