如何訪問控制列表(ACL)一點心得

1、第7章 訪問控制列表(ACL)8.1 ACL概述利用ACL可以對經(jīng)過路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過濾，使數(shù)據(jù)包有選擇的通過路由器，起到防火墻的作用。訪問控制列表(ACL)由一組規(guī)則組成，在規(guī)則中定義允許或拒絕通過路由器的條件。ACL過濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議等。ACL有兩種：標(biāo)準(zhǔn)訪問控制列表、擴(kuò)展訪問控制列表。ACL的基本用途是限制訪問網(wǎng)絡(luò)的用戶，保護(hù)網(wǎng)絡(luò)的安全。ACL一般只在以下路由器上配置：1、內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。2、兩個功能網(wǎng)絡(luò)交界的路由器。限制的內(nèi)容通常包括：1、允許那些用戶訪問網(wǎng)絡(luò)。（根據(jù)用戶的IP地址進(jìn)行限制）2、允許用戶訪問的類型，如允許http和f

2、tp的訪問，但拒絕Telnet的訪問。（根據(jù)用戶使用的上層協(xié)議進(jìn)行限制）ACL的工作過程訪問控制列表(ACL) 由多條判斷語句組成。每條語句給出一個條件和處理方式（通過或拒絕）。路由器對收到的數(shù)據(jù)包按照判斷語句的書寫次序進(jìn)行檢查，當(dāng)遇到相匹配的條件時，就按照指定的處理方式進(jìn)行處理。ACL中各語句的書寫次序非常重要，如果一個數(shù)據(jù)包和某判斷語句的條件相匹配時，該數(shù)據(jù)包的匹配過程就結(jié)束了，剩下的條件語句被忽略。8.2 ACL語句一個訪問控制列表(ACL)可由多條語句組成，每條ACL語句的形式為：Router(config)# access-list 表號 處理方式 條件ACL表號：用于區(qū)分各訪問控制

3、列表。一臺路由器中可定義多個ACL，每個ACL使用一個表號。其中針對IP數(shù)據(jù)報的ACL可使用的表號為：標(biāo)準(zhǔn)訪問控制列表：199。擴(kuò)展訪問控制列表：100199。同一個ACL中各語句的表號相同。處理方式：取值有permit（允許）和deny（拒絕）兩種。當(dāng)數(shù)據(jù)包與該語句的條件相匹配時，用給定的處理方式進(jìn)行處理。條件：每條ACL語句只能定義一個條件。例：access-list 1 permit 55access-list 1 deny 55第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過。第2句表示拒絕地址為20.*.

4、*.*的數(shù)據(jù)包通過。這里的地址指數(shù)據(jù)包的源地址。應(yīng)用ACL如果只是定義了ACL，它還不會起到任何作用，必須把ACL應(yīng)用到一個接口上才能起作用。應(yīng)用ACL：Router(config)# interface 接口號Router(config-if)# ip access-group 表號 in | outin：表示在數(shù)據(jù)包進(jìn)入此接口時使用ACL進(jìn)行過濾。out：表示在數(shù)據(jù)包離開此接口時使用ACL進(jìn)行過濾。通常，使用出站接口檢查的數(shù)據(jù)包數(shù)量較少，效率要高一些。例：Router(config)# interface e0Router(config-if)# ip access-group 1 out

5、表示在e0口上使用表號為1的ACL對出站數(shù)據(jù)包進(jìn)行過濾。通配符掩碼在ACL語句中，當(dāng)使用地址作為條件時，它的一般格式為：地址 通配符掩碼。通配符掩碼決定了地址中的哪些位需要精確匹配，哪些為不需要匹配。通配符掩碼是一個32位數(shù)，采用點分十進(jìn)制方式書寫。匹配時，“0”表示檢查的位，“1”表示不檢查的位。如： 55表示檢查前16位，忽略后16位，所以這個條件表示的地址是 192.168.*.*。any條件：當(dāng)條件為所有地址時，如果使用通配符掩碼應(yīng)寫為： 55這時可以用“any”表示這個條件。如：Router(config

6、)# access-list 1 permit 55Router(config)# access-list 1 permit any上面兩個語句是等價的。host關(guān)鍵字：當(dāng)條件為單一IP地址時，如果使用通配符掩碼應(yīng)寫為：IP地址 這時可以用“host”關(guān)鍵字定義這個條件。如：Router(config)# access-list 1 permit Router(config)# access-list 1 permit host 上面兩個語句是等價的。8.3 標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)ACL只

7、能使用地址作為條件。標(biāo)準(zhǔn)ACL使用數(shù)據(jù)包的源地址匹配ACL語句中的條件。定義標(biāo)準(zhǔn)ACL時，可使用的表號為199。（針對IP數(shù)據(jù)報）標(biāo)準(zhǔn)ACL配置舉例1R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)要求只有來自/8、/24、/24的用戶能夠訪問。R1(config)# access-list 1 permit 55R1(config)# access-list 1 permit 55R1(config)# access-list 1 permit 19

8、 55R1(config)# interface e0R1(config-if)# ip access-group 1 out配置完成后，可以用命令查看ACL：R1# show access-lists說明：1、在每個ACL中都隱含著一個語句：access-list list-num deny any它位于ACL的最后，表示拒絕所有。所以任何一個與前面各語句都不匹配的數(shù)據(jù)包都會被拒絕。2、在ip access-group語句中，用in或out表示入站時匹配或出站時匹配，如果沒有指定這個值，默認(rèn)為out。3、在每個接口、每個方向上只能應(yīng)用一個ACL。4、一個ACL

9、可以應(yīng)用到多個接口上。R1R2PC1: .2PC2: .1.1.2PC3: .1.1.2E0: .1E0: .1.1.1E1: .1.1.1S0: .1S0: .2/24/24/8/8實例1的實驗驗證：標(biāo)準(zhǔn)ACL配置舉例2R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)要求拒絕來自/24的用戶訪問，其它用戶都可以訪問。R1(config)# access-list 1 deny 55R1(config)# access-list 1 permit a

10、nyR1(config)# interface e0R1(config-if)# ip access-group 1 out注意：access-list 1 permit any語句不能省略，如果省略該語句，則所有和語句1不匹配的數(shù)據(jù)包都會被隱含的access-list 1 deny any語句拒絕。標(biāo)準(zhǔn)ACL配置舉例3R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)只允許來自/24的用戶訪問，但其中和兩臺主機(jī)除外。R1(config)# access-list 1 deny host R1(

11、config)# access-list 1 deny host R1(config)# access-list 1 permit 55R1(config)# interface e0R1(config-if)# ip access-group 1 out注意：access-list 1 permit 192.168.20 55語句不能寫在另兩條語句的前面，如果把它寫在第1句，則和因已經(jīng)滿足了條件，不會再進(jìn)行后面的匹配。說明：定義ACL時，每條語句都按輸入的次序加入到A

12、CL的末尾，如果想要更改某條語句，或者更改語句的順序，只能先刪除整個ACL，再重新輸入。比如刪除表號為1的ACL：Router(config)# no access-list 1在實際應(yīng)用中，我們往往把路由器的配置文件導(dǎo)出到TFTP服務(wù)器中，用文本編輯工具修改ACL，然后再把配置文件裝回到路由器中。8.4 擴(kuò)展訪問控制列表擴(kuò)展ACL可以使用地址作為條件，也可以用上層協(xié)議作為條件。擴(kuò)展ACL既可以測試數(shù)據(jù)包的源地址，也可以測試數(shù)據(jù)包的目的地址。定義擴(kuò)展ACL時，可使用的表號為100199。（針對IP數(shù)據(jù)報）擴(kuò)展ACL的語句：access-list 表號 處理方式 條件表號：取值100199。處理

13、方式：permit（允許）或deny（拒絕）。條件：協(xié)議 源地址 目的地址 運(yùn)算符 端口號 established協(xié)議：用于匹配數(shù)據(jù)包使用的網(wǎng)絡(luò)層或傳輸層協(xié)議，如IP、TCP、UDP、ICMP等。源地址、目的地址：使用“地址 通配符掩碼”的形式，也可以使用any、host關(guān)鍵字。運(yùn)算符 端口號：用于匹配TCP、UDP數(shù)據(jù)包中的端口號。運(yùn)算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口號用于對應(yīng)一種應(yīng)用，如21FTP、23Telnet、25SMTP、53DNS、80HTTP等。“運(yùn)算符 端口號”可匹配數(shù)據(jù)包的用途。如：“eq 80”可匹配那些訪問Web網(wǎng)站的數(shù)據(jù)包。在擴(kuò)展

14、ACL語句中， “運(yùn)算符 端口號”可以沒有。例：access-list 100 permit tcp 55 55 eq 80表示允許來自192.168.*.*的用戶訪問位于10.*.*.*的Web站點。擴(kuò)展ACL定義后，也需要使用 ip access-group 命令應(yīng)用在指定接口上才能起作用。如：Router(config)# interface e0Router(config-if)# ip access-group 100 out在每個擴(kuò)展ACL末尾也有一條默認(rèn)語句：access-list list-num

15、 deny ip any any它會拒絕所有與前面語句不匹配的數(shù)據(jù)包。擴(kuò)展ACL配置舉例1R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)只允許Web通信流量和Ftp通信流量，其它都拒絕。R1(config)# access-list 100 permit tcp any any eq 80R1(config)# access-list 100 permit tcp any any eq 20R1(config)# access-list 100 permit tcp any any eq 21R1(config)# interface e0R1(config-if)# ip acces

16、s-group 100 out說明：標(biāo)準(zhǔn)FTP協(xié)議使用了兩個端口，21用于建立FTP連接，20用于數(shù)據(jù)傳輸。說明：例1的配置將會極大限制局域網(wǎng)和外網(wǎng)間的應(yīng)用，它會拒絕除Web和Ftp外的所有應(yīng)用（包括ICMP、DNS、電子郵件等），也會拒絕那些沒有使用標(biāo)準(zhǔn)端口的Web和Ftp應(yīng)用。在實際應(yīng)用中，我們通常只對那些可能有害的訪問作出拒絕限制，或者限制用戶訪問某些有害的站點或服務(wù)。擴(kuò)展ACL配置舉例2R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止外網(wǎng)用戶用Telnet遠(yuǎn)程登錄本路由器。S0192.168.*.*/24/24R1(config)# access-l

17、ist 100 deny tcp any host eq 23R1(config)# access-list 100 deny tcp any host eq 23R1(config)# access-list 100 permit ip any anyR1(config)# interface s0R1(config-if)# ip access-group 100 in說明：這里使用了禁止對兩個接口進(jìn)行Telnet的數(shù)據(jù)包進(jìn)入S0口的方法阻斷來自外網(wǎng)的Telnet請求。由于對E0口沒有限制，所以它不影響來自內(nèi)網(wǎng)的Telnet請求。擴(kuò)展ACL配置舉

18、例3R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，1是一個有害的Web網(wǎng)站，禁止內(nèi)網(wǎng)用戶訪問該網(wǎng)站。S0192.168.*.*/24/24R1(config)# access-list 100 deny tcp 55 host 1 eq 80R1(config)# access-list 100 permit ip any anyR1(config)# interface e0R1(config-if)# ip access-group 100 in擴(kuò)展ACL配置舉例4R1E

19、0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止對S0口的ping操作。S0192.168.*.*/24/24R1(config)# access-list 100 deny icmp any host R1(config)# access-list 100 permit ip any anyR1(config)# interface s0R1(config-if)# ip access-group 100 in說明：ping命令使用的是ICMP協(xié)議，但I(xiàn)CMP除了具有網(wǎng)絡(luò)探查功能外，還需要用它傳輸各種錯誤信息，所以在路由器上不應(yīng)該禁止該協(xié)議。如

20、果想要禁止ping，最好使用專用的防火墻。8.5 命名訪問控制列表命名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加的一種定義ACL的方法。命名ACL使用一個符號串作為ACL的名字，不再使用表號。命名ACL也有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩種，一個命名ACL只能是其中的一種。命名ACL配置方法Router(config)# ip access-list standard | extended namestandard：定義標(biāo)準(zhǔn)命名ACL。extended：定義擴(kuò)展命名ACL。name：ACL的名字，可自定義。該命令執(zhí)行后，提示符變?yōu)镽outer(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可輸入ACL語句。命名ACL語句格式：處理方式 條件。它只比以前的ACL少了前面的“access-list 表號”部分，其它都相同。例1 配置標(biāo)準(zhǔn)命名ACLR1E0要求拒絕來自/24的數(shù)據(jù)包通過S0口進(jìn)入路由器，其它都允許。S0R1(config)# ip access-list standard list1R1(config-std-nacl)# deny 55R1(