配置ACL
    在全局配置模式下定义访问列表，然后将其应用到接口中，使通过该接口的数据包需要进行相应的匹配，然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理，它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配，则继续检测列表中的下一个语句。在执行到访问列表的最后，还没有与其相匹配的语句，数据包将被隐含的“拒绝”语句所拒绝。在实现过程中应给每一条访问控制列表加上相应的编号。标准IP访问控制列表的编号为1至99，作用是阻止某一网络的所有通信流量，或允许某一网络的所有通信流量。两条语句为：
    1、access-list access-list-number(1~99)
    2、{deny|permit} source [source-wildcard]

    如果对于不符合访问控制列表（ACL）语句设定规则的数据包将容许通过，这样会造成了一个严重后果，那就是不符合ACL设定规则的数据包也将被三层交换机无条件转发而不是丢弃的处理，这样会造成了该过滤的数据包没有被过滤，网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒安全屏障，从而轻而易举的侵入了用户的内网。下面我们可以举例来说明：
    1、要阻止源主机为10.60.0.44的一台主机通过E0，而允许其他的通讯流量通过E0端口。
    Router(config)#access-list 1 deny 10.60.0.44 0.0.0.0
    Router(config)#access-list 1 permit any
    Router(config)#interface ethernet 0
    Router(config-if)#ip access-group 1 in
    上面的语句主要说明：在全局配置模式下定义一条拒绝10.60.0.44主机通过的语句，通配符掩码可以使用0.0.0.0，或使用缺省值来表示一台主机，然后将其访问列表应用到接口中。

    2、要阻止10.60.0.44主机Telnet流量，而允许Ping流量。
    Router(config)#access-list 102 permit icmp 10.60.0.44 0.0.0.0 any
    Router(config)#access-list 102 deny tcp 10.60.0.44 0.0.0.0 any eq 23
    Router(config)#access-list 102 permit ip any any
    Router(config)#interface ethernet 0
    Router(config-if)#ip access-group 101 in
    因为Ping命令使用网络层的ICMP协议，所以让ICMP协议通过。而Telnet使用端口23，所以将端口号为23的数据包拒绝了，最终应用到某一接口，这样就可以达到目的。如果现在修改了计算机的IP地址，那么这条访问控制列表将对您不起作用，黑客就很容易能达到所需要的目的。如果需要网络地址变更的，一定要检查访问控制列表是否符合所需规则。一个小小的疏忽就将精心打造的防病毒体系完全突破，所以对于网络管理员来说每次设置后都应该仔细测试下网络状况，确保所实施的手段得以生效。

    在网络安全体系中，最重要的安全要素—访问控制的控制点在网络通信通道的出入口上。内部网络通过路由器的广域网接口与Internet相连，再通过此路由器的局域网接口接入内部网络，而正确地放置ACL访问控制列表将起到防火墙的作用。为了满足与Internet间的访问控制，以及满足内部网络不同安全属性网络间的访问控制要求，让网络通信均通过它，可以控制网络通信及网络应用的访问权限，来达到防止黑客远程入侵目的。