如何用拓展ACL禁止外网中的SMTP.POP3邮件进入内网，cisco举例

在Cisco设备上，可以使用拓展ACL（Extended Access Control List）规则来禁止外网中的SMTP和POP3邮件进入内网。相比标准ACL规则，拓展ACL规则可以更精确地匹配网络流量，从而提高网络安全性。具体步骤如下：

1. 创建拓展ACL规则：使用命令行界面（CLI）或者图形界面（GUI）创建一个拓展ACL规则，限制从外网到内网的SMTP和POP3协议流量。例如，使用命令行界面创建一个名为“block-mail”、限制SMTP和POP3流量的拓展ACL规则，如下所示：

access-list block-mail extended deny tcp any any eq smtp
access-list block-mail extended deny tcp any any eq pop3
access-list block-mail extended permit ip any any

在上述ACL规则中，使用了“deny”命令，表示拒绝匹配的流量。其中，“eq smtp”和“eq pop3”表示只匹配SMTP和POP3协议的流量。最后一条“permit”命令用于允许其他协议的流量通过。

2. 应用ACL规则：将ACL规则应用到防火墙接口上，从而限制该接口上的SMTP和POP3流量。例如，将上述ACL规则应用到防火墙的外网接口上，如下所示：

interface GigabitEthernet0/0
ip access-group block-mail in

在上述配置中，“GigabitEthernet0/0”为防火墙的外网接口，使用“ip access-group”命令将ACL规则应用到该接口的入口方向上。

3. 验证ACL规则：使用网络嗅探工具或者流量分析工具，验证ACL规则是否生效。例如，在外网发送SMTP或POP3邮件到内网时，应该无法收到回复或者连接被拒绝。

需要注意的是，拓展ACL规则可以更精确地匹配网络流量，但也更加复杂，需要根据实际情况进行调整和优化。同时，为了提高网络安全性，还需要配合其他安全措施，如反病毒软件、反垃圾邮件软件、入侵检测系统、入侵防御系统等，才能全面提高网络的安全性。