第11次課訪問控制列表(ACL)

訪問控制列表(ACL)問題1公網互聯(lián)網用戶對外信息服務器員工上網信息服務器問題1作為公司網絡管理員，當公司領導提出下列要求時你該怎么辦？為了提高工作效率，不允許員工上班時間進行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。公司有一臺服務器對外提供有關本公司的信息服務，允許公網用戶訪問，但為了內部網絡的安全，不允許公網用戶訪問除信息服務器之外的任何內網節(jié)點。問題2問題2在企業(yè)內部網絡中，會存在一些重要的或者保密的資源或者數(shù)據(jù)，為了防止公司員工有意或無意的破壞或者訪問，對這些服務器應該只允許相關人員訪問。如何做到這一點？訪問控制列表(ACL)AccessControlListACL概述基本ACL配置擴展ACL配置命名ACL一、ACL概述利用ACL可以對經過路由器的數(shù)據(jù)包按照設定的規(guī)則進行過濾，使數(shù)據(jù)包有選擇的通過路由器，起到防火墻的作用。訪問控制列表(ACL)由一組規(guī)則組成，在規(guī)則中定義允許或拒絕通過路由器的條件。ACL過濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議等。ACL有兩種：標準訪問控制列表、擴展訪問控制列表。ACL一般只在以下路由器上配置：1、內部網和外部網的邊界路由器。2、兩個功能網絡交界的路由器。限制的內容通常包括：1、允許哪些用戶訪問網絡。（根據(jù)用戶的IP地址進行限制）2、允許用戶訪問的類型，如允許http和ftp的訪問，但拒絕Telnet的訪問。（根據(jù)用戶使用的上層協(xié)議進行限制）1、ACL的工作過程訪問控制列表(ACL)由多條判斷語句組成。每條語句給出一個條件和處理方式（通過或拒絕）。路由器對收到的數(shù)據(jù)包按照判斷語句的書寫次序進行檢查，當遇到相匹配的條件時，就按照指定的處理方式進行處理。ACL中各語句的書寫次序非常重要，如果一個數(shù)據(jù)包和某判斷語句的條件相匹配時，該數(shù)據(jù)包的匹配過程就結束了，剩下的條件語句被忽略。2、ACL語句一個訪問控制列表(ACL)可由多條語句組成，每條ACL語句的形式為：Router(config)#access-list表號處理方式條件ACL表號：用于區(qū)分各訪問控制列表。一臺路由器中可定義多個ACL，每個ACL使用一個表號。標準訪問控制列表：1~99。擴展訪問控制列表：100~199。同一個ACL中各語句的表號相同。處理方式：取值有permit（允許）和deny（拒絕）兩種。當數(shù)據(jù)包與該語句的條件相匹配時，用給定的處理方式進行處理。條件：每條ACL語句只能定義一個條件。例：access-list1permit55access-list1deny55第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過。第2句表示拒絕地址為20.*.*.*的數(shù)據(jù)包通過。這里的地址指數(shù)據(jù)包的源地址。3、應用ACL如果只是定義了ACL，它還不會起到任何作用，必須把ACL應用到一個接口上才能起作用。應用ACL：Router(config)#interface接口號Router(config-if)#ipaccess-group表號[in|out]in：表示在數(shù)據(jù)包進入此接口時使用ACL進行過濾。out：表示在數(shù)據(jù)包離開此接口時使用ACL進行過濾。通常，使用出站接口檢查的數(shù)據(jù)包數(shù)量較少，效率要高一些。例：Router(config)#

interfacee0Router(config-if)#

ipaccess-group1out表示在e0口上使用表號為1的ACL對出站數(shù)據(jù)包進行過濾。通配符掩碼在ACL語句中，當使用地址作為條件時，它的一般格式為：地址通配符掩碼。通配符掩碼決定了地址中的哪些位需要精確匹配，哪些為不需要匹配。通配符掩碼是一個32位數(shù)，采用點分十進制方式書寫。匹配時，“0”表示檢查的位，“1”表示不檢查的位。如：55表示檢查前16位，忽略后16位，所以這個條件表示的地址是192.168.*.*。any條件：當條件為所有地址時，如果使用通配符掩碼應寫為：55這時可以用“any”表示這個條件。如：Router(config)#

access-list1permit55Router(config)#

access-list1permitany上面兩個語句是等價的。host關鍵字：當條件為單一IP地址時，如果使用通配符掩碼應寫為：IP地址這時可以用“host”關鍵字定義這個條件。如：Router(config)#

access-list1permitRouter(config)#

access-list1permithost上面兩個語句是等價的。二、標準訪問控制列表標準ACL只能使用IP地址作為條件。標準ACL使用數(shù)據(jù)包的源地址匹配ACL語句中的條件。定義標準ACL時，可使用的表號為1~99。（針對IP數(shù)據(jù)報）標準ACL配置舉例1R1E0一個局域網連接在路由器R1的E0口，這個局域網要求只有來自/8、/24、/24的用戶能夠訪問。R1(config)#

access-list1permit55R1(config)#

access-list1permit55R1(config)#

access-list1permit55R1(config)#

interfacee0R1(config-if)#

ipaccess-group1out配置完成后，可以用命令查看ACL：R1#

showaccess-lists說明：1、在每個ACL中都隱含著一個語句：access-listlist-numdenyany它位于ACL的最后，表示拒絕所有。所以任何一個與前面各語句都不匹配的數(shù)據(jù)包都會被拒絕。2、在ipaccess-group語句中，用in或out表示入站時匹配或出站時匹配，如果沒有指定這個值，默認為out。3、在每個接口、每個方向上只能應用一個ACL。4、一個ACL可以應用到多個接口上。R1R2PC1:.2PC2:.1.1.2PC3:.1.1.2E0:.1E0:.1.1.1E1:.1.1.1S0:.1S0:.2/24/24/8/8實例1的實驗驗證：標準ACL配置舉例2R1E0一個局域網連接在路由器R1的E0口，這個局域網要求拒絕來自/24的用戶訪問，其它用戶都可以訪問。R1(config)#

access-list1deny55R1(config)#

access-list1permitanyR1(config)#

interfacee0R1(config-if)#

ipaccess-group1out注意：access-list1permitany語句不能省略，如果省略該語句，則所有和語句1不匹配的數(shù)據(jù)包都會被隱含的access-list1denyany語句拒絕。標準ACL配置舉例3R1E0一個局域網連接在路由器R1的E0口，這個局域網只允許來自/24的用戶訪問，但其中和兩臺主機除外。R1(config)#

access-list1denyhostR1(config)#

access-list1denyhostR1(config)#

access-list1permit55R1(config)#

interfacee0R1(config-if)#

ipaccess-group1out注意：access-list1permit192.168.2055語句不能寫在另兩條語句的前面，如果把它寫在第1句，則和因已經滿足了條件，不會再進行后面的匹配。請參考下圖，為了限制網斷訪問網斷，考慮語句“deny55”放置在Lab-A路由器的E0接口上時，網絡中的數(shù)據(jù)通訊情況這樣所有網絡向外的通訊數(shù)據(jù)全部被拒絕標準ACL不處理目的地相關參數(shù)，因此，標準ACL應該放置在最接近目的地的地點標準ACL的正確放置位置說明：定義ACL時，每條語句都按輸入的次序加入到ACL的末尾，如果想要更改某條語句，或者更改語句的順序，只能先刪除整個ACL，再重新輸入。比如刪除表號為1的ACL：Router(config)#

noaccess-list1在實際應用中，我們往往把路由器的配置文件導出到TFTP服務器中，用文本編輯工具修改ACL，然后再把配置文件裝回到路由器中。三、擴展訪問控制列表擴展ACL可以使用地址作為條件，也可以用上層協(xié)議作為條件。擴展ACL既可以測試數(shù)據(jù)包的源地址，也可以測試數(shù)據(jù)包的目的地址。定義擴展ACL時，可使用的表號為100~199。（針對IP數(shù)據(jù)報）擴展ACL的語句：access-list表號處理方式條件表號：取值100~199。處理方式：permit（允許）或deny（拒絕）。條件：協(xié)議源地址目的地址[運算符端口號][established]協(xié)議：用于匹配數(shù)據(jù)包使用的網絡層或傳輸層協(xié)議，如IP、TCP、UDP、ICMP等。源地址、目的地址：使用“地址通配符掩碼”的形式，也可以使用any、host關鍵字。運算符端口號：用于匹配TCP、UDP數(shù)據(jù)包中的端口號。運算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口號用于對應一種應用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等?！斑\算符端口號”可匹配數(shù)據(jù)包的用途。如：“eq80”可匹配那些訪問Web網站的數(shù)據(jù)包。在擴展ACL語句中，“運算符端口號”可以沒有。例：access-list100permittcp5555eq80表示允許來自192.168.*.*的用戶訪問位于10.*.*.*的Web站點。擴展ACL定義后，也需要使用ipaccess-group命令應用在指定接口上才能起作用。如：Router(config)#

interfacee0Router(config-if)#

ipaccess-group100out在每個擴展ACL末尾也有一條默認語句：access-listlist-numdenyipanyany它會拒絕所有與前面語句不匹配的數(shù)據(jù)包。擴展ACL配置舉例1R1E0一個局域網連接在路由器R1的E0口，這個局域網只允許Web通信流量和Ftp通信流量，其它都拒絕。R1(config)#

access-list100permittcpanyanyeq80R1(config)#

access-list100permittcpanyanyeq20R1(config)#

access-list100permittcpanyanyeq21R1(config)#

interfacee0R1(config-if)#

ipaccess-group100out說明：標準FTP協(xié)議使用了兩個端口，21用于建立FTP連接，20用于數(shù)據(jù)傳輸。說明：例1的配置將會極大限制局域網和外網間的應用，它會拒絕除Web和Ftp外的所有應用（包括ICMP、DNS、電子郵件等），也會拒絕那些沒有使用標準端口的Web和Ftp應用。在實際應用中，我們通常只對那些可能有害的訪問作出拒絕限制，或者限制用戶訪問某些有害的站點或服務。擴展ACL配置舉例2R1E0R1是局域網和外網的邊界路由器，禁止外網用戶用Telnet遠程登錄本路由器。S0192.168.*.*/24/24R1(config)#

access-list100denytcpanyhosteq23R1(config)#

access-list100denytcpanyhosteq23R1(config)#

access-list100permitipanyanyR1(config)#

interfaces0R1(config-if)#

ipaccess-group100in說明：這里使用了禁止對兩個接口進行Telnet的數(shù)據(jù)包進入S0口的方法阻斷來自外網的Telnet請求。由于對E0口沒有限制，所以它不影響來自內網的Telnet請求。擴展ACL配置舉例3R1E0R1是局域網和外網的邊界路由器，1是一個有害的Web網站，禁止內網用戶訪問該網站。S0192.168.*.*/24/24R1(config)#

access-list100denytcp55host1eq80R1(config)#

access-list100permitipanyanyR1(config)#

interfacee0R1(config-if)#

ipaccess-group100in擴展ACL配置舉例4R1E0R1是局域網和外網的邊界路由器，禁止對S0口的ping操作。S0192.168.*.*/24/24R1(config)#

access-list100denyicmpanyhostR1(config)#

access-list100permitipanyanyR1(config)#

interfaces0R1(config-if)#

ipaccess-group100in說明：ping命令使用的是ICMP協(xié)議，但ICMP除了具有網絡探查功能外，還需要用它傳輸各種錯誤信息，所以在路由器上不應該禁止該協(xié)議。如果想要禁止ping，最好使用專用的防火墻。放置擴展ACL的正確位置在下圖中，需要設定網絡中的所有節(jié)點不能訪問地址為4服務器在哪個路由器的哪個接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機器訪問4，但是他們可以繼續(xù)訪問Internet由于擴展ACL可以控制目的地地址，所以應該放置在盡量接近數(shù)據(jù)發(fā)送源的路由器上。減少網絡資源的浪費。放置擴展ACL的正確位置四、命名訪問控制列表命名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加的一種定義ACL的方法。命名ACL使用一個符號串作為ACL的名字，不再使用表號。命名ACL也有標準ACL和擴展ACL兩種，一個命名ACL只能是其中的一種。命名ACL配置方法Router(config)#

ipaccess-list{standard|extended}namestandard：定義標準命名ACL。extended：定義擴展命名ACL。name：ACL的名字，可自定義。該命令執(zhí)行后，提示符變?yōu)镽outer(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可輸入ACL語句。命名ACL語句格式：處理方式條件。它只比以前的ACL少了前面的“access-list表號”部分，其它都相同。例1配置標準命名ACLR1E0要求拒絕來自/24的數(shù)據(jù)包通過S0口進入路由器，其它都允許。S0R1(config)#

i