筆者在路由器和交換機上進行ACL（訪問控制列表）配置來防范病毒和黑客攻擊，效果非常好。經過配置后，在很多主機沒打相應補丁的情況下，各網絡設備有效地阻止了震蕩波的攻擊。

由于病毒（特別是系統漏洞病毒）都是利用相應端口進行傳播與攻擊的，所以我們可以考慮通過在路由器或交換機上設置相應的ACL進行防范。

我們以Cisco產品為例進行說明，具體ACL配置如下：

access-list 101 permit tcp any any established

這個命令是建立一個ACL，它只容許已經建立的連接從外向里傳輸數據，而對于事先沒有建立的連接將被拒絕進行數據傳輸。最后再把ACL綁定到相應的端口就可以達到預防病毒的目的了。

現在讓我們來看看如何利用這一技術迎戰震蕩波。公司很多計算機沒有打補丁，這樣外部感染了震蕩波的主機會通過445、5554和9996這3個端口向內部主機傳播病毒。由于我們設置了ACL，所以當外部的病毒主動向內部445、5554、9996端口傳輸時，這些數據會被路由器過濾掉，實現真正的防患于未然。而這樣的設置對內網中的用戶使用網絡沒有任何影響。

提示

1.由于established語句只支持TCP協議，所以如果公司要傳輸DNS等信息，還要設置相應的ACL語句把UDP的傳輸打開，格式為access-list 101 permit udp any any。

2.這樣設置之后用戶會抱怨FTP使用不了，因為FTP密碼驗證和數據傳輸使用的不是同一個端口，密碼驗證用21端口，而數據傳輸用20端口，所以我們也要加上相應的ACL，格式為access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。