版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
訪問(wèn)控制列表(ACL)問(wèn)題1公網(wǎng)互聯(lián)網(wǎng)用戶(hù)對(duì)外信息服務(wù)器員工上網(wǎng)信息服務(wù)器問(wèn)題1作為公司網(wǎng)絡(luò)管理員,當(dāng)公司領(lǐng)導(dǎo)提出下列要求時(shí)你該怎么辦?為了提高工作效率,不允許員工上班時(shí)間進(jìn)行QQ聊天、MSN聊天等,但需要保證正常的訪問(wèn)Internet,以便查找資料了解客戶(hù)及市場(chǎng)信息等。公司有一臺(tái)服務(wù)器對(duì)外提供有關(guān)本公司的信息服務(wù),允許公網(wǎng)用戶(hù)訪問(wèn),但為了內(nèi)部網(wǎng)絡(luò)的安全,不允許公網(wǎng)用戶(hù)訪問(wèn)除信息服務(wù)器之外的任何內(nèi)網(wǎng)節(jié)點(diǎn)。問(wèn)題2問(wèn)題2在企業(yè)內(nèi)部網(wǎng)絡(luò)中,會(huì)存在一些重要的或者保密的資源或者數(shù)據(jù),為了防止公司員工有意或無(wú)意的破壞或者訪問(wèn),對(duì)這些服務(wù)器應(yīng)該只允許相關(guān)人員訪問(wèn)。如何做到這一點(diǎn)?訪問(wèn)控制列表(ACL)AccessControlListACL概述基本ACL配置擴(kuò)展ACL配置命名ACL一、ACL概述利用ACL可以對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過(guò)濾,使數(shù)據(jù)包有選擇的通過(guò)路由器,起到防火墻的作用。訪問(wèn)控制列表(ACL)由一組規(guī)則組成,在規(guī)則中定義允許或拒絕通過(guò)路由器的條件。ACL過(guò)濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議等。ACL有兩種:標(biāo)準(zhǔn)訪問(wèn)控制列表、擴(kuò)展訪問(wèn)控制列表。ACL一般只在以下路由器上配置:1、內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。2、兩個(gè)功能網(wǎng)絡(luò)交界的路由器。限制的內(nèi)容通常包括:1、允許哪些用戶(hù)訪問(wèn)網(wǎng)絡(luò)。(根據(jù)用戶(hù)的IP地址進(jìn)行限制)2、允許用戶(hù)訪問(wèn)的類(lèi)型,如允許http和ftp的訪問(wèn),但拒絕Telnet的訪問(wèn)。(根據(jù)用戶(hù)使用的上層協(xié)議進(jìn)行限制)1、ACL的工作過(guò)程訪問(wèn)控制列表(ACL)由多條判斷語(yǔ)句組成。每條語(yǔ)句給出一個(gè)條件和處理方式(通過(guò)或拒絕)。路由器對(duì)收到的數(shù)據(jù)包按照判斷語(yǔ)句的書(shū)寫(xiě)次序進(jìn)行檢查,當(dāng)遇到相匹配的條件時(shí),就按照指定的處理方式進(jìn)行處理。ACL中各語(yǔ)句的書(shū)寫(xiě)次序非常重要,如果一個(gè)數(shù)據(jù)包和某判斷語(yǔ)句的條件相匹配時(shí),該數(shù)據(jù)包的匹配過(guò)程就結(jié)束了,剩下的條件語(yǔ)句被忽略。2、ACL語(yǔ)句一個(gè)訪問(wèn)控制列表(ACL)可由多條語(yǔ)句組成,每條ACL語(yǔ)句的形式為:Router(config)#access-list表號(hào)處理方式條件ACL表號(hào):用于區(qū)分各訪問(wèn)控制列表。一臺(tái)路由器中可定義多個(gè)ACL,每個(gè)ACL使用一個(gè)表號(hào)。標(biāo)準(zhǔn)訪問(wèn)控制列表:1~99。擴(kuò)展訪問(wèn)控制列表:100~199。同一個(gè)ACL中各語(yǔ)句的表號(hào)相同。處理方式:取值有permit(允許)和deny(拒絕)兩種。當(dāng)數(shù)據(jù)包與該語(yǔ)句的條件相匹配時(shí),用給定的處理方式進(jìn)行處理。條件:每條ACL語(yǔ)句只能定義一個(gè)條件。例:access-list1permit55access-list1deny55第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過(guò)。第2句表示拒絕地址為20.*.*.*的數(shù)據(jù)包通過(guò)。這里的地址指數(shù)據(jù)包的源地址。3、應(yīng)用ACL如果只是定義了ACL,它還不會(huì)起到任何作用,必須把ACL應(yīng)用到一個(gè)接口上才能起作用。應(yīng)用ACL:Router(config)#interface接口號(hào)Router(config-if)#ipaccess-group表號(hào)[in|out]in:表示在數(shù)據(jù)包進(jìn)入此接口時(shí)使用ACL進(jìn)行過(guò)濾。out:表示在數(shù)據(jù)包離開(kāi)此接口時(shí)使用ACL進(jìn)行過(guò)濾。通常,使用出站接口檢查的數(shù)據(jù)包數(shù)量較少,效率要高一些。例:Router(config)#
interfacee0Router(config-if)#
ipaccess-group1out表示在e0口上使用表號(hào)為1的ACL對(duì)出站數(shù)據(jù)包進(jìn)行過(guò)濾。通配符掩碼在ACL語(yǔ)句中,當(dāng)使用地址作為條件時(shí),它的一般格式為:地址通配符掩碼。通配符掩碼決定了地址中的哪些位需要精確匹配,哪些為不需要匹配。通配符掩碼是一個(gè)32位數(shù),采用點(diǎn)分十進(jìn)制方式書(shū)寫(xiě)。匹配時(shí),“0”表示檢查的位,“1”表示不檢查的位。如:55表示檢查前16位,忽略后16位,所以這個(gè)條件表示的地址是192.168.*.*。any條件:當(dāng)條件為所有地址時(shí),如果使用通配符掩碼應(yīng)寫(xiě)為:55這時(shí)可以用“any”表示這個(gè)條件。如:Router(config)#
access-list1permit55Router(config)#
access-list1permitany上面兩個(gè)語(yǔ)句是等價(jià)的。host關(guān)鍵字:當(dāng)條件為單一IP地址時(shí),如果使用通配符掩碼應(yīng)寫(xiě)為:IP地址這時(shí)可以用“host”關(guān)鍵字定義這個(gè)條件。如:Router(config)#
access-list1permitRouter(config)#
access-list1permithost上面兩個(gè)語(yǔ)句是等價(jià)的。二、標(biāo)準(zhǔn)訪問(wèn)控制列表標(biāo)準(zhǔn)ACL只能使用IP地址作為條件。標(biāo)準(zhǔn)ACL使用數(shù)據(jù)包的源地址匹配ACL語(yǔ)句中的條件。定義標(biāo)準(zhǔn)ACL時(shí),可使用的表號(hào)為1~99。(針對(duì)IP數(shù)據(jù)報(bào))標(biāo)準(zhǔn)ACL配置舉例1R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口,這個(gè)局域網(wǎng)要求只有來(lái)自/8、/24、/24的用戶(hù)能夠訪問(wèn)。R1(config)#
access-list1permit55R1(config)#
access-list1permit55R1(config)#
access-list1permit55R1(config)#
interfacee0R1(config-if)#
ipaccess-group1out配置完成后,可以用命令查看ACL:R1#
showaccess-lists說(shuō)明:1、在每個(gè)ACL中都隱含著一個(gè)語(yǔ)句:access-listlist-numdenyany它位于ACL的最后,表示拒絕所有。所以任何一個(gè)與前面各語(yǔ)句都不匹配的數(shù)據(jù)包都會(huì)被拒絕。2、在ipaccess-group語(yǔ)句中,用in或out表示入站時(shí)匹配或出站時(shí)匹配,如果沒(méi)有指定這個(gè)值,默認(rèn)為out。3、在每個(gè)接口、每個(gè)方向上只能應(yīng)用一個(gè)ACL。4、一個(gè)ACL可以應(yīng)用到多個(gè)接口上。R1R2PC1:.2PC2:.1.1.2PC3:.1.1.2E0:.1E0:.1.1.1E1:.1.1.1S0:.1S0:.2/24/24/8/8實(shí)例1的實(shí)驗(yàn)驗(yàn)證:標(biāo)準(zhǔn)ACL配置舉例2R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口,這個(gè)局域網(wǎng)要求拒絕來(lái)自/24的用戶(hù)訪問(wèn),其它用戶(hù)都可以訪問(wèn)。R1(config)#
access-list1deny55R1(config)#
access-list1permitanyR1(config)#
interfacee0R1(config-if)#
ipaccess-group1out注意:access-list1permitany語(yǔ)句不能省略,如果省略該語(yǔ)句,則所有和語(yǔ)句1不匹配的數(shù)據(jù)包都會(huì)被隱含的access-list1denyany語(yǔ)句拒絕。標(biāo)準(zhǔn)ACL配置舉例3R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口,這個(gè)局域網(wǎng)只允許來(lái)自/24的用戶(hù)訪問(wèn),但其中和兩臺(tái)主機(jī)除外。R1(config)#
access-list1denyhostR1(config)#
access-list1denyhostR1(config)#
access-list1permit55R1(config)#
interfacee0R1(config-if)#
ipaccess-group1out注意:access-list1permit192.168.2055語(yǔ)句不能寫(xiě)在另兩條語(yǔ)句的前面,如果把它寫(xiě)在第1句,則和因已經(jīng)滿(mǎn)足了條件,不會(huì)再進(jìn)行后面的匹配。請(qǐng)參考下圖,為了限制網(wǎng)斷訪問(wèn)網(wǎng)斷,考慮語(yǔ)句“deny55”放置在Lab-A路由器的E0接口上時(shí),網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù),因此,標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點(diǎn)標(biāo)準(zhǔn)ACL的正確放置位置說(shuō)明:定義ACL時(shí),每條語(yǔ)句都按輸入的次序加入到ACL的末尾,如果想要更改某條語(yǔ)句,或者更改語(yǔ)句的順序,只能先刪除整個(gè)ACL,再重新輸入。比如刪除表號(hào)為1的ACL:Router(config)#
noaccess-list1在實(shí)際應(yīng)用中,我們往往把路由器的配置文件導(dǎo)出到TFTP服務(wù)器中,用文本編輯工具修改ACL,然后再把配置文件裝回到路由器中。三、擴(kuò)展訪問(wèn)控制列表擴(kuò)展ACL可以使用地址作為條件,也可以用上層協(xié)議作為條件。擴(kuò)展ACL既可以測(cè)試數(shù)據(jù)包的源地址,也可以測(cè)試數(shù)據(jù)包的目的地址。定義擴(kuò)展ACL時(shí),可使用的表號(hào)為100~199。(針對(duì)IP數(shù)據(jù)報(bào))擴(kuò)展ACL的語(yǔ)句:access-list表號(hào)處理方式條件表號(hào):取值100~199。處理方式:permit(允許)或deny(拒絕)。條件:協(xié)議源地址目的地址[運(yùn)算符端口號(hào)][established]協(xié)議:用于匹配數(shù)據(jù)包使用的網(wǎng)絡(luò)層或傳輸層協(xié)議,如IP、TCP、UDP、ICMP等。源地址、目的地址:使用“地址通配符掩碼”的形式,也可以使用any、host關(guān)鍵字。運(yùn)算符端口號(hào):用于匹配TCP、UDP數(shù)據(jù)包中的端口號(hào)。運(yùn)算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口號(hào)用于對(duì)應(yīng)一種應(yīng)用,如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等?!斑\(yùn)算符端口號(hào)”可匹配數(shù)據(jù)包的用途。如:“eq80”可匹配那些訪問(wèn)Web網(wǎng)站的數(shù)據(jù)包。在擴(kuò)展ACL語(yǔ)句中,“運(yùn)算符端口號(hào)”可以沒(méi)有。例:access-list100permittcp5555eq80表示允許來(lái)自192.168.*.*的用戶(hù)訪問(wèn)位于10.*.*.*的Web站點(diǎn)。擴(kuò)展ACL定義后,也需要使用ipaccess-group命令應(yīng)用在指定接口上才能起作用。如:Router(config)#
interfacee0Router(config-if)#
ipaccess-group100out在每個(gè)擴(kuò)展ACL末尾也有一條默認(rèn)語(yǔ)句:access-listlist-numdenyipanyany它會(huì)拒絕所有與前面語(yǔ)句不匹配的數(shù)據(jù)包。擴(kuò)展ACL配置舉例1R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口,這個(gè)局域網(wǎng)只允許Web通信流量和Ftp通信流量,其它都拒絕。R1(config)#
access-list100permittcpanyanyeq80R1(config)#
access-list100permittcpanyanyeq20R1(config)#
access-list100permittcpanyanyeq21R1(config)#
interfacee0R1(config-if)#
ipaccess-group100out說(shuō)明:標(biāo)準(zhǔn)FTP協(xié)議使用了兩個(gè)端口,21用于建立FTP連接,20用于數(shù)據(jù)傳輸。說(shuō)明:例1的配置將會(huì)極大限制局域網(wǎng)和外網(wǎng)間的應(yīng)用,它會(huì)拒絕除Web和Ftp外的所有應(yīng)用(包括ICMP、DNS、電子郵件等),也會(huì)拒絕那些沒(méi)有使用標(biāo)準(zhǔn)端口的Web和Ftp應(yīng)用。在實(shí)際應(yīng)用中,我們通常只對(duì)那些可能有害的訪問(wèn)作出拒絕限制,或者限制用戶(hù)訪問(wèn)某些有害的站點(diǎn)或服務(wù)。擴(kuò)展ACL配置舉例2R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器,禁止外網(wǎng)用戶(hù)用Telnet遠(yuǎn)程登錄本路由器。S0192.168.*.*/24/24R1(config)#
access-list100denytcpanyhosteq23R1(config)#
access-list100denytcpanyhosteq23R1(config)#
access-list100permitipanyanyR1(config)#
interfaces0R1(config-if)#
ipaccess-group100in說(shuō)明:這里使用了禁止對(duì)兩個(gè)接口進(jìn)行Telnet的數(shù)據(jù)包進(jìn)入S0口的方法阻斷來(lái)自外網(wǎng)的Telnet請(qǐng)求。由于對(duì)E0口沒(méi)有限制,所以它不影響來(lái)自?xún)?nèi)網(wǎng)的Telnet請(qǐng)求。擴(kuò)展ACL配置舉例3R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器,1是一個(gè)有害的Web網(wǎng)站,禁止內(nèi)網(wǎng)用戶(hù)訪問(wèn)該網(wǎng)站。S0192.168.*.*/24/24R1(config)#
access-list100denytcp55host1eq80R1(config)#
access-list100permitipanyanyR1(config)#
interfacee0R1(config-if)#
ipaccess-group100in擴(kuò)展ACL配置舉例4R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器,禁止對(duì)S0口的ping操作。S0192.168.*.*/24/24R1(config)#
access-list100denyicmpanyhostR1(config)#
access-list100permitipanyanyR1(config)#
interfaces0R1(config-if)#
ipaccess-group100in說(shuō)明:ping命令使用的是ICMP協(xié)議,但I(xiàn)CMP除了具有網(wǎng)絡(luò)探查功能外,還需要用它傳輸各種錯(cuò)誤信息,所以在路由器上不應(yīng)該禁止該協(xié)議。如果想要禁止ping,最好使用專(zhuān)用的防火墻。放置擴(kuò)展ACL的正確位置在下圖中,需要設(shè)定網(wǎng)絡(luò)中的所有節(jié)點(diǎn)不能訪問(wèn)地址為4服務(wù)器在哪個(gè)路由器的哪個(gè)接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機(jī)器訪問(wèn)4,但是他們可以繼續(xù)訪問(wèn)Internet由于擴(kuò)展ACL可以控制目的地地址,所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源的路由器上。減少網(wǎng)絡(luò)資源的浪費(fèi)。放置擴(kuò)展ACL的正確位置四、命名訪問(wèn)控制列表命名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加的一種定義ACL的方法。命名ACL使用一個(gè)符號(hào)串作為ACL的名字,不再使用表號(hào)。命名ACL也有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩種,一個(gè)命名ACL只能是其中的一種。命名ACL配置方法Router(config)#
ipaccess-list{standard|extended}namestandard:定義標(biāo)準(zhǔn)命名ACL。extended:定義擴(kuò)展命名ACL。name:ACL的名字,可自定義。該命令執(zhí)行后,提示符變?yōu)镽outer(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可輸入ACL語(yǔ)句。命名ACL語(yǔ)句格式:處理方式條件。它只比以前的ACL少了前面的“access-list表號(hào)”部分,其它都相同。例1配置標(biāo)準(zhǔn)命名ACLR1E0要求拒絕來(lái)自/24的數(shù)據(jù)包通過(guò)S0口進(jìn)入路由器,其它都允許。S0R1(config)#
i
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 工作總結(jié)之房地產(chǎn)評(píng)估實(shí)習(xí)總結(jié)
- 工作總結(jié)之寵物醫(yī)院實(shí)習(xí)總結(jié)
- 機(jī)器人操作系統(tǒng)(ROS2)入門(mén)與實(shí)踐 課件 第6章 IMU在ROS2中的使用
- 銀行內(nèi)部審計(jì)制度
- 中梁物業(yè)案場(chǎng)服務(wù)觸點(diǎn)方案
- 清華大學(xué)熱工基礎(chǔ)課件工程熱力學(xué)加傳熱學(xué)期末復(fù)習(xí)
- 第9周-七年級(jí)上冊(cè)數(shù)學(xué)華東師大版(2024)每周測(cè)驗(yàn)(含答案)
- 分配理論教學(xué)課件
- 《認(rèn)識(shí)透鏡》課件
- 《教師技能大比拼》課件
- 煤礦區(qū)隊(duì)安全風(fēng)險(xiǎn)管控日分析制度辦法
- spc與cpk的基礎(chǔ)認(rèn)識(shí)1
- (完整版)霍夫斯塔德文化差異五個(gè)維度
- 《地形對(duì)聚落及交通線路分布的影響》教學(xué)設(shè)計(jì)
- 《中國(guó)旅游地理》新課程標(biāo)準(zhǔn)
- seagull船員英語(yǔ)STCW甲板操作級(jí)答案
- 色彩心理教案(共6頁(yè))
- 監(jiān)理資料移交回執(zhí)單
- 液體硅酸鈉樣品測(cè)定
- 暴聾(突發(fā)性耳聾)中醫(yī)臨床路徑
- 地磅(汽車(chē)衡)基礎(chǔ)預(yù)算書(shū)
評(píng)論
0/150
提交評(píng)論