ACL(Access+Control+List,訪問控制列表)

ACL（AccessControlList訪問控制列表）技術(shù)從來都是一把雙刃劍，網(wǎng)絡(luò)應(yīng)用與互聯(lián)網(wǎng)的普及在大幅提高企業(yè)的生產(chǎn)經(jīng)營效率的同時，也帶來了諸如數(shù)據(jù)的安全性，員工利用互聯(lián)網(wǎng)做與工作不相干事等負面影響。如何將一個網(wǎng)絡(luò)有效的管理起來，盡可能的降低網(wǎng)絡(luò)所帶來的負面影響就成了擺在網(wǎng)絡(luò)管理員面前的一個重要課題。A公司的某位可憐的網(wǎng)管目前就面臨了一堆這樣的問題。A公司建設(shè)了一個企業(yè)網(wǎng)，并通過一臺路由器接入到互聯(lián)網(wǎng)。在網(wǎng)絡(luò)核心使用一臺基于IOS的多層交換機，所有的二層交換機也為可管理的基于IOS的交換機，在公司內(nèi)部使用了VLAN技術(shù)，按照功能的不同分為了6個VLAN。分別是網(wǎng)絡(luò)設(shè)備與網(wǎng)管（VLAN1，/24）、內(nèi)部服務(wù)器（VLAN2）、Internet連接（VLAN3）、財務(wù)部（VLAN4）、市場部（VLAN5）、研發(fā)部門（VLAN6），出口路由器上Fa0/0接公司內(nèi)部網(wǎng)，通過s0/0連接到Internet。每個網(wǎng)段的三層設(shè)備（也就是客戶機上的缺省網(wǎng)關(guān)）地址都從高位向下分配，所有的其它節(jié)點地址均從低位向上分配。該網(wǎng)絡(luò)的拓樸如下圖所示：自從網(wǎng)絡(luò)建成后麻煩就一直沒斷過，一會兒有人試圖登錄網(wǎng)絡(luò)設(shè)備要搗亂；一會兒領(lǐng)導(dǎo)又在抱怨說互聯(lián)網(wǎng)開通后，員工成天就知道泡網(wǎng)；一會兒財務(wù)的人又說研發(fā)部門的員工看了不該看的數(shù)據(jù)。這些抱怨都找這位可憐的網(wǎng)管，搞得他頭都大了。那有什么辦法能夠解決這些問題呢？答案就是使用網(wǎng)絡(luò)層的訪問限制控制技術(shù)一一訪問控制列表（下文簡稱ACL）。那么，什么是ACL呢？ACL是種什么樣的技術(shù)，它能做什么，又存在一些什么樣的局限性呢？ACL的基本原理、功能與局限性網(wǎng)絡(luò)中常說的ACL是CiscoIOS所提供的一種訪問控制技術(shù)，初期僅在路由器上支持，近些年來已經(jīng)擴展到三層交換機，部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術(shù)，不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基于CiscoIOS的ACL進行編寫?；驹恚篈CL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。功能：網(wǎng)絡(luò)中的節(jié)點資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務(wù)或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。配置ACL的基本原則：在實施ACL的過程中，應(yīng)當(dāng)遵循如下兩個基本原則：u最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限u最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制局限性：由于ACL是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達到endtoend的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。ACL配置技術(shù)詳解“說那么多廢話做什么，趕快開始進行配置吧?！保珹公司的網(wǎng)管說。呵呵，并不是我想說那么多廢話，因為理解這些基礎(chǔ)的概念與簡單的原理對后續(xù)的配置和排錯都是相當(dāng)有用的。說說看，你的第一個需求是什么?！白鰹橐粋€網(wǎng)管，我不期望普通用戶能telnet到網(wǎng)絡(luò)設(shè)備”一一ACL基礎(chǔ)“補充一點，要求能夠從我現(xiàn)在的機器（研發(fā)VLAN的6）上telnet到網(wǎng)絡(luò)設(shè)備上去?！?。hamm，是個不錯的主意，誰都不希望有人在自己的花園中撤野。讓我們分析一下，在A公司的網(wǎng)絡(luò)中，除出口路由器外，其它所有的網(wǎng)絡(luò)設(shè)備段的是放在Vlanl中，那個我只需要在到VLAN1的路由器接口上配置只允許源地址為6的包通過，其它的包通通過濾掉。這中只管源IP地址的ACL就叫做標準IPACL我們在SWA上進行如下的配置：access-list1permithost6access-list1denyanyintvlan1ipaccess-group1out這幾條命令中的相應(yīng)關(guān)鍵字的意義如下：access-list：配置均ACL的關(guān)鍵字，所有的ACL均使用這個命令進行配置。access-list后面的1：ACL號，ACL號相同的所有ACL形成一個組。在判斷一個包時，使用同一組中的條目從上到下逐一進行判斷，一遇到滿足的條目就終止對該包的判斷。1-99為標準的IPACL號，標準IPACL由于只讀取IP包頭的源地址部分，消耗資源少。permit/deny:操作。Permit是允許通過，deny是丟棄包。host6/any:匹配條件，等同于6。剛才說過，標準的ACL只限制源地址。Host6（6）的意思是只匹配源地址為6的包。是wildcards，某位的wildcards為0表示IP地址的對應(yīng)位必須符合，為1表示IP地址的對應(yīng)位不管是什么都行。簡單點說，就是55減去子網(wǎng)掩碼后的值，的wildcards就是意味著IP地址必須符合6，可以簡稱為host6。any表示匹配所有地址。注意：IOS中的ACL均使用wildcards，并且會用wildcards對IP地址進行嚴格的對齊，如你輸入一條access-list1permit291，在你showaccess-list看時，會變成access-list1permit281，PIXOS中的ACL均使用subnetmasks，并且不會進行對齊操作。更為詳細的關(guān)于IPV4地址的資料可以參見拙著《IPv4基礎(chǔ)知識》/showarticle.php?s=&articleid=60一文intvlan1///ipaccess-group1out:這兩句將access-list1應(yīng)用到vlan1接口的out方向。其中1是ACL號，和相應(yīng)的ACL進行關(guān)聯(lián)。Out是對路由器該接口上哪個方向的包進行過濾，可以有in和out兩種選擇。注意：這里的in/out都是站在路由器或三層模塊（以后簡稱R）上看的，in表示從該接口進入R的包，out表示從該接口出去的包。好了，這就是一個最基本的ACL的配置方法。什么，你說普通用戶還能telnet到RTA？那你在intvlan3上現(xiàn)加一個ipaccess-group1out吧。Hammmm，等等，你這樣加上去普通用戶就訪問不了internet了。讓我們把剛才的ACL去掉，重新寫一個。回憶一下，我們的目的是除了6能夠進行telnet操作外，其它用戶都不允許進行telnet操作。剛才我們說過，標準的IPACL只能控制源IP地址，不能控制到端口。要控制到第四層的端口，就需要使用到：擴展的IPACL的配置先看看配置實例吧。在SWA上進行如下配置：intvlan1noipaccess-group1outexitnoaccess-list1access-list101permittcphost6anyeqtelnetaccess-list101denytcpanyanyeqtelnetintvlan1ipaccess-group101outintvlan3ipaccess-group101out你應(yīng)該注意到到這里的ACL有一些變化了，現(xiàn)在對變化的部分做一些說明：access-list101：注意這里的101，和剛才的標準ACL中的1一樣，101是ACL號，表示這是一個擴展的IPACL。擴展的IPACL號范圍是100-199，擴展的IPACL可以控制源IP、目的IP、源端口、目的端口等，能實現(xiàn)相當(dāng)精細的控制，擴展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口，的IP在沒有硬件ACL加速情況下，會消耗大量的CPU資源。intvlan1///noipaccess-group1out///exit///noaccess-list1:取消access-list1，對于非命名的ACL，可以只需要這一句就可以全部取消。注意，在取消或修改一個ACL前，必須先在它所應(yīng)用的接口上先把應(yīng)用給no掉，否則會導(dǎo)致相當(dāng)嚴重的后果。tcphost6anyeqtelnet：匹配條件。完整格式為：協(xié)議源地址源wildcards［關(guān)系］［源端口］目的地址目的wildcards［關(guān)系］［目的端口］。其中協(xié)議可以是IP、TCP、UDP、EIGRP等，［］內(nèi)為可選字段。僅在協(xié)議為tcp/udp等具備端口號的協(xié)議才有用。關(guān)系可以是eq（等于）、neq（不等于）、lt（大于）、range（范圍）等。端口一般為數(shù)字的1-65535，對于周知端口，如23（服務(wù)名為telnet）等可以用服務(wù)名代替。源端口和目的端口不定義時表示所有端口。把這個ACL應(yīng)用上去后，用戶們開始打電話來罵娘了，因為他們都訪問不了Internet了，是哪里出了問題了呢？注意：所有的ACL，缺省情況下，從安全角度考慮，最后都會隱含一句denyany（標準ACL）或denyipanyany（擴展IPACL）。所以在不了解業(yè)務(wù)會使用到哪些端口的情況下，最好在ACL的最后加上一句permitipanyany，在這里就是access-list101permitipanyany?，F(xiàn)在用戶倒是能夠訪問Internet了，但我們的可憐的網(wǎng)管卻發(fā)現(xiàn)普通用戶還是能夠telnet到他的SWA上面，因為SWA上面有很多個網(wǎng)絡(luò)接口，而且使用擴展的ACL會消耗很多的資源。有什么簡單的辦法能夠控制用戶對網(wǎng)絡(luò)設(shè)備的Telnet訪問，而又不消耗太多的資源呢？這就需要使用到：對網(wǎng)絡(luò)設(shè)備自身的訪問如何進行控制的技術(shù)讓我們先把剛才配置的ACL都取掉（具體配置略，不然后讀者會以為我在騙稿費了。），再在每臺網(wǎng)絡(luò)設(shè)備上均進行如下配置：access-list1permithost6linevty04（部分設(shè)備是15）access-class1in這樣就行了，telnet都是訪問的設(shè)備上的linevty，在linevty下面使用access-class與ACL組進行關(guān)聯(lián)，in關(guān)鍵字表示控制進入的連接。就這么簡單？wk，你丫是不是在玩我們，為什么還要繞一大圈？臭雞蛋和爛西紅柿開始在70的腦袋上方狂飛。（5555555，偶也只是想向大家把ACL的基礎(chǔ)知識講的明白一些的嘛）。經(jīng)過剛才的配置，我們可以理出一個簡單的ACL配置步驟了：u分析需求，找清楚需求中要保護什么或控制什么；為方便配置，最好能以表格形式列出。在本文的后面會舉例的。u分析符合條件的數(shù)據(jù)流的路徑，尋找一個最適合進行控制的位置；u書寫ACL，并將ACL應(yīng)用到接口上；u測試并修改ACL。當(dāng)A公司的領(lǐng)導(dǎo)知道在網(wǎng)管能夠控制普通用戶對網(wǎng)絡(luò)設(shè)備的訪問后，我們的可憐的網(wǎng)管就收到了很多看起來很難的要求。領(lǐng)導(dǎo)要求網(wǎng)管：“使用ACL技術(shù)對網(wǎng)絡(luò)訪問進行精細化控制”一一ACL進階配置命名的IPACL由于最近服務(wù)器網(wǎng)段的機器老是被人用telnet、rsh等手段進行攻擊，我們只對員工開放web服務(wù)器(0)所提供的http、FTP服務(wù)器(2)提供的FTP服務(wù)和數(shù)據(jù)庫服務(wù)器(1:1521)。好吧，我們著手進行配置，可是我們的ACL剛寫到一半，發(fā)現(xiàn)前面寫的幾句好像有問題，一個no命令輸進去，整個ACL都沒了，唉，一切都得重來，難道就沒有一個變通的辦法么？有，這里我就需要用到：命名的IPacl提供的兩個主要優(yōu)點是：l解決ACL號碼不足的問題。l可以自由的刪除ACL中的一條語句，而不必刪除整個ACL。命名的ACL的主要不足之處在于無法實現(xiàn)在任意位置加入新的ACL條目。比如上面那個例子中，我們進行了如下的配置：ipaccess-listextendserver-protectpermittcp55host0eqwwwpermittcp55host1eq1521permittcp55host2eqftp配置到這里，我們發(fā)現(xiàn)permittcp55host1eq1521這句配錯了，我們得把它給取掉并重新配置，OK，我樣可以簡單的進行如下配置：ipaccess-listextendserver-protectnopermittcp55host1eq1521permittcp55host1eq1521exitintvlan2ipaccess-groupserver-protect就可以了。現(xiàn)在對命名的IPaccess-list的配置方法解釋如下：ipaccess-listextendserver-access-limit:ipaccess-list相當(dāng)于使用編號的access-list中的access-list段。extend表明是擴展的ACL(對應(yīng)地，standard表示標準的ACL)0server-access-limit是access-list的名字，相當(dāng)于基于編號的ACL中的編號字段。permittcp55host1eq1521:這一段和使用編號的access-list的后半段的意義相同，都由操作和條件兩段組成。其實基于名字的IPACL還有一個很好的優(yōu)點就是可以為每個ACL取一個有意義的名字，便于日后的管理與維護。所以Ultra工作室強烈建議各位看官在實際工作中均使用命名的ACLo進一步完善對服務(wù)器數(shù)據(jù)的保護一一ACL執(zhí)行順序再探討在服務(wù)器網(wǎng)段中的數(shù)據(jù)庫服務(wù)器中存放有大量的市場信息，市場部門的人員不希望研發(fā)部門訪問到數(shù)據(jù)庫服務(wù)器，經(jīng)過協(xié)商，同意研發(fā)部門的領(lǐng)導(dǎo)的機器(IP地址為3)可以訪問到數(shù)據(jù)庫服務(wù)器。這樣，我們的服務(wù)器網(wǎng)段的的訪問權(quán)限部分如下表所示：協(xié)議源地址源端口目的地址目的端口操作TCP10.1/16所有0/3280允許訪問TCP10.1/16所有2/3221允許訪問TCP10.1/16所有1/321521允許訪問TCP10.1.6/24所有1/321521禁止訪問TCP3/32所有1/321521允許訪問IP10.1/16N/A所有N/A禁止訪問于是，網(wǎng)管就在server-protect后面順序加了兩條語句進去，整個ACL變成了如下形式：ipaccess-listextendserver-protectpermittcp55host0eqwwwpermittcp55host1eq1521permittcp55host2eqftpdenytcp55host1eq1521permittcphost3host1eq1521做完之后發(fā)現(xiàn)根本沒起到應(yīng)有的作用，研發(fā)部門的所有機器還是可以訪問到數(shù)據(jù)庫服務(wù)器。這是為什么呢？前面我們提到過，ACL的執(zhí)行順序是從上往下執(zhí)行，一個包只要遇到一條匹配的ACL語句后就會停止后續(xù)語句的執(zhí)行，在我們的這個ACL中，因為前面已經(jīng)有了一條permittcp55host1eq1521語句。內(nèi)部網(wǎng)上所有訪問1的1521端口的在這兒就全部通過了，跟本不會到后面兩句去比較。所以導(dǎo)致達不到我們的目的。應(yīng)該把server-protect這個ACL按如下形式進行修改才能滿足我們的要求：ipaccess-listextendserver-protectpermittcphost3host1eq1521denytcp55host1eq1521permittcp55host1eq1521permittcp55host0eqwwwpermittcp55host2eqftp這個例子告訴我們在寫ACL時，一定要遵循最為精確匹配的ACL語句一定要寫在最前面的原則，只有這樣才能保證不會出現(xiàn)無用的ACL語句?；跁r間的ACL在保證了服務(wù)器的數(shù)據(jù)安全性后，領(lǐng)導(dǎo)又準備對內(nèi)部員工上網(wǎng)進行控制。要求在上班時間內(nèi)(9:00-18:00)禁止內(nèi)部員工瀏覽internet，禁止使用QQ、MSN。而且在2003年6月1號到2號的所有時間內(nèi)都不允許進行上述操作。但在任何時間都可以允許以其它方式訪問Internet0天哪，這可叫人怎么活呀，但領(lǐng)導(dǎo)既然這樣安排，也只好按指示做了。首先，讓我們來分析一下這個需求，瀏覽internet現(xiàn)在基本上都是使用http或https進行訪問，標準端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登錄會使用到TCP/UDP8000這兩個端口，還有可能使用到udp/4000進行通訊。而且這些軟件都能支持代理服務(wù)器，目前的代理服務(wù)器主要布署在TCP8080、TCP3128(HTTP代理)和TCP1080(socks)這三個端口上。這個需求如下表所示：應(yīng)用協(xié)議源地址源端口目的地址目的端口操作IETCP10.1/16所有所有80限制訪問IETCP10.1/16所有所有443限制訪問MSNTCP10.1/16所有所有1863限制訪問QQTCP10.1/16所有所有8000限制訪問QQUDP10.1/16所有所有8000限制訪問QQUDP10.1/16所有所有4000限制訪問HTTP代理TCP10.1/16所有所有8080限制訪問HTTP代理TCP10.1/16所有所有3128限制訪問SocksTCP10.1/16所有所有1080限制訪問AllotherIP10.1/16N/A所有N/A允許訪問然后，讓我們看看ACL應(yīng)該在哪個位置配置比較好呢？由于是對訪問Internet進行控制，涉及到的是公司內(nèi)部所有的網(wǎng)段，這們這次把ACL就放到公司的Internet出口處。在RTA上進行如下的配置，就能夠滿足領(lǐng)導(dǎo)的要求了：time-rangeTR1absolutestart00:001June2003end00:003June2003periodicweekdaysstart9:0018:00exitipaccess-listextendinternet_limitdenytcp55anyeq80time-rangeTR1denytcp55anyeq443time-rangeTR1denytcp55anyeq1863time-rangeTR1denytcp55anyeq8000time-rangeTR1denyudp55anyeq8000time-rangeTR1denyudp55anyeq4000time-rangeTR1denytcp55anyeq3128time-rangeTR1denytcp55anyeq8080time-rangeTR1denytcp55anyeq1080time-rangeTR1permitipanyanyints0/0ipaccess-groupinternet_limitout或intfa0/0ipaccess-groupinternet_limitin或者將ACL配置在SWA上，并intvlan3ipaccess-groupinternet_limitout呵呵，現(xiàn)在讓我們來看看在基于時間的訪問列表中都有哪些新內(nèi)容吧：time-rangeTR1：定義一個新的時間范圍，其中的TR1是為該時間范圍取的一個名字。absolute：為絕對時間。只使用一次?？梢远x為1993-2035年內(nèi)的任意一個時點。具體的用法請使用？命令查看。Periodic：為周期性重復(fù)使用的時間范圍的定義。完整格式為periodic日期關(guān)鍵字開始時間結(jié)束時間。其中日期關(guān)鍵字的定義如下所示：Monday星期一Tuesday星期二Wednesday星期三Thursday星期四Friday星期五Saturday星期六Sunday星期天daily每天weekdays周一至五weekend周末access-list101denyip55anytime-rangeTR1:注意這一句最后的time-rangeTR1，使這條ACL語句與time-rangeTR1相關(guān)聯(lián)，表明這條語句在time-rangeTR1所定義的時間范圍內(nèi)才起作用。注意：給出三種配置位置是幫助大家深刻理解關(guān)于in/out的區(qū)別的。acl是對從一個接上流入(也)或流出(out)路由器的包進行過濾的。網(wǎng)管發(fā)問了，“你是怎么找到這些應(yīng)用的所使用的端口的？”。呵呵，在如下文件中可以找到大多數(shù)應(yīng)用的端口的定義：Win9x:%windir%\servicesWinNT/2000/XP：%windir%\system32\drivers\etc\servicesLinux：/etc/services對于在services文件中找不到端口的應(yīng)用，可以在運行程序的前后，運行netstat-ap來找出應(yīng)用所使用的端口號。使用IPACL實現(xiàn)單向訪問控制A公司準備實行薪資的不透明化管理，由于目前的薪資收入數(shù)據(jù)還放在財務(wù)部門的Vlan中，所以公司不希望市場和研發(fā)部門能訪問到財務(wù)部Vlan中的數(shù)據(jù)，另一方面，財務(wù)部門做為公司的核心管理部門，又希望能訪問到市場和研發(fā)部門Vlan內(nèi)的數(shù)據(jù)。我們的網(wǎng)管在接到這個需求后就在SWA上做了如下的配置：ipaccess-listextendfi-access-limitdenyipany55permitipanyanyintvlan5ipaccess-groupfi-access-limitinintvlan6ipaccess-groupfi-access-limitin配置做完后，測試了一下，市場和研發(fā)部門確實訪問不到財務(wù)部了，剛準備休息一下，財務(wù)部打電話過來說為訪問不到市場與研發(fā)部門的數(shù)據(jù)了。這是怎么回事呢？讓我們回憶一下，在兩臺主機A與B之間要實現(xiàn)通訊，需要些什么條件呢？答案是既需要A能向B發(fā)包，也需要B能向A發(fā)包，任何一個方向的包被阻斷，通訊都不能成功，在我們的例子中就存在這樣的問題，財務(wù)部訪問市場或研發(fā)部門時，包到到市場或研發(fā)部門的主機，由這些主機返回的包在到達路由器SWA時，由于普通的ACL均不具備檢測會話狀態(tài)的能力，就被denyipany55這條ACL給阻斷了，所以訪問不能成功。要想實現(xiàn)真正意義上的單向訪問控制應(yīng)該怎么辦呢？我們希望在財務(wù)部門訪問市場和研發(fā)部門時，能在市場和研發(fā)部門的ACL中臨時生成一個反向的ACL條目，這樣就能實現(xiàn)單向訪問了。這里就需要使用到反向ACL技術(shù)。我們可以按照如下配置實例就可以滿足剛才的那個單向訪問需求：ipaccess-listextendfi-mainpermittcpany55reflectr-maintimeout120permitudpany55reflectr-maintimeout200permiticmpany55reflectr-maintimeout10permitipanyanyintvlan4ipaccess-groupfi-maininipaccess