第6章防火墻技術(shù)

第6章防火墻技術(shù)防火墻技術(shù)ACL訪問控制列表防火墻技術(shù)防火墻定義防火墻的作用防火墻的分類方法防火墻的體系和典型安裝方式防火墻的主要技術(shù)種類防火墻的體系結(jié)構(gòu)ACL訪問控制列表防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。防火墻Internet一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。兩個(gè)安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為內(nèi)部網(wǎng)防火墻定義

所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)都必須通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力Intranet通過部署防火墻，可以實(shí)現(xiàn)比VLAN、路由器更為強(qiáng)大、有效的訪問控制功能；大大提高抗攻擊的能力禁止訪問禁止訪問防火墻的作用網(wǎng)絡(luò)的安全屏障在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器、也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全HostCHostD訪問控制功能AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass1010010101規(guī)則匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址InternetRADIUS服務(wù)器S/KEY認(rèn)證服務(wù)器RADIUS服務(wù)器TACAS+服務(wù)器chenaifeng12354876防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器將認(rèn)證結(jié)果傳給防火墻根據(jù)認(rèn)證結(jié)果決定用戶對(duì)資源的訪問權(quán)限身份認(rèn)證功能審計(jì)功能----日志分析通信日志：即傳統(tǒng)日志通信源地址、目的地址、源目端口、通信時(shí)間、通信協(xié)議、字節(jié)數(shù)、是否允許通過應(yīng)用層命令日志：在通信日志的基礎(chǔ)之上，記錄下各個(gè)應(yīng)用層命令及其參數(shù)。例如HTTP請(qǐng)求及其要取的網(wǎng)頁(yè)名。訪問日志：即在通信日志的基礎(chǔ)之上，記錄下用戶對(duì)網(wǎng)絡(luò)資源的訪問。它和應(yīng)用層命令日志的區(qū)別是：應(yīng)用層命令日志可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對(duì)FTP協(xié)議，訪問日志只記錄下讀、寫文件的動(dòng)作

內(nèi)容日志：即在應(yīng)用層命令日志的基礎(chǔ)之上，還記錄下用戶傳輸?shù)膬?nèi)容。如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁(yè)等。但因?yàn)檫@個(gè)功能涉及到隱私問題，所以在普通的防火墻中沒有包含

Firewall5G對(duì)所有的應(yīng)用層協(xié)議都可以進(jìn)行通信日志，而命令日志、訪問日志、內(nèi)容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等協(xié)議

日志分析工具自動(dòng)產(chǎn)生各種報(bào)表，智能化的指出網(wǎng)絡(luò)可能的安全漏洞簡(jiǎn)單地說(shuō)，就是要為管理人員提供下列問題的答案：–

誰(shuí)在使用網(wǎng)絡(luò)？–

他們?cè)诰W(wǎng)絡(luò)上做什么？–

他們什么時(shí)間使用了網(wǎng)絡(luò)？–

他們上網(wǎng)去了何處？–

誰(shuí)試圖上網(wǎng)但沒有成功？支持集中審計(jì)安全審計(jì)中心1010101Intranet靈活的帶寬管理功能WWWMailDNS出口帶寬512KDMZ區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬DMZ區(qū)域內(nèi)部網(wǎng)絡(luò)總帶寬512K內(nèi)網(wǎng)256KDMZ256K70K90K96K+++財(cái)務(wù)子網(wǎng)采購(gòu)子網(wǎng)生產(chǎn)子網(wǎng)財(cái)務(wù)子網(wǎng)采購(gòu)子網(wǎng)生產(chǎn)子網(wǎng)InternetInternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)跨路由器IP與MAC（用戶）綁定功能Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能NAT(地址轉(zhuǎn)換)功能13防火墻的分類方法14單機(jī)防火墻VS網(wǎng)絡(luò)防火墻15軟件防火墻VS硬件防火墻防火墻安裝方式之一安裝方式之二備份防火墻19防火墻的主要技術(shù)種類包過濾技術(shù)狀態(tài)包檢測(cè)技術(shù)代理服務(wù)技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾技術(shù)包過濾技術(shù)是防火墻最常用的技術(shù)。對(duì)一個(gè)充滿危險(xiǎn)的網(wǎng)絡(luò)，這種方法可以阻塞某些主機(jī)或網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可以限制內(nèi)部人員對(duì)一些危險(xiǎn)站點(diǎn)的訪問包過濾技術(shù)指在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包有選擇的通過，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。包過濾規(guī)則一般是基于部分或全部報(bào)文內(nèi)容.一般由屏蔽路由器來(lái)完成。屏蔽路由器也叫過濾路由器，是一種可以根據(jù)過濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器。21數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包包過濾技術(shù)的基本原理

數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011包過濾工作過程簡(jiǎn)單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過濾防火墻不建立連接狀態(tài)表前后報(bào)文無(wú)關(guān)應(yīng)用層控制很弱優(yōu)點(diǎn)：速度快，性能高對(duì)應(yīng)用程序透明應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011包過濾工作過程簡(jiǎn)單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過濾防火墻不建立連接狀態(tài)表前后報(bào)文無(wú)關(guān)應(yīng)用層控制很弱優(yōu)點(diǎn)：速度快，性能高對(duì)應(yīng)用程序透明狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)技術(shù)是包過濾技術(shù)的延伸，常被稱為“動(dòng)態(tài)包過濾”。是與包過濾相類似但是更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。適合網(wǎng)絡(luò)流量大的環(huán)境。主要特點(diǎn)高安全性：工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，確保截取和檢測(cè)所有通過網(wǎng)絡(luò)的原始數(shù)據(jù)包。雖然工作在協(xié)議棧的較低層，但可以監(jiān)視所有應(yīng)用層的數(shù)據(jù)包，從中提取有用信息，安全性得到很大提高。高效性：一方面，通過防火墻的數(shù)據(jù)包都在協(xié)議棧的較低層處理，減少了高層協(xié)議棧的開銷；另一方面，由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，從而使得性能得到了較大提高?？缮炜s和易擴(kuò)展：由于狀態(tài)表是動(dòng)態(tài)的，當(dāng)有一個(gè)新的應(yīng)用時(shí)，它能動(dòng)態(tài)的產(chǎn)生新的應(yīng)用的新的規(guī)則，無(wú)須另外寫代碼，因而具有很好的可伸縮和易擴(kuò)展。應(yīng)用范圍廣：不僅支持基于TCP的應(yīng)用，而且支持基于無(wú)連接協(xié)議的應(yīng)用。應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層狀態(tài)檢測(cè)技術(shù)介紹應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測(cè)所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識(shí)別和判斷伸縮性好可以識(shí)別不同的數(shù)據(jù)包已經(jīng)支持160多種應(yīng)用，包括Internet應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用對(duì)用戶、應(yīng)用程序透明抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測(cè)包過濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表應(yīng)用代理應(yīng)用層網(wǎng)關(guān)（Applicationgateway)技術(shù)代理服務(wù)代理（Proxy）代理服務(wù)器是運(yùn)行于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的主機(jī)（堡壘主機(jī)）之上的一種應(yīng)用。當(dāng)用戶需要訪問代理服務(wù)器另一側(cè)主機(jī)時(shí)，對(duì)符合安全規(guī)則的連接，代理服務(wù)器會(huì)代替主機(jī)響應(yīng)，并重新向主機(jī)發(fā)出一個(gè)相同的請(qǐng)求。當(dāng)此連接請(qǐng)求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程序?qū)⑾鄳?yīng)連接映射來(lái)實(shí)現(xiàn)。應(yīng)用代理代理服務(wù)技術(shù)主要優(yōu)點(diǎn)：代理放火墻的最大好處是透明性。對(duì)用戶來(lái)說(shuō)，代理服務(wù)器提供了一個(gè)“用戶正在與目標(biāo)服務(wù)器直接打交道”的假象；對(duì)目標(biāo)服務(wù)器來(lái)說(shuō)，代理服務(wù)器提供了一個(gè)“目標(biāo)服務(wù)器正在與用戶的主機(jī)系統(tǒng)直接打交道”的假象。由于代理機(jī)制完全阻斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接聯(lián)系，保證了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息被限制在代理網(wǎng)關(guān)內(nèi)側(cè)，不會(huì)外泄，從而減少了黑客攻擊時(shí)所需的必要信息。通過代理訪問Internet可以隱藏真實(shí)IP地址，同時(shí)解決合法IP地址不夠用的問題。因?yàn)镮nternet見到的只是代理服務(wù)器的地址，內(nèi)部不合法的IP地址可以通過代理訪問Internet.用于應(yīng)用層的過濾規(guī)則相對(duì)于包過濾路由器來(lái)說(shuō)更容易配置和測(cè)試。應(yīng)用層網(wǎng)關(guān)有能力支持可靠的擁護(hù)認(rèn)證并提供詳細(xì)的注冊(cè)信息。代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，可提供很詳細(xì)的日志和安全審記功能。應(yīng)用代理代理服務(wù)技術(shù)的不足：有限的連接：某種代理服務(wù)器只能用于某種特定的服務(wù)，如FTP服務(wù)器提供FTP服務(wù)，Telnet服務(wù)器提供Telnet服務(wù)，所以能提供的服務(wù)和可伸縮性是有限的。所以代理服務(wù)器主要應(yīng)用于安防要求較高但網(wǎng)絡(luò)流量不太大的環(huán)境。有限的技術(shù)：代理服務(wù)器不能為RPC,Talk和其他一些基于通用協(xié)議族的服務(wù)提供代理。有限的性能：處理性能遠(yuǎn)不及狀態(tài)檢測(cè)高。有限的應(yīng)用：代理服務(wù)器的應(yīng)用也受到諸多限制。首先是當(dāng)一項(xiàng)新的應(yīng)用加入時(shí)，如果代理服務(wù)程序不予支持，則此應(yīng)用不能使用。解決的方法之一是自行編制特定服務(wù)的代理服務(wù)程序，但工作量大，而且技術(shù)水平要求很高，一般的應(yīng)用單位無(wú)法完成。應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用代理技術(shù)介紹應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層FTPHTTPSMTP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應(yīng)用代理防火墻的工作原理不檢查IP、TCP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱32防火墻的體系結(jié)構(gòu)篩選路由器

雙宿主主機(jī)屏蔽主機(jī)屏蔽子網(wǎng)防火墻可以設(shè)置成不同的體系結(jié)構(gòu)，提供不同級(jí)別的安全。常見的體系結(jié)構(gòu)有：33篩選路由器式體系結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)包過濾篩選路由器篩選路由器是防火墻最基本的構(gòu)件。它一般作用在網(wǎng)絡(luò)層（IP層），按照一定的安全策略，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行分析和限制，實(shí)現(xiàn)報(bào)文過濾功能。該防火墻優(yōu)點(diǎn)在于速度快等，但安全性能差。34雙宿主主機(jī)式體系結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)雙宿主主機(jī)雙宿主主機(jī)插有兩塊網(wǎng)卡，分別連接到內(nèi)網(wǎng)和外網(wǎng)。防火墻內(nèi)、外的系統(tǒng)均可以與雙宿主主機(jī)進(jìn)行通信，但防火墻兩邊的系統(tǒng)之間不能直接進(jìn)行通信。使用此結(jié)構(gòu)，必須關(guān)閉雙宿主主機(jī)上的路由分配功能。多宿主主機(jī)35屏蔽主機(jī)式體系結(jié)構(gòu)Internet堡壘主機(jī)防火墻屏蔽路由器屏蔽主機(jī)網(wǎng)關(guān)結(jié)構(gòu)中堡壘機(jī)與內(nèi)部網(wǎng)相連，用篩選路由器連接到外部網(wǎng)上，篩選路由器作為第一道防線，堡壘機(jī)作為第二道防線。這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。該防火墻系統(tǒng)提供的安全等級(jí)比前面兩種防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網(wǎng)絡(luò)。

堡壘主機(jī)（BastionHost）:一個(gè)高度安全的計(jì)算機(jī)系統(tǒng)。通常是暴露于外部網(wǎng)絡(luò)，作為連接內(nèi)部網(wǎng)絡(luò)用戶的橋梁，易受攻擊。36屏蔽子網(wǎng)式體系結(jié)構(gòu)Internet堡壘主機(jī)屏蔽路由器屏蔽路由器DMZ屏蔽子網(wǎng)結(jié)構(gòu)，就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，這個(gè)子網(wǎng)可有堡壘主機(jī)等公用服務(wù)器組成，用兩臺(tái)篩選路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)進(jìn)行通信，從而進(jìn)一步實(shí)現(xiàn)屏蔽主機(jī)的安全性防火墻技術(shù)ACL訪問控制列表ACL概述ACL的工作過程ACL分類ACL配置通配符掩碼訪問控制列表（AccessControlList，ACL）應(yīng)用在路由器接口的指令列表指定哪些數(shù)據(jù)報(bào)可以接收、哪一些需要拒絕

ACL用途（1）限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能；（2）提供對(duì)通信流量的控制手段；（3）提供網(wǎng)絡(luò)訪問的基本安全手段；（4）在路由器（交換機(jī)）接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。ACL概述實(shí)現(xiàn)訪問控制列表的核心技術(shù)是包過濾Internet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處訪問控制列表通過分析IP數(shù)據(jù)包包頭信息，進(jìn)行判斷（這里IP所承載的上層協(xié)議為TCP）IP報(bào)頭TCP報(bào)頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個(gè)元素定義的規(guī)則ACL的工作過程入站訪問控制操作過程相對(duì)網(wǎng)絡(luò)接口來(lái)說(shuō)，從網(wǎng)絡(luò)上流入該接口的數(shù)據(jù)包，為入站數(shù)據(jù)流。對(duì)入站數(shù)據(jù)流的過濾控制稱為入站訪問控制。如果一個(gè)入站數(shù)據(jù)包被訪問控制列表禁止（deny），那么該數(shù)據(jù)包被直接丟棄（discard）。只有那些被ACL允許（permit）的入站數(shù)據(jù)包才進(jìn)行路由查找與轉(zhuǎn)發(fā)處理。入站訪問控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開銷,包在進(jìn)入路由器之前要經(jīng)過訪問列表的處理,路由器不能路由任何被拒絕的包，因?yàn)樵诼酚芍斑@些包就會(huì)被丟棄掉。進(jìn)入數(shù)據(jù)包源地址匹配嗎？有更多條目嗎？應(yīng)用條件拒絕允許路由到接口查找路由表是是否是否Icmp消息轉(zhuǎn)發(fā)數(shù)據(jù)包接口上有訪問控制列表嗎？列表中的下一個(gè)條目否入站訪問控制操作過程出站訪問控制操作過程

從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包，稱為出站數(shù)據(jù)流。出站訪問控制是對(duì)出站數(shù)據(jù)流的過濾控制。那些被允許的入站數(shù)據(jù)流需要進(jìn)行路由轉(zhuǎn)發(fā)處理。在轉(zhuǎn)發(fā)之前，交由出站訪問控制進(jìn)行過濾控制操作。外出數(shù)據(jù)包查找路由表接口上有訪問控制列表嗎？源地址匹配嗎？拒絕允許列表中的下一個(gè)條目是是轉(zhuǎn)發(fā)數(shù)據(jù)包Icmp消息否否否

有更多條目嗎？出站訪問控制操作過程應(yīng)用條件是YDenyYPermitNDenyPermitDenyYYNYYPermit強(qiáng)制丟棄若無(wú)任何匹配則丟棄DenyNACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?匹配下一條規(guī)則?匹配最后一條規(guī)則

?范圍/標(biāo)識(shí)IP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL類型IPXACL分類標(biāo)準(zhǔn)IPACL（1到99）根據(jù)IP報(bào)文的源地址測(cè)試擴(kuò)展IPACL（100到199）可以測(cè)試IP報(bào)文的源、目的地址、協(xié)議、端口號(hào)源地址段Segment（例如，TCP首部）數(shù)據(jù)Data報(bào)文Packet（IP首部）幀F(xiàn)rame首部（例如，HDLC）DenyPermit使用ACL規(guī)則語(yǔ)句1-99標(biāo)準(zhǔn)ACL目的地址源地址協(xié)議（例如TCP）端口號(hào)使用ACL規(guī)則語(yǔ)句100-199DenyPermit擴(kuò)展ACL幀F(xiàn)rame首部（例如，HDLC）報(bào)文Packet（IP首部）段Segment（例如，TCP首部）數(shù)據(jù)Data第一步：創(chuàng)建ACLRouter(config)#第二步：將ACL綁定到指定接口

{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test

conditions}標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問控制列表增加一條測(cè)試語(yǔ)句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省通配符掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACLaccess-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上啟用ACL設(shè)置測(cè)試為入站（in）控制還是出站（out）控制缺省為出站（out）控制“noipaccess-groupaccess-list-number”

命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問控制列表增加一條測(cè)試語(yǔ)句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省通配符掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置0代表檢查對(duì)應(yīng)地址位的值1代表忽略對(duì)應(yīng)地址位的值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例通配符掩碼例如：9表示檢查所有的地址位可以使用關(guān)鍵字host將上語(yǔ)句簡(jiǎn)寫為：host9測(cè)試條件：檢查所有的地址位（matchall）9

一個(gè)IPhost關(guān)鍵字的示例如下：通配符掩碼：host關(guān)鍵字接受任何地址：55可以使用關(guān)鍵字any將上語(yǔ)句簡(jiǎn)寫為：any測(cè)試條件：忽略所有的地址位（matchany）

55任何IP地址通配符掩碼：any關(guān)鍵字CheckforIPsubnets/24to/24Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Addressandwildcardmask:

55通配符掩碼和IP子網(wǎng)的

對(duì)應(yīng)562023/2/6通配符掩碼例