通过访问控制列表禁止QQ游戏

2024年1月6日发(作者：)

希望对大家有所帮助，多谢您的浏览！

通过访问控制列表禁止QQ游戏

前言：当今世界网络发展飞快，各企业单位都在建设局域网并加入了互联网。但是有些网络不仅没用得到很好的利用，反而适得其反。比如上班族放着事情不做，常常在上班时间玩游戏、聊天，怎么样去阻止这种行为呢？运用访问控制列表来是一种又灵活又普遍的维护网络的一种技术。

[关键字]：ACL

一、ACL概述

如果某公司的员工成天泡网、QQ聊天、网络游戏等现象，如何在上班时间禁止玩QQ和网络游戏呢，如何将一个网络有效的管理起来了？这就可以用路由器的ACL来解决类似问题。

访问控制列表(ACL（Access Control List，访问控制列表）是应用在路由器接口的指令列表。访问控制列表，是最简单的数据控制指令。它能告诉路由器哪些能数据所可以收，哪些数据需要拒绝。它是一种主机防护技术，但与传统的主机的防火墙、主机防病毒或主机入侵检测等防护技术的功能却不同。

（一）、ACL的原理

1 / 7

希望对大家有所帮助，多谢您的浏览！

访问控制列表按照不同场合应用可分很多种，基本上分为标准访问控制列表和扩展访问控制列表。标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号来创建相应的ACL。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的端口。

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、源端口、目的端口等），根据预先设定义好的规则对包进行过滤，从而达到访问控制的目的，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。

但是，如果希望将过滤细到端口，或者对数据包的目的地址进行过滤，就如同前言里的问题，这时候使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号和标准访问控制列表使用的ACL号也有不同，其扩展访问列表号为100到199。2 / 7

希望对大家有所帮助，多谢您的浏览！

（二）、访问控制列表命令的基本格式

要使用访问控制列表，必须要在全局模式下。建立访问控制列表的命令。

路由器一开机，进去的那个界面提示符是“>”，如果是这样子，”router>”是执行模式，这就要先进入特权模式（也就是用户在此模式下输入“enable”），这样提示符就是“router#”，在特权命令提示符下键入configure terminal的命令就可以进入全局配置模式。在全局模式中就可以设置访问控制列表了。

Rorter(config)#access-list access-list-number {permit|deny}

{test-conditions}

注：acce4ss-list-number是访问控制列表的序列号。Permit(允许)和deny(拒绝)先其中一个。Test-conditions是用来与数据包的信息比较的条件。

在建立完访问控制列表之后，要在接口上应用它，命令如下：

Router(config-if)#{protocol} access-group access-list-number

如果要删除已经建立的访问控制列表，命令如下：

Rorter(config)#noaccess-list access-list-number

（三）、 设计访问控制列表时需考虑的规则

1、自上而下的处理方式

访问表表项的检测按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问表中放入语句的次序。

2、添加表项

新的表项被添加到访问表的末尾，也就是说，不可能改变已有访问表的功能。如果要改变，就必须创建一个新访问表并删除2 / 7

希望对大家有所帮助，多谢您的浏览！

已存在的访问表，并且将新访问表用于接口上。

3、访问表位置

尽量考虑将扩展的访问表放在靠近过滤源的位置上，这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的访问表靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。

4、语句的位置

由于IP协议包含ICMP、TCP和UDP，所以应将更为具体的表项放在不太具体的表项前面，以保证位于另一语句前面的语句不会否定表中后面语句的作用效果。

5、其他注意事项

如果没有access-list，则等于permit any。一旦添加了访问表，最后缺省为deny any。

二、实例

假如这个公司使用的是CISCO 2620路由器的NAT功能上网，Web和Mail都是通过NAT的端口映射实现的。

首先，打开QQ以后，在防火墙里可以看到QQ正在和服务器UDP 8080端口进行通讯，那么我们要做的就是禁止源地址UDP 8080端口。

Router (config) # access-list 111 UDP deny any any eq 8080

Router (config) # access-list 111 TCP permit any any

Router (config) # access-list 111 UDP permit any any

Router (config) # access-list 111 ip permit any any

3 / 7

希望对大家有所帮助，多谢您的浏览！

Router (config-if) # ip access-group 111 in

第一个命令定义了编号为111的ACL，禁止所有源地址和目的地址的UDP 8080端口的数据包，最后一个命令是在接口模式下，此处应在靠近局域网的端口应用上面定义的编号为111的ACL。因为ACL默认需要至少有一条规则让数据可以通过网络接口，所以第二、IP协议可以通过。三、四行的命令是规定所有的

4 / 7

TCP、UDP、

希望对大家有所帮助，多谢您的浏览！

设置完成以后，用防火墙可以看到QQ在不停的尝试和远端服务器UDP 8080端口进行通信，但是由于TCP 80端口是HTTP专用的。所以新版的QQ可以使用TCP 80端口进行通信。所以如果我们禁用TCP 80端口的话，将使整个局域网无法访问所有的网站。因此，我们只要将所有QQ服务器找出来，然后禁止访问就行了。因为标准ACL检查数据包的源地址，它是过滤所有源地址的整个协议族的，所以我们可以用标准ACL实现。

Router (config) # access-list 4 deny host 192.168.23.2

Router (config) # access-list 4 deny host 192.168.23.4

......

Router (config) # access-list 4 permit any

Router (config-if) # ip access-group 4 out

前面两个命令定义了编号4的标准ACL,禁止所有源地址为host后面的IP的数据包。

对于网络游戏的禁止方法，是和禁止QQ的方法类似，用防火墙个人版找出网络游戏和服务器通讯的端口，然后加以禁止。只要用扩展ACL就可以。因为扩展ACL可以检查数据包的源地址、目的地址、特定协议类型、端口号等。如果扩展ACL规则不是很多的话，可以将所有的扩展ACL合并多一起。

三、结语

访问控制表可以允许或者拒绝数据包通过路由器，从而达到对数据包进行过滤的目的。通过这种对数据流进行控制的手段，可以有效保护敏感的设备或者数据，使他们不受到未经验证的访问的攻击，实现一定的安全策略。ACL实施起来最简单有效而又灵活。同时网络的安全管理也使得世界越来越紧密地3 / 7

希望对大家有所帮助，多谢您的浏览！

联系在一起。

（注：可编辑下载，若有不当之处，请指正，谢谢!）

4 / 7