【IT168 专稿】 大家都知道通过在路由器或交换机上设置访问控制列表ACL，可以在一定程度上起到提高安全，防范黑客与病毒攻击的效果，笔者所在公司也一直在使用这个方法。

    然而，笔者却在实际工作中发现了一个影响安全的问题，如果对路由器的默认设置不注意的话，很可能会让强大的ACL列表失效，就好比二战的马其诺防线一样，病毒与黑客可以非常轻松地绕道攻击内网计算机。

    安全分析：

    有过路由器配置经验的读者应该知道网络管理员经常通过在路由器或交换机上设置访问控制列表来完成防范病毒和黑客的作用。Cisco出品的路由器或交换机的访问控制列表都默认在结尾添加了“DENY ANY ANY”语句，这句话的意思是将所有不符合访问控制列表（ACL）语句设定规则的数据包丢弃。

    最近笔者所在公司添置了华为的2621系列路由器，一般情况下CISCO和华为设备的配置方法基本相同，所以笔者按照在Cisco路由器上的设置语句制定了ACL规则，并将这些规则输入到华为路由器上。由于CISCO默认自动添加DENY ANY ANY语句，所以笔者也想当然的认为华为路由器也会默认将这个命令添加。然而，在配置后却发现所有ACL过滤规则都没有生效，该过滤的数据包仍然被路由器正常转发。

    经过反复研究、查询资料，笔者发现原来华为公司的访问控制列表在结尾处添加的是“PERMIT ANY ANY”语句，这样对于不符合访问控制列表（ACL）语句设定规则的数据包将容许通过，这样造成了一个严重后果，那就是不符合ACL设定规则的数据包也将被路由器无条件转发而不是Cisco公司采用的丢弃处理，这造成了该过滤的数据包没有被过滤，网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒“马其诺防线”，从而轻而易举的侵入了用户的内网。