《網(wǎng)絡(luò)設(shè)備安全》課件第9章 訪問(wèn)控制列表的應(yīng)用

培養(yǎng)目標(biāo)通過(guò)本章的學(xué)習(xí)，希望您能夠：熟悉訪問(wèn)控制列表概念掌握IP訪問(wèn)控制配置方法掌握MAC訪問(wèn)控制列表配置方法熟悉顯示ACL配置訪問(wèn)控制列表概述訪問(wèn)控制列表（AccessControlList）是一個(gè)有序的語(yǔ)句集，它通過(guò)對(duì)比報(bào)文中字段值與訪問(wèn)控制列表參數(shù)，來(lái)允許或拒絕報(bào)文通過(guò)某個(gè)接口。訪問(wèn)控制列表作用：安全控制流量過(guò)濾數(shù)據(jù)流量標(biāo)識(shí)ACL語(yǔ)句組成：條件：用來(lái)匹配數(shù)據(jù)包中字段值操作：條件匹配時(shí)，可以采取允許和拒絕兩個(gè)操作ACL報(bào)文ACL工作原理及規(guī)則入站ACL入站數(shù)據(jù)先判斷ACL后執(zhí)行路由ACL工作原理及規(guī)則出站ACL出站數(shù)據(jù)先進(jìn)行路由再應(yīng)用ACLACL工作原理及規(guī)則基本規(guī)則ACL規(guī)則按名稱或編號(hào)進(jìn)行分組列表中每條ACL語(yǔ)句有一組條件和一個(gè)操作，如果需要多個(gè)條件或多個(gè)操作，則必須使用多個(gè)ACL語(yǔ)句來(lái)完成如果當(dāng)前語(yǔ)句的條件沒(méi)有匹配，則處理列表中的下一條語(yǔ)句如果條件匹配，則執(zhí)行語(yǔ)句后面的操作，且不再與其他ACL語(yǔ)句進(jìn)行匹配如果列表中的所有語(yǔ)句都不匹配，那么丟棄該數(shù)據(jù)包注意：由于ACL語(yǔ)句默認(rèn)是拒絕不匹配的數(shù)據(jù)包，所以在列表中至少要有一個(gè)允許的操作。否則，所有數(shù)據(jù)包都會(huì)被拒絕掉注意語(yǔ)句的順序。條件嚴(yán)的語(yǔ)句應(yīng)該放在列表的頂部，條件寬的語(yǔ)句應(yīng)該放在列表的底部。從而，避免條件嚴(yán)的語(yǔ)句永遠(yuǎn)也得不到執(zhí)行ACL工作原理及規(guī)則注意事項(xiàng)一個(gè)ACL列表中至少要有一條允許或拒絕的語(yǔ)句只能在設(shè)備的每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACLACL只能應(yīng)用在接口上先處理入站ACL，再進(jìn)行數(shù)據(jù)路由先進(jìn)行數(shù)據(jù)路由，再處理出站接口上的出站ACLACL會(huì)影響通過(guò)接口的流量和速度，但不會(huì)過(guò)濾路由器本身產(chǎn)生的流量放置位置只過(guò)濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡量近的地方過(guò)濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該盡量放在離源地址近的地方準(zhǔn)備知識(shí)（四）標(biāo)準(zhǔn)和擴(kuò)展ACLACL的種類ACL種類：標(biāo)準(zhǔn)ACL：只能過(guò)濾IP數(shù)據(jù)包頭中的源IP地址擴(kuò)展ACL：可以過(guò)濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號(hào)、標(biāo)志代碼）等時(shí)間ACL：可以根據(jù)時(shí)間段進(jìn)行擴(kuò)展ACL過(guò)濾專家ACL：可以過(guò)濾源IP、源MAC、源端口、目標(biāo)IP、目標(biāo)MAC、目標(biāo)端口、時(shí)間等標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過(guò)濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常配置在路由器上實(shí)現(xiàn)以下功能：

限制通過(guò)VTY線路對(duì)路由器的訪問(wèn)（telnet、SSH）限制通過(guò)HTTP或HTTPS對(duì)路由器的訪問(wèn)過(guò)濾路由更新標(biāo)準(zhǔn)ACL通過(guò)兩種方式創(chuàng)建標(biāo)準(zhǔn)ACL：編號(hào)或名稱使用編號(hào)創(chuàng)建創(chuàng)建ACL(config)#access-listlistnumber{permit|deny}address[wildcard–mask]在接口上應(yīng)用(config-if)#ipaccess-group{id|name}{in|out}In：當(dāng)數(shù)據(jù)流入路由器接口時(shí)Out：當(dāng)數(shù)據(jù)流出路由器接口時(shí)使用命名創(chuàng)建定義ACL名稱(config)#ipaccess-liststandard

name定義規(guī)則(config-std-nacl)#deny|permit[source

wildcard

any]在接口上應(yīng)用擴(kuò)展訪問(wèn)控制列表擴(kuò)展的IP訪問(wèn)表用于擴(kuò)展報(bào)文過(guò)濾的能力。擴(kuò)展訪問(wèn)列表允許過(guò)濾內(nèi)容：源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較的各種選項(xiàng)。擴(kuò)展訪問(wèn)控制列表通過(guò)兩種方式創(chuàng)建擴(kuò)展ACL：編號(hào)或名稱使用編號(hào)創(chuàng)建創(chuàng)建ACL(config)#access-listlistnumber{permit|deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask

[operatoroperand]在接口上應(yīng)用(config-if)#ipaccess-group{id|name}{in|out}使用命名創(chuàng)建定義ACL名稱(config)#ipaccess-listextended

name定義規(guī)則(config-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operator

port]在接口上應(yīng)用配置標(biāo)準(zhǔn)ACL示例配置擴(kuò)展ACL示例PART/03擴(kuò)展ACL定義9.2IP訪問(wèn)控制列表1)限制主機(jī)22到網(wǎng)絡(luò)/16的ICMP流量RB(config)#

access-list101denyicmphost2255RB(config)#

access-list101permitipanyanyRB(config)#inte0RB(config-if)#ipaccess-group101inRB(config-if)#noipaccess-group101in（如需刪除，則使用此命令）2)限制網(wǎng)絡(luò)/24到所有網(wǎng)絡(luò)的ICMP流量RB(config)#

access-list102denyicmp55anyRB(config)#access-list102permitipanyanyRB(config)#inte0RB(config-if)#ipaccess-group102inRB(config-if)#noipaccess-group102in9.2IP訪問(wèn)控制列表3）只允許主機(jī)9通過(guò)Telnet訪問(wèn)/16網(wǎng)段RB(config)#access-list103permittcphost955eq23RB(config)#inte0RB(config-if)#ipaccess-group103inRB(config-if)#noipaccess-group103in4）使所有其他網(wǎng)段只能訪問(wèn)/24的WWW、FTP、TELNET服務(wù)RB(config)#access-list104permittcpany55eqwwwRB(config)#access-list104permittcpany55eqftpRB(config)#access-list104permittcpany55eqtelnetPART/03擴(kuò)展ACL定義驗(yàn)證ACL配置顯示所有協(xié)議的所有ACL查看接口應(yīng)用的ACL情況Router#showaccess-listsRouter#

showipaccess-group

交換機(jī)除了像路由器一樣支持IP訪問(wèn)列表，還支持Ethernet(MAC)訪問(wèn)列表。我們可以在交換機(jī)配置IP訪問(wèn)列表過(guò)濾IP通信，還可以配置Ethernet訪問(wèn)列表過(guò)濾非IP通信。配置MAC擴(kuò)展ACL的過(guò)程，與配置IP擴(kuò)展ACL的配置過(guò)程是類似的。我們只需要按照IPACL方法，將ipaccess-list換成macaccess-list命令來(lái)創(chuàng)建MAC擴(kuò)展ACL，9.3MAC擴(kuò)展訪問(wèn)控制列表9.3MAC擴(kuò)展訪問(wèn)控制列表步驟命令含義步驟1switch#configureterminal進(jìn)入全局配置模式。

步驟2switchr(config)#MACaccess-listextended{name}以名字定義一條MACextendedacl，并進(jìn)入access-list配置模式步驟3switch(config-ext-nacl)#{deny|permit}{any|hostsourceMACaddress}{any|hostdestinationMACaddress}[aarp|appletalk|decnet-iv|diagnostic|etype-6000|etype-8042|lat|lavc-sca|mop-console|mop-dump|mumps|netbios|vines-echo|xns-idp]在access-list配置模式，聲明對(duì)任意源MAC地址或指定的源MAC地址、對(duì)任意目的MAC地址或指定的目的MAC地址的報(bào)文設(shè)置允許其通過(guò)或拒絕之的條件。(可選項(xiàng))你可以輸入如下以太網(wǎng)協(xié)議類型：aarp|appletalk|decnet-iv|diagnostic|etype-6000|etype-8042|lat|lavc-sca|mop-console|mop-dump|mumps|netbios|vines-echo|xns-idp。步驟4switch(config-ext-nacl)#end回到特權(quán)模式。

步驟5switch#showaccess-lists[name]驗(yàn)證配置。

步驟6switch#copyrunning-configstartup-config保存配置（可選）。例如：如何創(chuàng)建及顯示一條MAC擴(kuò)展ACL，以名字macext來(lái)命名。該MAC擴(kuò)展ACL拒絕所有符合指定源MAC地址的aarp報(bào)文在創(chuàng)建了一條ACL之后，你必須將其應(yīng)用到所要過(guò)濾的接口上，它才能生效，還需要使用MACaccess-group命令將其應(yīng)用到指定接口上