ACL部署原则：

ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

原则：根据减少不必要通信流量的通行准则，管理员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。

举个例子：我们经常见到对常见病毒端口进行过滤的ACL，那么这种ACL应用在哪里比较合适呢？

对于网络中的用户来说，这个防病毒端口的过滤显然用在最接近用户的交换机上来做比较好，这样可以从源头上控制被感染的机器采用病毒端口进行通讯，减少对其他交换机上用户带来的应用。

如果要控制外网进来的流量对服务器的端口访问过滤，那么这种限制就应该放在这个网络的出口处较好，这样可以将这种非法流量从一开始就拒之门外。当然如果内网也需要对服务器的端口访问进行过滤，那么由于内网的源IP很多，目的IP一致的情况下，在靠近目标IP的地方做ACL过滤，因为这样只需要一个ACL即可，否则你需要在很多设备上去分别部署，因为你要控制所有的源到这个目的IP的访问，影响效率。而如果你在接近服务器的交换机上部署ACL，那么你只需要一个ACL即可。

总结如下：

1、对常见的病毒端口过滤的ACL，一般部署在接入层交换机上。

2、对外提供公共服务器的服务器，一般建议在接近服务器的交换机上控制对其端口的访问。

3、对于网段间的互访，根据实际情况，可以选择在源或目的网段上做控制，也可以在网络较大的情况，网段互访规则较多的情况下，在中间核心设备上集中部署。

4、对于上下级机构、内外网访问规则见的访问控制，建议在边界设备上集中部署。

一、组网需求

客户要求对接入交换机应用防病毒ACL，过滤常见的病毒端口，实现基本安全防护，ACL可以方便的添加或删除其中的部分条目。

二、配置要点

1、部署扩展ACL，添加防病毒的条目；

2、在物理端口上应用ACL；

3、添加或删除部分条目；

交换机 SW的配置命令如下：

1、定义ACL

WENLF# configure terminal

WENLF(config)# ip access-list extended  defencevirus    ------>在配置模式下创建扩展访问列表防病毒ACL

WENLF(config-ext-nacl)# 10 deny tcp any any eq 27665    ------>下述防病毒端口来源于日常实践经验

WENLF(config-ext-nacl)# 20 deny tcp any any eq 16660

WENLF(config-ext-nacl)# 30 deny tcp any any eq 65000

WENLF(config-ext-nacl)# 40 deny tcp any any eq 33270

WENLF(config-ext-nacl)# 50 deny tcp any any eq 39168

WENLF(config-ext-nacl)# 60 deny tcp any any eq 6711

WENLF(config-ext-nacl)# 70 deny tcp any any eq 6712

WENLF(config-ext-nacl)# 80 deny tcp any any eq 6776

WENLF(config-ext-nacl)# 90 deny tcp any any eq 6669

WENLF(config-ext-nacl)# 100 deny tcp any any eq 2222

WENLF(config-ext-nacl)# 110 deny tcp any any eq 7000

WENLF(config-ext-nacl)# 120 deny tcp any any eq 135

WENLF(config-ext-nacl)# 130 deny tcp any any eq 136

WENLF(config-ext-nacl)# 140 deny tcp any any eq 137

WENLF(config-ext-nacl)# 150 deny tcp any any eq 138

WENLF(config-ext-nacl)# 160 deny tcp any any eq 139

WENLF(config-ext-nacl)# 170 deny tcp any any eq 445

WENLF(config-ext-nacl)# 180 deny tcp any any eq 4444

WENLF(config-ext-nacl)# 190 deny tcp any any eq 5554

WENLF(config-ext-nacl)# 200 deny tcp any any eq 9996

WENLF(config-ext-nacl)# 210 deny tcp any any eq 3332

WENLF(config-ext-nacl)# 220 deny tcp any any eq 1068

WENLF(config-ext-nacl)# 230 deny tcp any any eq 455

WENLF(config-ext-nacl)# 240 deny udp any any eq 31335

WENLF(config-ext-nacl)# 250 deny udp any any eq 27444

WENLF(config-ext-nacl)# 260 deny udp any any eq 135

WENLF(config-ext-nacl)# 270 deny udp any any eq 136

WENLF(config-ext-nacl)# 280 deny udp any any eq netbios-ns

WENLF(config-ext-nacl)# 290 deny udp any any eq netbios-dgm

WENLF(config-ext-nacl)# 300 deny udp any any eq netbios-ss

WENLF(config-ext-nacl)# 310 deny udp any any eq 445

WENLF(config-ext-nacl)# 320 deny udp any any eq 4444

WENLF(config-ext-nacl)# 330 permit ip any any

WENLF(config-ext-nacl)#exit

2、应用在接口上

WENLF(config)#interface range fastEthernet 0/1-24

WENLF(config-if-range)#ip access-group defencevirus in

3、添加或删除ACE

WENLF(config-ext-nacl)#15 deny tcp any any eq 707        ------>编号15，可以插入序号10和20之间，保持编写防病毒条目的有序性。默认每个条目之间以10递增序号。

WENLF(config-ext-nacl)#no 15                             ------>删除编号15的条目