訪問控制列表

1、1、什么是訪問控制列表？訪問控制列表在Cisco IOS軟件中是一個可選機制，可以配置成過濾器來控制數據包，以決 定該數據包是繼續(xù)向前傳遞到它的目的地還是丟棄。2、為什么要使用訪問控制列表？最初的網絡只是連接有限的LAN和主機，隨著路由器連接內部和外部的網絡，加上互聯(lián)網 的普及，控制訪問成為新的挑戰(zhàn)，網絡管理員面臨兩難的局面：如何拒絕不期望的訪問而允 許需要的訪問？訪問控制列表增加了在路由器接口上過濾數據包出入的靈活性，可以幫助管 理員限制網絡流量，也可以控制用戶和設備對網絡的使用，它根據網絡中每個數據包所包含 的信息內容決定是否允許該信息包通過接口。3、訪問控制列表有哪些類型？訪問控制列表主

2、要可以分為以下兩種：A、標準訪問控制列表：標準訪問控制列表只能夠檢查可被路由的數據包的源地址，根據源 網絡、子網、主機IP地址來決定對數據包的拒絕或允許，使用的局限性大，其序列號范圍 是 1-99。B、擴展訪問控制列表：擴展訪問控制列表能夠檢查可被路由的數據包的源地址和目的地址， 同時還可以檢查指定的協(xié)議、端口號和其他參數，具有配置靈活、精確控制的特點，其序列 號的范圍是100-199。以上兩種類型都可以基于序列號和命名來配置，我們建議使用命名來配置訪問控制列表，這 樣在以后的修改中也是很方便的。4、訪問控制列表具有什么樣的特點？A、它是判斷語句，只有兩種結果，要么是拒絕(deny)，要么是允

3、許(permit)；B、它按照由上而下的順序處理列表中的語句；C、處理時，不匹配規(guī)則就一直向下查找，一旦找到匹配的語句就不再繼續(xù)向下執(zhí)行；D、在思科中默認隱藏有一條拒絕所有的語句，也就默認拒絕所有(any);由上面的特點可以總結出，訪問控制列表中語句的順序也是非常重要的，另外就是所配置的 列表中必須有一條允許語句。5、配置訪問控制列表需要注意什么？A、訪問控制列表只能過濾流經路由器的流量，對路由器自身發(fā)出的數據包不起作用。B、一個訪問控制列表中至少有一條允許語句。6、配置訪問控制列表的步驟是什么？第一步：創(chuàng)建訪問控制列表：access-list access-list-number deny|

4、permit test conditions/access-list-number：序列號，這個地方也可以寫命名的名稱；/deny:拒絕；/permit:允許；/test conditions:過濾條件語句第二步：應用訪問控制列表：A、首先要進入接口模式；B、ip access-group access-list-number in|out7、標準訪問控制列表的格式：access-list list number| word permit|deny source address wildcard mask/list number|word列表序列號或者命名/permit|deny 允許或者拒絕

5、/source address源 IP 地址/wildcard mask掩碼，如果不使用掩碼，則使用關鍵字Host ,例：host 8、擴展訪問控制列表的格式：access-list list number| word permit | deny protocol | protocol key word source address source-swidcard mask source port destination address destination-wildceard mask destination port/list number| word訪問控制列表的序列號或者命名/per

6、mit | deny 允許或者拒絕/protocol | protocol key word協(xié)議或者協(xié)議號/source address源 IP 地址/source-swidcard mask源地址掩碼，如果使用關鍵字host，則不用掩碼/source port 源端口/destination address目的地 IP 地址/destination-wildceard mask目的地地址掩碼，如果使用host關鍵字，則不用掩碼/destination port 目的端口對于許多網管員來說，配置路由器的訪問控制列表是一件經常性的工作，可以說，路由器的 訪問控制列表是網絡安全保障的第一道關卡。訪

7、問列表提供了一種機制，它可以控制和過濾 通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息 流，以制定公司內部網絡的相關策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級 別。例如，某個組織可能希望允許或拒絕Internet對內部Web服務器的訪問，或者允許內 部局域網上一個或多個工作站能夠將數據流發(fā)到廣域網上。這些情形，以及其他的一些功能 都可以通過訪問表來達到目的。訪問列表的種類劃分目前的路由器一般都支持兩種類型的訪問表：基本訪問表和擴展訪問表?；驹L問表控制基于網絡地址的信息流，且只允許過濾源地址。擴展訪問表通過網絡地址和傳輸中的數據類型進行信息流控制，允許

8、過濾源地址、目的 地址和上層應用數據。表1列出了路由器所支持的不同訪問表的號碼范圍。不同訪向表的號瑪范 toOO-roa& rx saf打十的株集訪周控悟列表 接于感的F履坊間檢*!刊雙 善于敗旁*岳染找時坊向rioonue Extend -mt mac 貴型的，于如菠mac畢眥制訕rm ml：機，e 甘向H裹0標準ip訪問表標準ip訪問表的基本格式為：access-list list numberpermit|denyhost/anysourceaddresswildcard-masklog下面對標準IP訪問表基本格式中的各項參數進行解釋：1.list number-表號范圍標準IP訪問表的

9、表號標識是從1到99。2.permit/deny-允許或拒絕：關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。 permit表示允許報文通過接口，而deny表示匹配標準IP訪問表源地址的報文要被丟棄掉。 3.source address-源 地址對于標準的IP訪問表，源地址是主機或一組主機的點分十進制表示，如:。host/any-主機匹配host和any分別用于指定單個主機和所有主機。host表示一種精確的匹配，其屏蔽碼 為0例如，假定我們希望允許從來的報文，則使用標準的訪問控制列 表語句如下：access-list 1 permit 如果采用關鍵字host

10、，則也可以用下面的語句來代替：access-list 1 permit host 也就是說，host是0.0.0.O通配符屏蔽碼的簡寫。與此相對照，any是源地證/目標地址0.O.O.O/55的簡寫。假定我們要 拒絕從源地址來的報文，并且要允許從其他源地址來的報文，標準的IP訪問 表可以使用下面的語句達到這個目的：access-list 1 deny host access-list 1 permit any注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句 順序顛倒，將permit語句放在deny語句的前面，則我們將不能過濾來自主機地址 的報文，因為permit語句

11、將允許所有的報文通過。所以說訪問表中的語句順序 是很重要的,因為不合理語句順序將會在網絡中產生安全漏洞，或者使得用戶不能很好地利 用公司的網絡策略。wi1dcardmask通配符屏蔽碼Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的，也就是 說，二進制的O表示一個匹配條件，二進制的1表示一個不關心條件。假設組織機構擁 有一個C類網絡，若不使用子網，則當配置網絡中的每一個工作站時，使用于 網屏蔽碼255.255.255.Oo在這種情況下，1表示一個匹配，而0表示一個不關心的條 件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的，所以匹配源網絡地址中 的所有報文的通配符屏蔽碼

12、為:0.0.O.255。Log-日志記錄log關鍵字只在IOS版本11.3中存在。如果該關鍵字用于訪問表中，則對那些能夠匹 配訪問表中的permit和deny語句的報文進行日志記錄。日志信息包含訪問表號、報文的允 許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鐘間隔內的報文數目。使用log 關鍵字，會使控制臺日志提供測試和報警兩種功能。系統(tǒng)管理員可以使用日志來觀察不同活 動下的報文匹配情況，從而可以測試不同訪問表的設計情況。當其用于報警時，管理員可以 察看顯示結果，以定位那些多次嘗試活動被拒絕的訪問表語句。執(zhí)行一個訪問表語句的多次 嘗試活動被拒絕，很可能表明有潛在的黑客攻擊活動。擴展的I

13、P訪問控制列表顧名思義，擴展的IP訪問表用于擴展報文過濾能力。一個擴展的IP訪問表允許用戶根 據如下內容過濾報文:源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行 特殊位比較等等。一個擴展的IP訪問表的一般語法格或如numbarJpBrrriit/olocolsourceaddressw ii f jrc心門 address下面簡要介紹各個關鍵字的功能：1.list number-表號范圍擴展IP訪問表的表號標識從l00到199tocol協(xié)議協(xié)議項定義了需要被過濾的協(xié)議，例如IP、TCP、UDP、1CMP等等。協(xié)議選項是很 重要的，因為在TCP/IP協(xié)議棧中的各種協(xié)議之

14、間有很密切的關系，如果管理員希望根據特 殊協(xié)議進行報文過濾，就要指定該協(xié)議。另外，管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中， 允許IP地址的語句放在拒絕TCP地址的語句前面，則后一個語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該地址上的其他協(xié)議的同時，拒絕了TCP協(xié)議。源端口號和目的端口號源端口號可以用幾種不同的方法來指定。它可以顯式地指定，使用一個數字或者使用一 個可識別的助記符。例如，我們可以使用80或者http來指定Web的超文本傳輸協(xié)議。對 于TCP和UDP，讀者可以使用操作符（大于）=（等于）以及飛不等于）來進行 設置。目的端口號的指定方法

15、與源端口號的指定方法相同。讀者可以使用數字、助記符或者使 用操作符與數字或助記符相結合的格式來指定一個端口范圍。下面的實例說明了擴展IP訪問表中部分關鍵字使用方法：access-list 101 permit tcp any host eq smtpaccess-list 101 permit tcp any host eq www第一個語句允許來自任何主機的TCP報文到達特定主機的smtp服務端口 （25）;第二個語句允許任何來自任何主機的TCP報文到達指定的主機的www或 http 服務端口 （80）。選項擴展的IP訪問表支持很多選項。其中一個常用的選項有l(wèi)og，它已在前面討論標準訪問 表

16、時介紹過了。另一個常用的選項是fistahlishfid，該選項只用于TCP協(xié)議并且只在TCP 通信流的一個方向上來響應由另一端發(fā)起的會話。為了實現該功能，使用estab1ished選項 的訪問表語句檢查每個TCP報文，以確定報文的ACK或RST位是否已設置。例如，考慮如下擴展的IP訪問表語句：access-list 101 permit tcp any host established該語句的作用是:只要報文的ACK和RST位被設置，該訪問表語句就允許來自任何源 地址的TCP報文流到指定的主機。這意味著主機此前必須發(fā)起 TCP會話。目的地址和通配符屏蔽碼以及host/any的使用其他關鍵字d

17、eny/permit、源地址和通配符屏蔽碼、均與標準IP訪問表中的相同。表2是對部分關鍵字的具體解釋關折字說明5七熱5衛(wèi)酣的地址相虐配料卻底瑪的瑞耳，司j源和目的學程削寸4遮M E或RSJ位生哲袪置.付（I T（T）I旅帕扒釁決碼皙蝦廣 叩下旗和日的地電.用亍疽某職洎息皂型.用戶也可以拾定 M消息螞（! 一梆）用下定義一個HP吸血F編口的十說糖號砰或名照用于健義要或觀的好皮.可以如卞的美鍵宇之包755之間的一爐枚管理和使用訪問表在一個接口上配置訪問表需要三個步驟：定義訪問表；指定訪問表所應用的接口；定義訪問表作用于接口上的方向。我們已經討論了如何定義標準的和擴展的IP訪問表，下面將討論如何指定

18、訪問表所用 的接口以及接口應用的方向。一般地，采用interface命令指定一個接口。例如，為了將訪問表應用于串口 0，應使 用如下命令指定此端口：interface serial0類似地，為將訪問表應用于路由器的以太網端口上時，假定端口為Ethernet0，則應使 用如下命令來指定此端口：interface ethernet0在上述三個步驟中的第三步是定義訪問表所應用的接口方向，通常使用ip access-group命令來指定。其中，列表號標識訪問表，而關鍵字in或out則指明訪問表所 使用的方向。方向用于指出是在報文進入或離開路由器接口時對其進行過濾。如下的實例將 這三個步驟綜合在一起：i

19、ntface serial0ip access-group 107 inaccess-list 107 remark allow traffic to toms pcaccess-list 107 ip any host access-list 107 remark allow only web traffic to webserveraccess-list 107 tcp any host 2 eq 80access-list 107 remark block everything elseaccess-list 107 deny any any在本例中，先使用interface命令指定串行

20、端口 0，并使用ipaccess-group命令來將訪 問表l07中的語句應用于串行接口的向內方向上。最后，輸入6個訪問表語句，其中三條訪 問表語句使用關鍵字remark，以提供關于列表中后繼語句的注解說明。注意訪問表中的最 后一條語句，它表示了每個訪問表相關的隱含denyall設置，并且如果不顯式地列出是不會 看到該語句的。如果讀者希望從路由器的控制臺端口相連的終端上直接輸入這些命令和語 句，則應該先使用EXEC特權命令。這個終端會話過程的實例如下圖所示：router +l corifsy irnrnalconi:guration commfinds C?n# par I jfir Lnd a rTfCTRL/ZAourr f cont g lnter?ncn 世“汀。Fnul hi f cor j .( / rx p 料:.仁眄馬-2，口1_1口 - 07 inRri,；t?i (config-I)斗HjL_tEr 口n+，C| 力.ird 1 L.? rf;ir：,：i* 危打口心 li-irl，-.io toms pcRourericonfig fiacct?ss l