利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問(wèn)

利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問(wèn)利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問(wèn)利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問(wèn)資料僅供參考文件編號(hào)：2022年4月利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問(wèn)版本號(hào)：A修改號(hào)：1頁(yè)次：1.0審核：批準(zhǔn):發(fā)布日期：在通常的網(wǎng)絡(luò)管理中，我們都希望允許一些連接的訪問(wèn)，而禁止另一些連接的訪問(wèn)，但許多安全工具缺乏網(wǎng)絡(luò)管理所需的基本通信流量過(guò)濾的靈活性和特定的控制手段。三層交換機(jī)功能強(qiáng)大，有多種管理網(wǎng)絡(luò)的手段，它有內(nèi)置的ACL(訪問(wèn)控制列表)，因此我們可利用ACL(訪問(wèn)控制列表)控制Internet的通信流量。以下是我們利用聯(lián)想的三層交換機(jī)3508GF來(lái)實(shí)現(xiàn)ACL功能的過(guò)程。利用標(biāo)準(zhǔn)ACL控制網(wǎng)絡(luò)訪問(wèn)當(dāng)我們要想阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時(shí)，可以使用標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)這一目標(biāo)。標(biāo)準(zhǔn)訪問(wèn)控制列表檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)IP地址的所有通信流量通過(guò)交換機(jī)的出口。標(biāo)準(zhǔn)ACL的配置語(yǔ)句為：Switch#access-listaccess-list-number（1~99){permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}例1：允許網(wǎng)絡(luò)上的主機(jī)進(jìn)行訪問(wèn)：Switch#access-list1permit例2：禁止網(wǎng)絡(luò)上的主機(jī)訪問(wèn)：Switch#access-list2deny例3：允許所有IP的訪問(wèn)：Switch#access-list1permit例4：禁止主機(jī)的通信：Switch#access-list3deny上面的和等為32位的反掩碼，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。如表示這個(gè)網(wǎng)段，使用通配符掩碼應(yīng)為。利用擴(kuò)展ACL控制網(wǎng)絡(luò)訪問(wèn)擴(kuò)展訪問(wèn)控制列表既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。擴(kuò)展訪問(wèn)控制列表更具有靈活性和可擴(kuò)充性，即可以對(duì)同一地址允許使用某些協(xié)議通信流量通過(guò)，而拒絕使用其它協(xié)議的流量通過(guò)，可靈活多變的設(shè)計(jì)ACL的測(cè)試條件。擴(kuò)展ACL的完全命令格式如下：Switch#access-listaccess-list-number(100~199){permit|deny}protocol{any|source[source-mask]}{any|destination[destination-mask]}[port-number]例1：拒絕交換機(jī)所連的子網(wǎng)ping通另一子網(wǎng)：Switch#access-list100denyicmp例2：阻止子網(wǎng)訪問(wèn)Internet（www服務(wù)）而允許其它子網(wǎng)訪問(wèn)：Switch#access-list101denytcpanywww或?qū)憺椋篠witch#access-list101denytcpany80例3：允許從通過(guò)交換機(jī)發(fā)送E-mail，而拒絕所有其它來(lái)源的通信：Switch#access-list101permittcpanysmtp基于端口和VLAN的ACL訪問(wèn)控制標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表的訪問(wèn)控制規(guī)則都是基于交換機(jī)的，如果僅對(duì)交換機(jī)的某一端口進(jìn)行控制，則可把這個(gè)端口加入到上述規(guī)則中。配置語(yǔ)句為：Switch#acess-listport<port-id><groupid>例:對(duì)交換機(jī)的端口4，拒絕來(lái)自網(wǎng)段上的信息，配置如下：Switch#acess-list1denySwitch#acess-listport41//把端口4加入到規(guī)則1中。基于VLAN的訪問(wèn)控制列表是基于VLAN設(shè)置簡(jiǎn)單的訪問(wèn)規(guī)則，也設(shè)置流量控制，來(lái)允許（permit)或拒絕(deny)交換機(jī)轉(zhuǎn)發(fā)一個(gè)VLAN的數(shù)據(jù)包。配置語(yǔ)句：Switch#acess-listvlan<vlan-id>[deny|permit]例：拒絕轉(zhuǎn)發(fā)vlan2中的數(shù)據(jù)：Switch#access-listvlan2deny另外，我們也可通過(guò)顯示命令來(lái)檢查已建立的訪問(wèn)控制列表,即Switch#showaccess-list例：Switch#showaccess-list//顯示ACL列表；ACLStatus：Enable//ACL狀態(tài)允許；StandardIPaccesslist://IP訪問(wèn)列表；GroupId1denysrcIpanyActive//禁止的網(wǎng)絡(luò)訪問(wèn)；GroupId2permitanyanyActive//允許其它網(wǎng)絡(luò)訪問(wèn)。若要取消已建立的訪問(wèn)控制列表，可用如下命令格式：Switch#noaccess-listaccess-list-number例：取消訪問(wèn)列表1：Switch#noaccess-list1基于以上的ACL多種不同的設(shè)置方法，我們實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全的一般控制方法，使三層交換機(jī)作為網(wǎng)絡(luò)通信出入口的重要控制點(diǎn)，發(fā)揮其應(yīng)有的作用。而正確地配置ACL訪問(wèn)控制列表實(shí)質(zhì)將部分起到防火墻的作用，特別對(duì)于來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊防范上有著外部專用防火墻所無(wú)法實(shí)現(xiàn)的功能，可大大提升局域網(wǎng)的安全性能。新手入門ACL是應(yīng)用到交換機(jī)接口的指令列表，這些指令列表用來(lái)告訴交換機(jī)哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包要拒絕。接收或拒絕的條件可以是源地址、目的地址、端口號(hào)等指示條件來(lái)決定。它主要有三個(gè)方面的功能：◆限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如：ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定這種類型的數(shù)據(jù)包的優(yōu)先級(jí)，同等情況下可與先被交換機(jī)處理。◆提供網(wǎng)絡(luò)訪問(wèn)的基本安全手段。例如，ACL允許某一主機(jī)訪問(wèn)您的資源，而禁止另一主機(jī)訪問(wèn)同樣的資源?！粼诮粨Q機(jī)接口處，決定那種類型的通信流量被轉(zhuǎn)發(fā)，那種通信類型的流量被阻塞。例如，允許網(wǎng)絡(luò)的E-mail被通過(guò)，而阻止FTP通信。建立訪問(wèn)控制列表后，可