看了新闻，感觉木马还是很猖獗的，保护好自己的电脑就显得尤为重要！而服务器的全面保护更是重中之重！

众所周知，ACL（访问控制列表）是网络设备（比如网络交换机、网络路由器）的重要安全屏障，通过ACL可以实现基于网络层的安全控制。对于这点，很多同学都非常明白，但是，合理巧妙的使用ACL还能大大降低服务器中木马病毒的风险！将木马病毒的连接切断与网络设备端口，这样更加合理的利用了网络及提高了服务器的综合性能，可谓一举两得！下面就详细的介绍一下ACL在这个方面的应用……

10.80.2.0　　　　　　　　　　　　　　　10.80.8.0
  |　　　　　　　　　　　　　　　　　　　　 |
  |　　E0　　　　　　　        　　　　 E1　　 |
  |------------------------Route-------------------------|

我们采用如图所示的网络结构（简易图）。路由器连接了二个网段，分别为10.80.8.0/24,10.80.2.0/24。在10.80.8.0/24网段中的计算机都是服务器，我们通过反向ACL设置保护这些服务器免受来自10.80.2.0这个网段的病毒攻击。

配置实例：禁止病毒从10.80.2.0/24这个网段传播到10.80.8.0/24这个服务器网段。

路由器配置命令：

access-list 101 permit tcp 10.80.2.0 0.0.0.255 10.80.8.0 0.0.0.255 established
定义ACL101，容许所有来自10.80.2.0网段的计算机访问10.80.8.0网段中的计算机，前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许10.80.2.0访问10.80.8.0的。

int e 1　　//进入E1端口
ip access-group 101 out　　//将ACL101宣告出去

设置完毕后病毒就不会轻易的从10.80.2.0传播到10.80.8.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的，由于路由器上采用反向ACL禁止了10.80.2.0网段的TCP主动连接，因此病毒无法顺利传播。

小提示：检验反向ACL是否顺利配置的一个简单方法就是拿10.80.8.0里的一台服务器PING在10.80.2.0中的计算机，如果可以PING通的话再用10.80.2.0那台计算机PING10.80.8.0的服务器，PING不通则说明ACL配置成功。

通过上文配置的反向ACL会出现一个问题，那就是10.80.2.0的计算机不能访问服务器的服务了，假如图中10.80.8.80提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则，例如：access-list 101 permit tcp 10.80.2.0 0.0.0.255 10.80.8.80 0.0.0.0 eq www
即：
access-list 101 permit tcp 10.80.2.0 0.0.0.255 10.80.8.80 0.0.0.0 eq www
access-list 101 permit tcp 10.80.2.0 0.0.0.255 10.80.8.0 0.0.0.255 established

这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。10.80.2.0的计算机就可以正常访问该服务器的WWW服务了，而下面的ESTABLISHED防病毒命令还可以正常生效。

笔者为以前就职的公司所使用的就是这种反向ACL的方式进行防病毒的，运行了两年多效果很不错，也非常稳定。