筆者所在的單位由一臺路由器將兩個以太網段連接到Internet上，路由器通過串行端口S0連到Internet上，而以太網分別通過端口E0和 E1連到路由器上。假設我們希望允許任何用戶都能通過IP訪問198.78.46.12服務器，并允許205.131.175.0網絡上的用戶通過Web 瀏覽和FTP訪問Internet.
   
    配置如下：
   
    useranme test password cisco
   
    !
   
    int serial 0
   
    IP add 175.10.1.1 255.255.255.0
   
    IP access-group 100 in
   
    !
   
    access-list 100 permit TCP any host 175.10.1.1 eq telnet
   
    access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
   
    access-list 100 permit TCP any eq 21 205.131.175.0 0.0.0.255 gt 1023 established
   
    access-list 100 permit TCP any eq 80 205.131.175.0 0.0.0.255 gt 1023 established
   
    access-list 100 permit TCP any eq 20 205.131.175.0 0.0.0.255 gt 1023
   
    access-list 100 dynamic test timeout 180 permit IP any host 198.76.46.12 log
   
    !
   
    logging buffered 64000
   
    !
   
    line vty 0 2
   
    login local
   
    autocommand access-enable host timeout 10
   
    line vty 3 4
   
    login local
   
    rotary 1
   
    注意：訪問表被應用到了串行端口上，將擴展訪問表應用到距離過濾源最近的地方，這是一種很好的方法。
   
    在本例中，我們的目的是要過濾Internet上的主機，所以串行端口是路由器上距離被過濾主機最近的端口，訪問表應用的方向是向內的，因為從路由器的角度 看來， 從Internet來的報文是流向路由器的，如果我們將訪問列表應用成向外的訪問，則過濾的報文將是離開串行接口而通往Internet的報文，而這并非 我們所希望的。另外，我們還建立了一個用戶名"test",它可以用來訪問路由器。在實際應用中，我們應該為每個用戶建立一對用戶名和口令。現在，讓我們 分析訪問列表的每一個表項：
   
    第一個表項允許從任何源I P地址來的報文到達主機175.10.1.1,如果其目標端口為telnet的話，我們實際上允許了向內的telnet連接到路由器的串行接口。我們可以 允許向內的telnet連接到路由器的其他IP地址，但只允許向內訪問路由器的串行接口是一種最佳的選擇。

    第二個表項允許從任何源I P地址來的報文，如果其源端口是域名系統，且目標網絡位于205.131. 175.0/24,目的端口大于1023的話，這將允許DNS應答到達202.131.175.0/24網絡。所有有效DNS請求的源端口應該為1024 或更大，因此有效DNS的應答就應發送到此1024或更高的端口。如果我們不指定目的端口大于1023,則攻擊者可以從源端口53發送UDP報文到達我們 的網絡，從而導致對內部服務器的拒絕服務（denia l-of-service, DOS）攻擊。大量的服務器端口都處于小于1024的保留區間內，所以我們應阻塞目的端口小于1024的報文，以關閉潛在的安全漏洞。
   
    第三和第四 個表項允許具有如下特征的報文進入：源端口為www或FTP,目標位于205.131.175.0/24網絡，目標端口大于1023,且TCP頭中設置了 ACK和RST位。這兩個表項允許由內部主機發起的WWW和FTP會話的返回報文。指定源端口和目的端口的原因與第二個表項相同。使用 established意味著只有設置了應答位（ack）和復位位（est）的報文才能夠匹配并允許通過訪問表項。只有那些已經建立了TCP會話的報文才 會設置這些位，這樣增加了訪問表的安全層次。值得注意的是，攻擊者很容易在向內的報文中手工設置這些位，所以這種檢測是十分簡單的。但如果內部網絡采用正確的TCP/IP協議棧，它們就會忽略這些帶ack和est位的向內報文，因為它們不是主機上合法TCP會話的一部 分，這就是為什么established關鍵字仍然十分重要的原因。
   
    注意：這種檢驗對UDP報文是無用的，這就是為什么在第二個訪問表項中沒有該關鍵字的原因。
   
    第五個表項允許那些源端口為20的任何主機向內報文到達網絡205.131.175.0/24的主機，如果其目的端口大于1023的話，允許那些由內部主機 發起的FTP部分數據的報文連接到內部主機。FTP協議實現的標準實現需要FTP服務器發回一個到源FTP客戶機連接。該連接的初始報文沒有設置ack或 rst位，所以我們在表項中不能使用established關鍵字。有一種版本的FTP稱為被動模式（passive mode）的FTP,它不需要服務器發起一個向源FTP客戶機的連接。在這種模式的FTP中，客戶機需要發起到FTP服務器非20端口的另一個連接，該端 口是大于1023的一種隨機選擇。我們允許所有大于1023TCP端口的報文通過，是因為我們不能進一步確定FTP服務器會選擇哪一個端口（被動模式 FTP服務器的數據端口不為20,這與普通模式FTP是不同的）。盡管我們不能讓該表項如我們所希望的那樣確切，established關鍵字仍能使該表 項比允許外部發起向內部網絡的會話要安全一些。
   
    第六個表項（也是最后一個表項）為動態訪問表項，它允許來自被認證主機的報文到達服務器 198.78.46.12.我們定義的絕對超時時間為3小時（180分鐘），并對該表項進行了日志記錄（我們還開啟了路由器緩沖區的日志）。通過將匹配動 態表項的報文進行記錄，我們可以跟蹤用戶的行為，并建立一個普通的基線。這樣，我們可以發現不正常的行為，并由此判斷這是否是由攻擊者產生的。我們還將動 態訪問表項的空閑時間設置成了10分鐘，這是在vty線配置中通過autocommand設置的。最好是將這兩個值都設上，這樣我們能減少動態表項處于活 躍狀態的時間，因此也減少了攻擊者沖破動態表項的可能性。
   
    空閑計時器在沒有一個報文匹配動態訪問表項時進行復位，而絕對計時器是不復位的，即使一個會話仍然處于活躍狀態，如果絕對超時達到，動態表項就會被刪除， 用戶需要再經過一個認證過程。如果他們有經過路由器的活躍會話，這些會話將被終止。因此，建議將絕對超時設置得相對大一些，一般為一個小時或更長一些時 間。但我們應該將空閑時間設置得小一些，一般為10分鐘或更短的時間。筆者認為，不應將空閑時間的設置大于30分鐘。