訪問(wèn)控制列表(ACL)

1、第7章 訪問(wèn)控制 列表(ACL) 8.1 ACL概述 利用ACL可以對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn) 行過(guò)濾，使數(shù)據(jù)包有選擇的通過(guò)路由器，起到防火墻的 作用。 訪問(wèn)控制列表(ACL)由一組規(guī)則組成，在規(guī)則中定義允許 或拒絕通過(guò)路由器的條件。 ACL過(guò)濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議 等。 ACL有兩種：標(biāo)準(zhǔn)訪問(wèn)控制列表、擴(kuò)展訪問(wèn)控制列表。 ACL的基本用途是限制訪問(wèn)網(wǎng)絡(luò)的用戶，保護(hù)網(wǎng)絡(luò)的安 全。 ACL一般只在以下路由器上配置： 1、內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。 2、兩個(gè)功能網(wǎng)絡(luò)交界的路由器。 限制的內(nèi)容通常包括： 1、允許那些用戶訪問(wèn)網(wǎng)絡(luò)。（根據(jù)用戶的IP地址進(jìn)行 限制） 2、

2、允許用戶訪問(wèn)的類型，如允許http和ftp的訪問(wèn)，但 拒絕Telnet的訪問(wèn)。（根據(jù)用戶使用的上層協(xié)議進(jìn)行限 制） ACL的工作過(guò)程 訪問(wèn)控制列表(ACL) 由多條判斷語(yǔ)句組成。每條語(yǔ)句給 出一個(gè)條件和處理方式（通過(guò)或拒絕）。 路由器對(duì)收到的數(shù)據(jù)包按照判斷語(yǔ)句的書(shū)寫(xiě)次序進(jìn)行檢 查，當(dāng)遇到相匹配的條件時(shí)，就按照指定的處理方式進(jìn) 行處理。 ACL中各語(yǔ)句的書(shū)寫(xiě)次序非常重要，如果一個(gè)數(shù)據(jù)包和 某判斷語(yǔ)句的條件相匹配時(shí)，該數(shù)據(jù)包的匹配過(guò)程就結(jié) 束了，剩下的條件語(yǔ)句被忽略。 8.2 ACL語(yǔ)句 一個(gè)訪問(wèn)控制列表(ACL)可由多條語(yǔ)句組成，每條ACL 語(yǔ)句的形式為： Router(config)# acc

3、ess-list 表號(hào) 處理方式 條件 ACL表號(hào)：用于區(qū)分各訪問(wèn)控制列表。 一臺(tái)路由器中可定義多個(gè)ACL，每個(gè)ACL使用一個(gè)表號(hào)。 其中針對(duì)IP數(shù)據(jù)報(bào)的ACL可使用的表號(hào)為： 標(biāo)準(zhǔn)訪問(wèn)控制列表：199。 擴(kuò)展訪問(wèn)控制列表：100199。 同一個(gè)ACL中各語(yǔ)句的表號(hào)相同。 處理方式：取值有permit（允許）和deny（拒絕）兩 種。當(dāng)數(shù)據(jù)包與該語(yǔ)句的條件相匹配時(shí)，用給定的處 理方式進(jìn)行處理。 條件：每條ACL語(yǔ)句只能定義一個(gè)條件。 例： access-list 1 permit 55 access-list 1 deny 0.255.

4、255.255 第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過(guò)。 第2句表示拒絕地址為20.*.*.*的數(shù)據(jù)包通過(guò)。 這里的地址指數(shù)據(jù)包的源地址。 應(yīng)用ACL 如果只是定義了ACL，它還不會(huì)起到任何作用，必須把 ACL應(yīng)用到一個(gè)接口上才能起作用。 應(yīng)用ACL： Router(config)# interface 接口號(hào) Router(config-if)# ip access-group 表號(hào) in | out in：表示在數(shù)據(jù)包進(jìn)入此接口時(shí)使用ACL進(jìn)行過(guò)濾。 out：表示在數(shù)據(jù)包離開(kāi)此接口時(shí)使用ACL進(jìn)行過(guò)濾。 通常，使用出站接口檢查的數(shù)據(jù)包數(shù)量較少，效率要高 一些。 例： Router

5、(config)# interface e0 Router(config-if)# ip access-group 1 out 表示在e0口上使用表號(hào)為1的ACL對(duì)出站數(shù)據(jù)包進(jìn)行 過(guò)濾。 通配符掩碼 在ACL語(yǔ)句中，當(dāng)使用地址作為條件時(shí)，它的一般格式 為：地址 通配符掩碼。 通配符掩碼決定了地址中的哪些位需要精確匹配，哪些 為不需要匹配。 通配符掩碼是一個(gè)32位數(shù)，采用點(diǎn)分十進(jìn)制方式書(shū)寫(xiě)。 匹配時(shí)，“0”表示檢查的位，“1”表示不檢查的位。 如： 55 表示檢查前16位，忽略后16位，所以這個(gè)條件表示的 地址是 192.168.*.*。 any條件： 當(dāng)

6、條件為所有地址時(shí)，如果使用通配符掩碼應(yīng)寫(xiě)為： 55 這時(shí)可以用“any”表示這個(gè)條件。 如： Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit any 上面兩個(gè)語(yǔ)句是等價(jià)的。 host關(guān)鍵字： 當(dāng)條件為單一IP地址時(shí)，如果使用通配符掩碼應(yīng)寫(xiě)為： IP地址 這時(shí)可以用“host”關(guān)鍵字定義這個(gè)條件。 如： Router(config)# access-list 1 permit 200.1.1.

7、5 Router(config)# access-list 1 permit host 上面兩個(gè)語(yǔ)句是等價(jià)的。 8.3 標(biāo)準(zhǔn)訪問(wèn)控制列表 標(biāo)準(zhǔn)ACL只能使用地址作為條件。 標(biāo)準(zhǔn)ACL使用數(shù)據(jù)包的源地址匹配ACL語(yǔ)句中的條件。 定義標(biāo)準(zhǔn)ACL時(shí)，可使用的表號(hào)為199。（針對(duì)IP數(shù)據(jù) 報(bào)） 標(biāo)準(zhǔn)ACL配置舉例1 R1 E0 一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng) 要求只有來(lái)自/8、/24、 /24的用戶能夠訪問(wèn)。 R1(config)# access-list 1 permit

8、 55 R1(config)# access-list 1 permit 55 R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access-group 1 out 配置完成后，可以用命令查看ACL： R1# show access-lists 說(shuō)明： 1、在每個(gè)ACL中都隱含著一個(gè)語(yǔ)句： access-list list-num deny any 它位于ACL的最后，表示拒絕所有。所以任

9、何一個(gè)與 前面各語(yǔ)句都不匹配的數(shù)據(jù)包都會(huì)被拒絕。 2、在ip access-group語(yǔ)句中，用in或out表示入站時(shí) 匹配或出站時(shí)匹配，如果沒(méi)有指定這個(gè)值，默認(rèn)為 out。 3、在每個(gè)接口、每個(gè)方向上只能應(yīng)用一個(gè)ACL。 4、一個(gè)ACL可以應(yīng)用到多個(gè)接口上。 R1R2 PC1: .2PC2: .1.1.2PC3: .1.1.2 E0: .1E0: .1.1.1E1: .1.1.1 S0: .1S0: .2 /24 /24 /8 /8 實(shí)例1的實(shí)驗(yàn)驗(yàn)證： 標(biāo)準(zhǔn)ACL配置舉例2 R1 E0 一個(gè)局域網(wǎng)連接在路由器R1的E

10、0口，這個(gè)局域網(wǎng) 要求拒絕來(lái)自/24的用戶訪問(wèn)，其它用 戶都可以訪問(wèn)。 R1(config)# access-list 1 deny 55 R1(config)# access-list 1 permit any R1(config)# interface e0 R1(config-if)# ip access-group 1 out 注意：access-list 1 permit any語(yǔ)句不能省略，如果省 略該語(yǔ)句，則所有和語(yǔ)句1不匹配的數(shù)據(jù)包都會(huì)被隱含 的access-list 1 deny any語(yǔ)句拒絕。 標(biāo)準(zhǔn)ACL配置

11、舉例3 R1 E0 一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng) 只允許來(lái)自/24的用戶訪問(wèn)，但其中 和兩臺(tái)主機(jī)除外。 R1(config)# access-list 1 deny host R1(config)# access-list 1 deny host R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access

12、-group 1 out 注意：access-list 1 permit 192.168.20 55語(yǔ)句 不能寫(xiě)在另兩條語(yǔ)句的前面，如果把它寫(xiě)在第1句，則 和因已經(jīng)滿足了條件，不會(huì) 再進(jìn)行后面的匹配。 說(shuō)明： 定義ACL時(shí)，每條語(yǔ)句都按輸入的次序加入到ACL的 末尾，如果想要更改某條語(yǔ)句，或者更改語(yǔ)句的順序， 只能先刪除整個(gè)ACL，再重新輸入。 比如刪除表號(hào)為1的ACL： Router(config)# no access-list 1 在實(shí)際應(yīng)用中，我們往往把路由器的配置文件導(dǎo)出到 TFTP服務(wù)器中，用文本編輯工具修改ACL，然后

13、再把 配置文件裝回到路由器中。 8.4 擴(kuò)展訪問(wèn)控制列表 擴(kuò)展ACL可以使用地址作為條件，也可以用上層協(xié)議作 為條件。 擴(kuò)展ACL既可以測(cè)試數(shù)據(jù)包的源地址，也可以測(cè)試數(shù)據(jù) 包的目的地址。 定義擴(kuò)展ACL時(shí)，可使用的表號(hào)為100199。（針對(duì)IP 數(shù)據(jù)報(bào)） 擴(kuò)展ACL的語(yǔ)句： access-list 表號(hào) 處理方式 條件 表號(hào)：取值100199。 處理方式：permit（允許）或deny（拒絕）。 條件：協(xié)議 源地址 目的地址 運(yùn)算符 端口號(hào) established 協(xié)議：用于匹配數(shù)據(jù)包使用的網(wǎng)絡(luò)層或傳輸層協(xié)議，如IP、 TCP、UDP、ICMP等。 源地址、目的地址：使用“地址 通配符掩碼”的

14、形式，也 可以使用any、host關(guān)鍵字。 運(yùn)算符 端口號(hào)：用于匹配TCP、UDP數(shù)據(jù)包中的端口號(hào)。 運(yùn)算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。 端口號(hào)用于對(duì)應(yīng)一種應(yīng)用，如21FTP、23Telnet、 25SMTP、53DNS、80HTTP等。 “運(yùn)算符 端口號(hào)”可匹配數(shù)據(jù)包的用途。如：“eq 80” 可匹配那些訪問(wèn)Web網(wǎng)站的數(shù)據(jù)包。 在擴(kuò)展ACL語(yǔ)句中， “運(yùn)算符 端口號(hào)”可以沒(méi)有。 例： access-list 100 permit tcp 55 55 eq 80 表示允許來(lái)自

15、192.168.*.*的用戶訪問(wèn)位于10.*.*.*的 Web站點(diǎn)。 擴(kuò)展ACL定義后，也需要使用 ip access-group 命令 應(yīng)用在指定接口上才能起作用。 如： Router(config)# interface e0 Router(config-if)# ip access-group 100 out 在每個(gè)擴(kuò)展ACL末尾也有一條默認(rèn)語(yǔ)句： access-list list-num deny ip any any 它會(huì)拒絕所有與前面語(yǔ)句不匹配的數(shù)據(jù)包。 擴(kuò)展ACL配置舉例1 R1 E0 一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng) 只允許Web通信流量和Ftp通信流量，其它都拒

16、絕。 R1(config)# access-list 100 permit tcp any any eq 80 R1(config)# access-list 100 permit tcp any any eq 20 R1(config)# access-list 100 permit tcp any any eq 21 R1(config)# interface e0 R1(config-if)# ip access-group 100 out 說(shuō)明：標(biāo)準(zhǔn)FTP協(xié)議使用了兩個(gè)端口，21用于建立 FTP連接，20用于數(shù)據(jù)傳輸。 說(shuō)明： 例1的配置將會(huì)極大限制局域網(wǎng)和外網(wǎng)間的應(yīng)用，它會(huì) 拒絕除W

17、eb和Ftp外的所有應(yīng)用（包括ICMP、DNS、電 子郵件等），也會(huì)拒絕那些沒(méi)有使用標(biāo)準(zhǔn)端口的Web和 Ftp應(yīng)用。 在實(shí)際應(yīng)用中，我們通常只對(duì)那些可能有害的訪問(wèn)作出 拒絕限制，或者限制用戶訪問(wèn)某些有害的站點(diǎn)或服務(wù)。 擴(kuò)展ACL配置舉例2 R1 E0 R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止外網(wǎng)用戶用 Telnet遠(yuǎn)程登錄本路由器。 S0 192.168.*.* /24/24 R1(config)# access-list 100 deny tcp any host eq 23 R1(config)# access-list 100 de

18、ny tcp any host eq 23 R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 說(shuō)明：這里使用了禁止對(duì)兩個(gè)接口進(jìn)行Telnet的數(shù)據(jù)包進(jìn) 入S0口的方法阻斷來(lái)自外網(wǎng)的Telnet請(qǐng)求。 由于對(duì)E0口沒(méi)有限制，所以它不影響來(lái)自內(nèi)網(wǎng)的Telnet請(qǐng) 求。 擴(kuò)展ACL配置舉例3 R1 E0 R1是局域網(wǎng)和外網(wǎng)的邊界路由器，1是 一個(gè)有害的Web網(wǎng)站，禁止內(nèi)網(wǎng)用戶訪問(wèn)該網(wǎng)站。

19、S0 192.168.*.* /24/24 R1(config)# access-list 100 deny tcp 55 host 1 eq 80 R1(config)# access-list 100 permit ip any any R1(config)# interface e0 R1(config-if)# ip access-group 100 in 擴(kuò)展ACL配置舉例4 R1 E0 R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止對(duì)S0口的 ping操作。 S0 192.168.*.*

20、/24/24 R1(config)# access-list 100 deny icmp any host R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 說(shuō)明：ping命令使用的是ICMP協(xié)議，但I(xiàn)CMP除了具有 網(wǎng)絡(luò)探查功能外，還需要用它傳輸各種錯(cuò)誤信息，所以 在路由器上不應(yīng)該禁止該協(xié)議。如果想要禁止ping，最 好使用專用的防火墻。 8.5 命名訪問(wèn)控制列表 命

21、名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加 的一種定義ACL的方法。 命名ACL使用一個(gè)符號(hào)串作為ACL的名字，不再使用表 號(hào)。 命名ACL也有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩種，一個(gè)命名ACL 只能是其中的一種。 命名ACL配置方法 Router(config)# ip access-list standard | extended name standard：定義標(biāo)準(zhǔn)命名ACL。 extended：定義擴(kuò)展命名ACL。 name：ACL的名字，可自定義。 該命令執(zhí)行后，提示符變?yōu)镽outer(config-std-nacl)#或 Router(config-ext-nacl)#。在此提示符下可輸入ACL語(yǔ)句。 命名ACL語(yǔ)句格式：處理方式 條件。 它只比以前的ACL少了前面的“access-list 表號(hào)”部分， 其它都相同。 例1 配置標(biāo)準(zhǔn)命名ACL R1 E0 要求拒絕來(lái)自/24的數(shù)據(jù)包通過(guò)S0口進(jìn)入 路由器，其它都允許。 S0 R1(config)# ip access-list standard list1 R1(config-std-nacl)# deny 55 R