《訪問控制列表ACL》PPT課件.ppt

第7章訪問控制列表 ACL 8 1ACL概述 利用ACL可以對經(jīng)過路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進行過濾 使數(shù)據(jù)包有選擇的通過路由器 起到防火墻的作用 訪問控制列表 ACL 由一組規(guī)則組成 在規(guī)則中定義允許或拒絕通過路由器的條件 ACL過濾的依據(jù)主要包括源地址 目的地址 上層協(xié)議等 ACL有兩種 標準訪問控制列表 擴展訪問控制列表 ACL的基本用途是限制訪問網(wǎng)絡的用戶 保護網(wǎng)絡的安全 ACL一般只在以下路由器上配置 1 內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器 2 兩個功能網(wǎng)絡交界的路由器 限制的內(nèi)容通常包括 1 允許那些用戶訪問網(wǎng)絡 根據(jù)用戶的IP地址進行限制 2 允許用戶訪問的類型 如允許http和ftp的訪問 但拒絕Telnet的訪問 根據(jù)用戶使用的上層協(xié)議進行限制 ACL的工作過程 訪問控制列表 ACL 由多條判斷語句組成 每條語句給出一個條件和處理方式 通過或拒絕 路由器對收到的數(shù)據(jù)包按照判斷語句的書寫次序進行檢查 當遇到相匹配的條件時 就按照指定的處理方式進行處理 ACL中各語句的書寫次序非常重要 如果一個數(shù)據(jù)包和某判斷語句的條件相匹配時 該數(shù)據(jù)包的匹配過程就結(jié)束了 剩下的條件語句被忽略 8 2ACL語句 一個訪問控制列表 ACL 可由多條語句組成 每條ACL語句的形式為 Router config access list表號處理方式條件ACL表號 用于區(qū)分各訪問控制列表 一臺路由器中可定義多個ACL 每個ACL使用一個表號 其中針對IP數(shù)據(jù)報的ACL可使用的表號為 標準訪問控制列表 1 99 擴展訪問控制列表 100 199 同一個ACL中各語句的表號相同 處理方式 取值有permit 允許 和deny 拒絕 兩種 當數(shù)據(jù)包與該語句的條件相匹配時 用給定的處理方式進行處理 條件 每條ACL語句只能定義一個條件 例 access list1permit10 0 0 00 255 255 255access list1deny20 0 0 00 255 255 255第1句表示允許地址為10 的數(shù)據(jù)包通過 第2句表示拒絕地址為20 的數(shù)據(jù)包通過 這里的地址指數(shù)據(jù)包的源地址 應用ACL 如果只是定義了ACL 它還不會起到任何作用 必須把ACL應用到一個接口上才能起作用 應用ACL Router config interface接口號Router config if ipaccess group表號 in out in 表示在數(shù)據(jù)包進入此接口時使用ACL進行過濾 out 表示在數(shù)據(jù)包離開此接口時使用ACL進行過濾 通常 使用出站接口檢查的數(shù)據(jù)包數(shù)量較少 效率要高一些 例 Router config interfacee0Router config if ipaccess group1out表示在e0口上使用表號為1的ACL對出站數(shù)據(jù)包進行過濾 通配符掩碼 在ACL語句中 當使用地址作為條件時 它的一般格式為 地址通配符掩碼 通配符掩碼決定了地址中的哪些位需要精確匹配 哪些為不需要匹配 通配符掩碼是一個32位數(shù) 采用點分十進制方式書寫 匹配時 0 表示檢查的位 1 表示不檢查的位 如 192 168 1 10 0 255 255表示檢查前16位 忽略后16位 所以這個條件表示的地址是192 168 any條件 當條件為所有地址時 如果使用通配符掩碼應寫為 0 0 0 0255 255 255 255這時可以用 any 表示這個條件 如 Router config access list1permit0 0 0 0255 255 255 255Router config access list1permitany上面兩個語句是等價的 host關(guān)鍵字 當條件為單一IP地址時 如果使用通配符掩碼應寫為 IP地址0 0 0 0這時可以用 host 關(guān)鍵字定義這個條件 如 Router config access list1permit200 1 1 50 0 0 0Router config access list1permithost200 1 1 5上面兩個語句是等價的 8 3標準訪問控制列表 標準ACL只能使用地址作為條件 標準ACL使用數(shù)據(jù)包的源地址匹配ACL語句中的條件 定義標準ACL時 可使用的表號為1 99 針對IP數(shù)據(jù)報 標準ACL配置舉例1 R1 E0 一個局域網(wǎng)連接在路由器R1的E0口 這個局域網(wǎng)要求只有來自10 0 0 0 8 192 168 0 0 24 192 168 1 0 24的用戶能夠訪問 R1 config access list1permit10 0 0 00 255 255 255R1 config access list1permit192 168 0 00 0 0 255R1 config access list1permit192 168 1 00 0 0 255R1 config interfacee0R1 config if ipaccess group1out 配置完成后 可以用命令查看ACL R1 showaccess lists 說明 1 在每個ACL中都隱含著一個語句 access listlist numdenyany它位于ACL的最后 表示拒絕所有 所以任何一個與前面各語句都不匹配的數(shù)據(jù)包都會被拒絕 2 在ipaccess group語句中 用in或out表示入站時匹配或出站時匹配 如果沒有指定這個值 默認為out 3 在每個接口 每個方向上只能應用一個ACL 4 一個ACL可以應用到多個接口上 R1 R2 PC1 2 PC2 1 1 2 PC3 1 1 2 E0 1 E0 1 1 1 E1 1 1 1 S0 1 S0 2 192 168 0 0 24 192 168 1 0 24 10 0 0 0 8 20 0 0 0 8 實例1的實驗驗證 標準ACL配置舉例2 R1 E0 一個局域網(wǎng)連接在路由器R1的E0口 這個局域網(wǎng)要求拒絕來自192 168 10 0 24的用戶訪問 其它用戶都可以訪問 R1 config access list1deny192 168 10 00 0 0 255R1 config access list1permitanyR1 config interfacee0R1 config if ipaccess group1out 注意 access list1permitany語句不能省略 如果省略該語句 則所有和語句1不匹配的數(shù)據(jù)包都會被隱含的access list1denyany語句拒絕 標準ACL配置舉例3 R1 E0 一個局域網(wǎng)連接在路由器R1的E0口 這個局域網(wǎng)只允許來自192 168 20 0 24的用戶訪問 但其中192 168 20 1和192 168 20 5兩臺主機除外 R1 config access list1denyhost192 168 20 1R1 config access list1denyhost192 168 20 5R1 config access list1permit192 168 20 00 0 0 255R1 config interfacee0R1 config if ipaccess group1out 注意 access list1permit192 168 200 0 0 255語句不能寫在另兩條語句的前面 如果把它寫在第1句 則192 168 20 1和192 168 20 5因已經(jīng)滿足了條件 不會再進行后面的匹配 說明 定義ACL時 每條語句都按輸入的次序加入到ACL的末尾 如果想要更改某條語句 或者更改語句的順序 只能先刪除整個ACL 再重新輸入 比如刪除表號為1的ACL Router config noaccess list1在實際應用中 我們往往把路由器的配置文件導出到TFTP服務器中 用文本編輯工具修改ACL 然后再把配置文件裝回到路由器中 8 4擴展訪問控制列表 擴展ACL可以使用地址作為條件 也可以用上層協(xié)議作為條件 擴展ACL既可以測試數(shù)據(jù)包的源地址 也可以測試數(shù)據(jù)包的目的地址 定義擴展ACL時 可使用的表號為100 199 針對IP數(shù)據(jù)報 擴展ACL的語句 access list表號處理方式條件表號 取值100 199 處理方式 permit 允許 或deny 拒絕 條件 協(xié)議源地址目的地址 運算符端口號 established 協(xié)議 用于匹配數(shù)據(jù)包使用的網(wǎng)絡層或傳輸層協(xié)議 如IP TCP UDP ICMP等 源地址 目的地址 使用 地址通配符掩碼 的形式 也可以使用any host關(guān)鍵字 運算符端口號 用于匹配TCP UDP數(shù)據(jù)包中的端口號 運算符包括lt 小于 gt 大于 eq 等于 neq 不等于 端口號用于對應一種應用 如21 FTP 23 Telnet 25 SMTP 53 DNS 80 HTTP等 運算符端口號 可匹配數(shù)據(jù)包的用途 如 eq80 可匹配那些訪問Web網(wǎng)站的數(shù)據(jù)包 在擴展ACL語句中 運算符端口號 可以沒有 例 access list100permittcp192 168 0 00 0 255 25510 0 0 00 255 255 255eq80表示允許來自192 168 的用戶訪問位于10 的Web站點 擴展ACL定義后 也需要使用ipaccess group命令應用在指定接口上才能起作用 如 Router config interfacee0Router config if ipaccess group100out 在每個擴展ACL末尾也有一條默認語句 access listlist numdenyipanyany它會拒絕所有與前面語句不匹配的數(shù)據(jù)包 擴展ACL配置舉例1 R1 E0 一個局域網(wǎng)連接在路由器R1的E0口 這個局域網(wǎng)只允許Web通信流量和Ftp通信流量 其它都拒絕 R1 config access list100permittcpanyanyeq80R1 config access list100permittcpanyanyeq20R1 config access list100permittcpanyanyeq21R1 config interfacee0R1 config if ipaccess group100out 說明 標準FTP協(xié)議使用了兩個端口 21用于建立FTP連接 20用于數(shù)據(jù)傳輸 說明 例1的配置將會極大限制局域網(wǎng)和外網(wǎng)間的應用 它會拒絕除Web和Ftp外的所有應用 包括ICMP DNS 電子郵件等 也會拒絕那些沒有使用標準端口的Web和Ftp應用 在實際應用中 我們通常只對那些可能有害的訪問作出拒絕限制 或者限制用戶訪問某些有害的站點或服務 擴展ACL配置舉例2 R1 E0 R1是局域網(wǎng)和外網(wǎng)的邊界路由器 禁止外網(wǎng)用戶用Telnet遠程登錄本路由器 S0 192 168 192 168 0 1 24 200 1 1 1 24 R1 config access list100denytcpanyhost200 1 1 1eq23R1 config access list100denytcpanyhost192 168 0 1eq23R1 config access list100permitipanyanyR1 config interfaces0R1 config if ipaccess group100in 說明 這里使用了禁止對兩個接口進行Telnet的數(shù)據(jù)包進入S0口的方法阻斷來自外網(wǎng)的Telnet請求 由于對E0口沒有限制 所以它不影響來自內(nèi)網(wǎng)的Telnet請求 擴展ACL配置舉例3 R1 E0 R1是局域網(wǎng)和外網(wǎng)的邊界路由器 60 54 145 21是一個有害的Web網(wǎng)站 禁止內(nèi)網(wǎng)用戶訪問該網(wǎng)站 S0 192 168 192 168 0 1 24 200 1 1 1 24 R1 config access list100denytcp192 168 0 00 0 255 255host60 54 145 21eq80R1 config access list100permitipanyanyR1 config interfacee0R1 config if ipaccess group100in 擴展ACL配置舉例4 R1 E0 R1是局域網(wǎng)和外網(wǎng)的邊界路由器 禁止對S0口的ping操作 S0 192 168 192 168 0 1 24 200 1 1 1 24 R1 config access list100denyicmpanyhost200 1 1 1R1 config access list100permitipanyanyR1 config interfaces0R1 config if ipaccess group100in 說明 ping命令使用的是ICMP協(xié)議 但ICMP除了具有網(wǎng)絡探查功能外 還需要用它傳輸各種錯誤信息 所以在路由器上不應該禁止該協(xié)議 如果想要禁止ping 最好使用專用的防火墻 8 5命名訪問控制列表 命名ACL是新版路由器操作系統(tǒng) 11 2以后的版本 增加的一種定義ACL的方法 命名ACL使用一個符號串作為ACL的名字 不再使用表號 命名ACL也有標準ACL和擴展ACL兩種 一個命名ACL只能是其中的一種 命名ACL配置方法 Router config ipaccess list standard extended name standard 定義標準命名ACL extended 定義擴展命名ACL name ACL的名字 可自定義 該命令執(zhí)行后 提示符變?yōu)镽outer config std nacl 或Router config ext nacl 在此提示符下可輸入ACL語句 命名ACL語句格式 處理方式條件 它只比以前的ACL少了前面的 access list表號 部分 其它都相同 例1配置標準命名ACL R1 E0 要求拒絕來自200 1 1 0 24的數(shù)據(jù)包通過S0口進入路由器 其它都允許 S0 R1 config ipaccess liststandardlist1R1 config std nacl deny200 1 1 00 0 0 255R1