訪問控制列表(ACL)總結(jié)

1、個人資料嚴禁復制訪問控制列表（ACL總結(jié)一、什么是ACL?訪問控制列表簡稱為 ACL,訪問控制列表使用包過濾技術(shù)， 在路由器上讀取第三層及第 四層包頭中的信息如源地址，目的地址，源端口，目的端口等， 根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。 該技術(shù)初期僅在路由器上支持， 近些年來已經(jīng)擴展到 三層交換機，部分最新的二層交換機也開始提供ACL的支持了。二、訪問控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一個小小的例子 就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來，方便各位讀者更好的消化ACL知識。1、最小特權(quán)原則只給受

2、控對象完成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。2、最靠近受控對象原則所有的網(wǎng)絡(luò)層訪問權(quán)限控制。 也就是說在檢查規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。3、默認丟棄原則在CISCO路由交換設(shè)備中默認最后一句為 ACL中加入了 DENY ANY ANY也就是丟棄所 有不符合條件的數(shù)據(jù)包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要 引起重視。由于ACL是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的 部分信息，這種技術(shù)具有一些固有的局限性

3、，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達到端到端的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。三、標準訪問列表訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的 ACL。其中最簡單的就是標準訪 問控制列表，標準訪問控制列表是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應(yīng)的 ACL標準訪問控制列表的格式：訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的 ACL。其中最簡單的就是標準訪 問控制列表，他是通過使用 IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應(yīng)的ACL。它的具體格式如下：access-lis

4、t ACL號 permit|deny host ip 地址例：access-list 10 deny host 這句命令是將所有來自地址的數(shù)據(jù)包丟棄。當然我們也可以用網(wǎng)段來表示，對某個網(wǎng)段進行過濾。命令如下：access-list 10 deny 55通過上面的配置將來自/24的所有計算機數(shù)據(jù)包進行過濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是 55呢？這是因為 CISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼， 反向掩碼為55的代表他的子網(wǎng)掩碼為

5、。注：對于標準訪問控制列表來說，默認的命令是 HOST也就是說access-list 10 deny 表示的是拒絕這臺主機數(shù)據(jù)包通訊，可以省去我們輸入host命令。標準訪問控制列表實例一：R4laopbackO 172.16= 4. 13loopbackt 172,lfi.4.12丄也口pback2我們采用如圖所示網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接二個網(wǎng)段，分別為172.1640/24, /24。在/24網(wǎng)段中有一臺服務(wù)器提供WWW服務(wù)，IP地址為3。實例1 :禁止/24網(wǎng)段中除172

6、.16.4.13這臺計算機訪問/24的計算 機。3 可以正常訪問 /24。路由器配置命令：access-list 1 permit host 3 設(shè)置 ACL 容許 3 的數(shù)據(jù)包通過。 access-list 1 deny any設(shè)置ACL阻止其他一切IP地址進行通訊傳輸。int e 1進入E1端口。ip access-group 1 in 將 ACL 1 宣告。經(jīng)過設(shè)置后E1端口就只容許來自3這個IP地址的數(shù)據(jù)包傳輸出去了。來自其他IP地址的數(shù)據(jù)包都無法通過E1傳輸。注：由

7、于CISCO默認添加了 DENY ANY的語句在每個 ACL中，所以上面的 access-list 1 deny any這句命 令可以省略。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用ip access-group 1 out命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。標準訪問控制列表實例二：配置任務(wù)：禁止 3這個計算機對/24網(wǎng)段的訪問，而 /24 中的其他計算機可以正常訪問。路由器配置命令：access-list 1 deny host 3 設(shè)置 ACL，禁止 3 的數(shù)據(jù)包通過

8、access-list 1 permit any設(shè)置ACL容許其他地址的計算機進行通訊 int e 1進入E1端口ip access-group 1 in 將 ACL1 宣告，同理可以進入 E0端口后使用 ip access-group 1 out 來 完成宣告。配置完畢后除了 3其他IP地址都可以通過路由器正常通訊，傳輸數(shù)據(jù)包?？偨Y(jié)：標準ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級別較低的情況下使用。如果要更加復雜的控制數(shù)據(jù)包的傳輸就需要使用擴展訪問控制列表了，他可以滿足我們到端口級的要求。四、擴展訪問控制列表上面提到的標

9、準訪問控制列表是基于IP地址進行過濾的，是最簡單的ACL。如果我們希望將過濾細到端口怎么辦？或者希望對數(shù)據(jù)包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務(wù)（例如WWW，F(xiàn)TP等）。擴展訪問控制列表使用的ACL號為101到199。3個人資料擴展訪問控制列表的格式：access-list ACL標號permit|deny協(xié)議定義過濾源主機范圍定義過濾源端口 定 義過濾目的主機訪問定義過濾目的端口 例：access-list 101 deny tcp any host eq www 這句

10、命令是將所有主機訪問 這個地址網(wǎng)頁服務(wù)（WWW）TCP連接的數(shù)據(jù)包丟棄。注：同樣在擴展訪問控制列表中也可以定義過濾某個網(wǎng)段，當然和標準訪問控制列表一樣需要我們使 用反向掩碼定義IP地址后的子網(wǎng)掩碼。擴展訪問控制列表實例：我們采用如圖所示網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接二個網(wǎng)段，分別為172.1640/24,/24。在/24網(wǎng)段中有一臺服務(wù)器提供WWW服務(wù)，IP地址為3。配置任務(wù)：禁止的計算機訪問的計算機，包括那臺服務(wù)器，不過 惟獨可以訪問3上的WWW服務(wù)，而其他服務(wù)

11、不能訪問。路由器配置命令：access-list 101 permit tcp any 3 eq www 設(shè)置 ACL101，容許源地址為任 意IP，目的地址為3主機的80端口即 WWW服務(wù)。由于CISCO默認添加 DENY ANY 的命令，所以ACL只寫此一句即可。int e 1進入E1端口ip access-group 101 out 將 ACL101 宣告出去設(shè)置完畢后的計算機就無法訪問的計算機了，就算是服務(wù)器3開啟了 FTP服務(wù)也無法訪問，惟獨可以訪問的就是172.16.

12、4.13的WWW服務(wù)了。而的計算機訪問的計算機沒有任何問題。擴展ACL有一個最大的好處就是可以保護服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時為了保證服務(wù)正常提供所有端口都對外界開放，很容易招來黑客和病毒的攻擊，通過擴展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機率。如本例就是僅僅將80端口對外界開放?？偨Y(jié)：擴展ACL功能很強大，他可以控制源IP，目的IP，源端口，目的端口等，能實現(xiàn)相當精細的控制，擴展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個缺點，那就是

13、在沒有硬件ACL加速的情況下，擴展ACL會消耗大量的路由器CPU資源。所以當使用中低檔路由器時應(yīng)盡量減少擴展ACL的條目數(shù)，將其簡化為標準ACL或?qū)⒍鄺l擴展ACL合一是最有效的方法。五、基于名稱的訪問控制列表）不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端，那就是當設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題， 希望進行修改或刪除的話只能將全部 ACL信息都刪除。也 就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作， 為我們帶來了繁重的負擔。不過我們可以用基于名稱的訪問控制列表來解決這個問題。一、基于名稱的訪問控制列表的格式：ip access-list sta

14、ndard|extended ACL 名稱例如：ip access-list standard softer就建立了一個名為softer的標準訪問控制列表。二、基于名稱的訪問控制列表的使用方法：當我們建立了一個基于名稱的訪問列表后就可以進入到這個ACL中進行配置了。例如我們添加三條 ACL規(guī)則permit permit permit 如果我們發(fā)現(xiàn)第二條命令應(yīng)該是 2.221而不是2222，如果使用不是基于名稱的訪問 控制列表的話，使用 no permit 2222 后整個ACL信息都會被刪除

15、掉。正是因為使用 了基于名稱的訪問控制列表，我們使用no permit 后第一條和第三條指令依然存在?？偨Y(jié)：如果設(shè)置 ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問控制列表進行管理， 這樣可以減輕很多后期維護的工作，方便我們隨時進行調(diào)整ACL規(guī)則。六、反向訪問控制列表：我們使用訪問控制列表除了合理管理網(wǎng)絡(luò)訪問以外還有一個更重要的方面，那就是防范病毒，我們可以將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。 這樣就可以有效的防范病毒的攻擊。不過即使再科學的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且

16、隨著防范病毒數(shù)量的增多會造成訪問控制列表規(guī)則過 多，在一定程度上影響了網(wǎng)絡(luò)訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。反向訪問控制列表的用途及格式：一、反向訪問控制列表的用途反向訪問控制列表屬于ACL的一種高級應(yīng)用。他可以有效的防范病毒。通過配置反向ACL可以保證 AB兩個網(wǎng)段的計算機互相PING, A可以PING通B而B不能PING通A。說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個過程，首先是源主機向目的主機發(fā)送連接請求和數(shù)據(jù)，然后是目的主機在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機。反向ACL控制的就是上面提到的連接請求。二、反向訪問控制列表的格式：反向訪問控制列表格式非常簡單，只要在配置

17、好的擴展訪問列表最后加上established即可。我們還是通過實例為大家講解。我們采用如圖所示網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接二個網(wǎng)段， 分別為172.1640/24,/24。在/24網(wǎng)段中的計算機都是服務(wù)器，我們通過反向ACL設(shè)置保護這些服務(wù)器免受來自這個網(wǎng)段的病毒攻擊。配置實例：禁止病毒從/24這個網(wǎng)段傳播到/24這個服務(wù)器網(wǎng)段。路由器配置命令：access-list 101 permit tcp 55 55 establishe

18、d 定義 ACL101,容許所有來自網(wǎng)段的計算機訪問網(wǎng)段中的計算機，前提是TCP 連接已經(jīng)建立了的。當TCP連接沒有建立的話是不容許訪問的。int e 1進入E1端口ip access-group 101 out 將 ACL101 宣告出去設(shè)置完畢后病毒就不會輕易的從傳播到的服務(wù)器區(qū)了。因為病毒要想傳播都是主動進行TCP連接的，由于路由器上采用反向ACL禁止了 網(wǎng)段的TCP主動連接，因此病毒無法順利傳播。注：檢驗反向ACL是否順利配置的一個簡單方法就是拿

19、里的一臺服務(wù)器 PING在 中的計算機，如果可以PING通的話再用那臺計算機PING的服務(wù)器，PING不通則說明 ACL配置成功。通過上文配置的反向 ACL會出現(xiàn)一個問題，那就是的計算機不能訪問服務(wù)器 的服務(wù)了，假如圖中3提供了 WWW服務(wù)的話也不能正常訪問。解決的方法是在 ESTABLISHE那句前頭再添加一個擴展ACL 規(guī)則，例如：access-list 101 permit tcp 55 3 eq w

20、ww5個人資料嚴禁復制這樣根據(jù)“最靠近受控對象原則”即在檢查ACL規(guī)則時采用自上而下在 ACL中一條條檢 測，只要發(fā)現(xiàn)符合條件就立刻處理，而不繼續(xù)檢測下面的ACL語句。的計算機就可以正常訪問該服務(wù)器的 WWW服務(wù)了，而下面的ESTABLISHED!病毒命令還可以正常生效。七、基于時間的訪問控制列表上面我們介紹了標準 ACL與擴展ACL，實際上我們掌握了這兩種訪問控制列表就可以應(yīng) 付大部分過濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。不過實際工作中總會有人提出這樣或那樣的苛刻要求， 這時我們還需要掌握一些關(guān)于ACL的高級技巧。基于時間的訪問控制列表就屬于高級技巧之O配置實例：要想使基于時間的 AC

21、L生效需要我們配置兩方面的命令：1、定義時間段及時間范圍。2、ACL自身的配置，即將詳細的規(guī)則添加到 ACL中。3、宣告ACL，將設(shè)置好的 ACL添加到相應(yīng)的端口中。網(wǎng)絡(luò)環(huán)境介紹：我們采用如圖所示網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接二個網(wǎng)段，分別為/24,/24。在172.1640/24網(wǎng)段中有一臺服務(wù)器提供FTP服務(wù)，IP地址為172.16413。配置任務(wù)：只容許網(wǎng)段的用戶在周末訪問3上的FTP資源，工作時間不能下載該FTP資源。路由器配置命令：time-range softer定義時間段名稱為-softerperiodic weekend 00:00 to 23:59 定義具體時間范圍，為每周周末（6， 日）的0點到23點59分。當然可以使用periodic weekdays定義工作日或跟星期幾定義具體的周幾。access-list 101 deny tcp any