cisco安全防問控制列表

hostname Router1 ；路由器名稱
enable secret xxxx ；特權訪問口令爲 xxxx
interface serial 0 ；定義接口
deion To Internet ； 目的描述
ip address 162.70.73.33 255.255.255.248 ；設置IP地址
ip access-list 101 in ； 定義入站過濾器
ip access-list 102 out ；定義出站過濾器
access-list 101 permit tcp any any established Note 1 ；容許全部tcp業務流入，會話始於園區網內
access-list 101 permit tcp any host 144.254.1.3 eq ftp ；容許 ftp 到不潔網（dirty net ）中的ftp服務器
access-lsit 101 permit tcp any host 144.254.1.3 eq ftp-data ! ；容許 ftp 數據到不潔網中的ftp服務器
access-list 101 deny ip 127.0.0.0 0.255.255.255 any ；阻止來自Internet並以RFC
access-list 101 deny ip 10.0.0.0 0.255.255.255 any ；保留地址爲源的數據包入站
access-list 101 deny ip 172.16.0.0 0.240.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply ；拒絕任何應答
access-list 101 deny icmp any any host-unreachable ；拒絕任何沒法接通的主機 網管論壇bbs_bitsCN_com
access-list 101 deny udp any any eq snmp ；拒絕引入的SNMP
access-list 101 deny udp any eq 2000 ；拒絕引入的openwindows
access-list 101 deny udp any any gt 6000 ；拒絕引入的X-windows
access-list 101 deny tcp any any eq 2000 ； 拒絕引入的openwindows
access-list 101 deny tcp any any gt 6000 ；拒絕引入的X-windows
access-list 101 deny udp any any eq 69 ； 拒絕引入的tftpd
access-list 101 deny udp any any eq 111 ； 拒絕引入的SunRPC
access-list 101 deny udp any any eq 2049 ；拒絕引入的NFS
access-list 101 deny tcp any any eq 111 ； 拒絕引入的SunRPC
access-list 101 deny tcp any any eq 2049 ； 拒絕引入的 NFS
access-list 101 deny tcp any any eq 87 ； 拒絕引入的鏈接
access-list 101 deny tcp any any eq 512 ； 拒絕引入的 BSD UNIX 「r」指令
access-list 101 deny tcp any any eq 513 ； 拒絕引入的 BSD UNIX 「r」指令
access-list 101 deny tcp any any eq 514 ； 拒絕引入的 BSD UNIX 「r」指令
access-list 101 deny tcp any any eq 515 ； 拒絕引入的 lpd
access-list 101 deny tcp any any eq 540 ； 拒絕引入的 uucpd 網管聯盟 bitsCN@com
access-list 101 permit ip any any ； 其它均容許
access-list 102 permit ip 144.254.0.0 0.0.255.255 any ； 只容許有源的包
access-list 102 deny ip any any ；園區網到Internet的地址
aaa new-model ； 在全範圍實現AAA
aaa authentication login default tacacs+ ；默認登陸方法經由 tacacs+
aaa authentication login staff tacacs+ local ；經過tacacs+鑑別工做人員用戶名... ； 若是沒法鏈接服務器，退而求其次的方法是本地鑑別
aaa authorization exec tacacs+ local ； 鑑別經過後，受權運行 exec shell
aaa authorization commands 0 tacacs+ none ；鑑別與指定特權等級相關的運行模式指令
aaa authorization commands 1 tacacs+ none ； 若是無可用的tacacs+ 服務器，
aaa authorization commands 15 tacacs+ local ； 15級權限指令就須要本地鑑別，其它不須要任何鑑別
aaa accounting update newinfo ； 每當有新的記賬信息須要報告時，中間記賬記錄將被送到服務器
aaa accounting exec start-stop tacacs+ ； 對終端會話進行記賬
aaa accounting network start-stop tacacs ； 對全部 PPP, SLIP和ARAP鏈接記賬
username user1 password 7 user1 ；建立本地口令並以加密格式存儲 網管聯盟 bitsCN@com
tacacs-server host 244.252.5.9 ； 定義tacacs+ 服務器地址
tacacs-server key xxxxxxx ； 定義共享的 tacacs+ 密碼
line con 0
exec-timeout 5 30 ； 確認控制檯會話結束時間
login authentication user1 ；只有用戶名工做人員可接入控制檯
line aux 0
transport input none ；沒有telnet進入
no exec ；該端口沒有獲得運行提示
line vty 0 3
exec-timeout 5 30 ； 確認 telnet 會話結束時間
login authentication default ； 經過 tacacs+ 登陸鑑別
privilege level 15 ； 得到15 級權限
line vty 4
exec-timeout 5 30 ； 確認 telnet 會話結束時間
login authentication user1 ； 鑑別爲工做人員
rotary 1
privilege level 1
logging on ； 開啓syslog
logging 244.252.5.5 ；定義syslog服務器地址
logging console information ； 定義登陸的信息

【轉自 [url]www.bitsCN.com[/url]】