訪問控制列表

1、1、什么是訪問控制列表？訪問控制列表在Cisco IOS軟件中是一個(gè)可選機(jī)制，可以配置成過濾器來控制數(shù)據(jù)包，以決 定該數(shù)據(jù)包是繼續(xù)向前傳遞到它的目的地還是丟棄。2、為什么要使用訪問控制列表？最初的網(wǎng)絡(luò)只是連接有限的LAN和主機(jī)，隨著路由器連接內(nèi)部和外部的網(wǎng)絡(luò)，加上互聯(lián)網(wǎng) 的普及，控制訪問成為新的挑戰(zhàn)，網(wǎng)絡(luò)管理員面臨兩難的局面：如何拒絕不期望的訪問而允 許需要的訪問？訪問控制列表增加了在路由器接口上過濾數(shù)據(jù)包出入的靈活性，可以幫助管 理員限制網(wǎng)絡(luò)流量，也可以控制用戶和設(shè)備對網(wǎng)絡(luò)的使用，它根據(jù)網(wǎng)絡(luò)中每個(gè)數(shù)據(jù)包所包含 的信息內(nèi)容決定是否允許該信息包通過接口。3、訪問控制列表有哪些類型？訪問控制列表主

2、要可以分為以下兩種：A、標(biāo)準(zhǔn)訪問控制列表：標(biāo)準(zhǔn)訪問控制列表只能夠檢查可被路由的數(shù)據(jù)包的源地址，根據(jù)源 網(wǎng)絡(luò)、子網(wǎng)、主機(jī)IP地址來決定對數(shù)據(jù)包的拒絕或允許，使用的局限性大，其序列號(hào)范圍 是 1-99。B、擴(kuò)展訪問控制列表：擴(kuò)展訪問控制列表能夠檢查可被路由的數(shù)據(jù)包的源地址和目的地址， 同時(shí)還可以檢查指定的協(xié)議、端口號(hào)和其他參數(shù)，具有配置靈活、精確控制的特點(diǎn)，其序列 號(hào)的范圍是100-199。以上兩種類型都可以基于序列號(hào)和命名來配置，我們建議使用命名來配置訪問控制列表，這 樣在以后的修改中也是很方便的。4、訪問控制列表具有什么樣的特點(diǎn)？A、它是判斷語句，只有兩種結(jié)果，要么是拒絕(deny)，要么是允

3、許(permit)；B、它按照由上而下的順序處理列表中的語句；C、處理時(shí)，不匹配規(guī)則就一直向下查找，一旦找到匹配的語句就不再繼續(xù)向下執(zhí)行；D、在思科中默認(rèn)隱藏有一條拒絕所有的語句，也就默認(rèn)拒絕所有(any);由上面的特點(diǎn)可以總結(jié)出，訪問控制列表中語句的順序也是非常重要的，另外就是所配置的 列表中必須有一條允許語句。5、配置訪問控制列表需要注意什么？A、訪問控制列表只能過濾流經(jīng)路由器的流量，對路由器自身發(fā)出的數(shù)據(jù)包不起作用。B、一個(gè)訪問控制列表中至少有一條允許語句。6、配置訪問控制列表的步驟是什么？第一步：創(chuàng)建訪問控制列表：access-list access-list-number deny|

4、permit test conditions/access-list-number：序列號(hào)，這個(gè)地方也可以寫命名的名稱；/deny:拒絕；/permit:允許；/test conditions:過濾條件語句第二步：應(yīng)用訪問控制列表：A、首先要進(jìn)入接口模式；B、ip access-group access-list-number in|out7、標(biāo)準(zhǔn)訪問控制列表的格式：access-list list number| word permit|deny source address wildcard mask/list number|word列表序列號(hào)或者命名/permit|deny 允許或者拒絕

5、/source address源 IP 地址/wildcard mask掩碼，如果不使用掩碼，則使用關(guān)鍵字Host ,例：host 8、擴(kuò)展訪問控制列表的格式：access-list list number| word permit | deny protocol | protocol key word source address source-swidcard mask source port destination address destination-wildceard mask destination port/list number| word訪問控制列表的序列號(hào)或者命名/per

6、mit | deny 允許或者拒絕/protocol | protocol key word協(xié)議或者協(xié)議號(hào)/source address源 IP 地址/source-swidcard mask源地址掩碼，如果使用關(guān)鍵字host，則不用掩碼/source port 源端口/destination address目的地 IP 地址/destination-wildceard mask目的地地址掩碼，如果使用host關(guān)鍵字，則不用掩碼/destination port 目的端口對于許多網(wǎng)管員來說，配置路由器的訪問控制列表是一件經(jīng)常性的工作，可以說，路由器的 訪問控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪

7、問列表提供了一種機(jī)制，它可以控制和過濾 通過路由器的不同接口去往不同方向的信息流。這種機(jī)制允許用戶使用訪問表來管理信息 流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級(jí) 別。例如，某個(gè)組織可能希望允許或拒絕Internet對內(nèi)部Web服務(wù)器的訪問，或者允許內(nèi) 部局域網(wǎng)上一個(gè)或多個(gè)工作站能夠?qū)?shù)據(jù)流發(fā)到廣域網(wǎng)上。這些情形，以及其他的一些功能 都可以通過訪問表來達(dá)到目的。訪問列表的種類劃分目前的路由器一般都支持兩種類型的訪問表：基本訪問表和擴(kuò)展訪問表?；驹L問表控制基于網(wǎng)絡(luò)地址的信息流，且只允許過濾源地址。擴(kuò)展訪問表通過網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類型進(jìn)行信息流控制，允許

8、過濾源地址、目的 地址和上層應(yīng)用數(shù)據(jù)。表1列出了路由器所支持的不同訪問表的號(hào)碼范圍。不同訪向表的號(hào)瑪范 toOO-roa& rx saf打十的株集訪周控悟列表 接于感的F履坊間檢*!刊雙 善于敗旁*岳染找時(shí)坊向rioonue Extend -mt mac 貴型的，于如菠mac畢眥制訕rm ml：機(jī)，e 甘向H裹0標(biāo)準(zhǔn)ip訪問表標(biāo)準(zhǔn)ip訪問表的基本格式為：access-list list numberpermit|denyhost/anysourceaddresswildcard-masklog下面對標(biāo)準(zhǔn)IP訪問表基本格式中的各項(xiàng)參數(shù)進(jìn)行解釋：1.list number-表號(hào)范圍標(biāo)準(zhǔn)IP訪問表的

9、表號(hào)標(biāo)識(shí)是從1到99。2.permit/deny-允許或拒絕：關(guān)鍵字permit和deny用來表示滿足訪問表項(xiàng)的報(bào)文是允許通過接口，還是要過濾掉。 permit表示允許報(bào)文通過接口，而deny表示匹配標(biāo)準(zhǔn)IP訪問表源地址的報(bào)文要被丟棄掉。 3.source address-源 地址對于標(biāo)準(zhǔn)的IP訪問表，源地址是主機(jī)或一組主機(jī)的點(diǎn)分十進(jìn)制表示，如:。host/any-主機(jī)匹配host和any分別用于指定單個(gè)主機(jī)和所有主機(jī)。host表示一種精確的匹配，其屏蔽碼 為0例如，假定我們希望允許從來的報(bào)文，則使用標(biāo)準(zhǔn)的訪問控制列 表語句如下：access-list 1 permit 如果采用關(guān)鍵字host

10、，則也可以用下面的語句來代替：access-list 1 permit host 也就是說，host是0.0.0.O通配符屏蔽碼的簡寫。與此相對照，any是源地證/目標(biāo)地址0.O.O.O/55的簡寫。假定我們要 拒絕從源地址來的報(bào)文，并且要允許從其他源地址來的報(bào)文，標(biāo)準(zhǔn)的IP訪問 表可以使用下面的語句達(dá)到這個(gè)目的：access-list 1 deny host access-list 1 permit any注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個(gè)語句 順序顛倒，將permit語句放在deny語句的前面，則我們將不能過濾來自主機(jī)地址 的報(bào)文，因?yàn)閜ermit語句

11、將允許所有的報(bào)文通過。所以說訪問表中的語句順序 是很重要的,因?yàn)椴缓侠碚Z句順序?qū)?huì)在網(wǎng)絡(luò)中產(chǎn)生安全漏洞，或者使得用戶不能很好地利 用公司的網(wǎng)絡(luò)策略。wi1dcardmask通配符屏蔽碼Cisco訪問表功能所支持的通配符屏蔽碼與子網(wǎng)屏蔽碼的方式是剛好相反的，也就是 說，二進(jìn)制的O表示一個(gè)匹配條件，二進(jìn)制的1表示一個(gè)不關(guān)心條件。假設(shè)組織機(jī)構(gòu)擁 有一個(gè)C類網(wǎng)絡(luò)，若不使用子網(wǎng)，則當(dāng)配置網(wǎng)絡(luò)中的每一個(gè)工作站時(shí)，使用于 網(wǎng)屏蔽碼255.255.255.Oo在這種情況下，1表示一個(gè)匹配，而0表示一個(gè)不關(guān)心的條 件。因?yàn)镃isco通配符屏蔽碼與子網(wǎng)屏蔽碼是相反的，所以匹配源網(wǎng)絡(luò)地址中 的所有報(bào)文的通配符屏蔽碼

12、為:0.0.O.255。Log-日志記錄log關(guān)鍵字只在IOS版本11.3中存在。如果該關(guān)鍵字用于訪問表中，則對那些能夠匹 配訪問表中的permit和deny語句的報(bào)文進(jìn)行日志記錄。日志信息包含訪問表號(hào)、報(bào)文的允 許或拒絕、源IP地址以及在顯示了第一個(gè)匹配以來每5分鐘間隔內(nèi)的報(bào)文數(shù)目。使用log 關(guān)鍵字，會(huì)使控制臺(tái)日志提供測試和報(bào)警兩種功能。系統(tǒng)管理員可以使用日志來觀察不同活 動(dòng)下的報(bào)文匹配情況，從而可以測試不同訪問表的設(shè)計(jì)情況。當(dāng)其用于報(bào)警時(shí)，管理員可以 察看顯示結(jié)果，以定位那些多次嘗試活動(dòng)被拒絕的訪問表語句。執(zhí)行一個(gè)訪問表語句的多次 嘗試活動(dòng)被拒絕，很可能表明有潛在的黑客攻擊活動(dòng)。擴(kuò)展的I

13、P訪問控制列表顧名思義，擴(kuò)展的IP訪問表用于擴(kuò)展報(bào)文過濾能力。一個(gè)擴(kuò)展的IP訪問表允許用戶根 據(jù)如下內(nèi)容過濾報(bào)文:源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行 特殊位比較等等。一個(gè)擴(kuò)展的IP訪問表的一般語法格或如numbarJpBrrriit/olocolsourceaddressw ii f jrc心門 address下面簡要介紹各個(gè)關(guān)鍵字的功能：1.list number-表號(hào)范圍擴(kuò)展IP訪問表的表號(hào)標(biāo)識(shí)從l00到199tocol協(xié)議協(xié)議項(xiàng)定義了需要被過濾的協(xié)議，例如IP、TCP、UDP、1CMP等等。協(xié)議選項(xiàng)是很 重要的，因?yàn)樵赥CP/IP協(xié)議棧中的各種協(xié)議之

14、間有很密切的關(guān)系，如果管理員希望根據(jù)特 殊協(xié)議進(jìn)行報(bào)文過濾，就要指定該協(xié)議。另外，管理員應(yīng)該注意將相對重要的過濾項(xiàng)放在靠前的位置。如果管理員設(shè)置的命令中， 允許IP地址的語句放在拒絕TCP地址的語句前面，則后一個(gè)語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該地址上的其他協(xié)議的同時(shí)，拒絕了TCP協(xié)議。源端口號(hào)和目的端口號(hào)源端口號(hào)可以用幾種不同的方法來指定。它可以顯式地指定，使用一個(gè)數(shù)字或者使用一 個(gè)可識(shí)別的助記符。例如，我們可以使用80或者h(yuǎn)ttp來指定Web的超文本傳輸協(xié)議。對 于TCP和UDP，讀者可以使用操作符（大于）=（等于）以及飛不等于）來進(jìn)行 設(shè)置。目的端口號(hào)的指定方法

15、與源端口號(hào)的指定方法相同。讀者可以使用數(shù)字、助記符或者使 用操作符與數(shù)字或助記符相結(jié)合的格式來指定一個(gè)端口范圍。下面的實(shí)例說明了擴(kuò)展IP訪問表中部分關(guān)鍵字使用方法：access-list 101 permit tcp any host eq smtpaccess-list 101 permit tcp any host eq www第一個(gè)語句允許來自任何主機(jī)的TCP報(bào)文到達(dá)特定主機(jī)的smtp服務(wù)端口 （25）;第二個(gè)語句允許任何來自任何主機(jī)的TCP報(bào)文到達(dá)指定的主機(jī)的www或 http 服務(wù)端口 （80）。選項(xiàng)擴(kuò)展的IP訪問表支持很多選項(xiàng)。其中一個(gè)常用的選項(xiàng)有l(wèi)og，它已在前面討論標(biāo)準(zhǔn)訪問 表

16、時(shí)介紹過了。另一個(gè)常用的選項(xiàng)是fistahlishfid，該選項(xiàng)只用于TCP協(xié)議并且只在TCP 通信流的一個(gè)方向上來響應(yīng)由另一端發(fā)起的會(huì)話。為了實(shí)現(xiàn)該功能，使用estab1ished選項(xiàng) 的訪問表語句檢查每個(gè)TCP報(bào)文，以確定報(bào)文的ACK或RST位是否已設(shè)置。例如，考慮如下擴(kuò)展的IP訪問表語句：access-list 101 permit tcp any host established該語句的作用是:只要報(bào)文的ACK和RST位被設(shè)置，該訪問表語句就允許來自任何源 地址的TCP報(bào)文流到指定的主機(jī)。這意味著主機(jī)此前必須發(fā)起 TCP會(huì)話。目的地址和通配符屏蔽碼以及host/any的使用其他關(guān)鍵字d

17、eny/permit、源地址和通配符屏蔽碼、均與標(biāo)準(zhǔn)IP訪問表中的相同。表2是對部分關(guān)鍵字的具體解釋關(guān)折字說明5七熱5衛(wèi)酣的地址相虐配料卻底瑪?shù)娜鸲?，司j源和目的學(xué)程削寸4遮M E或RSJ位生哲袪置.付（I T（T）I旅帕扒釁決碼皙蝦廣 叩下旗和日的地電.用亍疽某職洎息皂型.用戶也可以拾定 M消息螞（! 一梆）用下定義一個(gè)HP吸血F編口的十說糖號(hào)砰或名照用于健義要或觀的好皮.可以如卞的美鍵宇之包755之間的一爐枚管理和使用訪問表在一個(gè)接口上配置訪問表需要三個(gè)步驟：定義訪問表；指定訪問表所應(yīng)用的接口；定義訪問表作用于接口上的方向。我們已經(jīng)討論了如何定義標(biāo)準(zhǔn)的和擴(kuò)展的IP訪問表，下面將討論如何指定

18、訪問表所用 的接口以及接口應(yīng)用的方向。一般地，采用interface命令指定一個(gè)接口。例如，為了將訪問表應(yīng)用于串口 0，應(yīng)使 用如下命令指定此端口：interface serial0類似地，為將訪問表應(yīng)用于路由器的以太網(wǎng)端口上時(shí)，假定端口為Ethernet0，則應(yīng)使 用如下命令來指定此端口：interface ethernet0在上述三個(gè)步驟中的第三步是定義訪問表所應(yīng)用的接口方向，通常使用ip access-group命令來指定。其中，列表號(hào)標(biāo)識(shí)訪問表，而關(guān)鍵字in或out則指明訪問表所 使用的方向。方向用于指出是在報(bào)文進(jìn)入或離開路由器接口時(shí)對其進(jìn)行過濾。如下的實(shí)例將 這三個(gè)步驟綜合在一起：i

19、ntface serial0ip access-group 107 inaccess-list 107 remark allow traffic to toms pcaccess-list 107 ip any host access-list 107 remark allow only web traffic to webserveraccess-list 107 tcp any host 2 eq 80access-list 107 remark block everything elseaccess-list 107 deny any any在本例中，先使用interface命令指定串行

20、端口 0，并使用ipaccess-group命令來將訪 問表l07中的語句應(yīng)用于串行接口的向內(nèi)方向上。最后，輸入6個(gè)訪問表語句，其中三條訪 問表語句使用關(guān)鍵字remark，以提供關(guān)于列表中后繼語句的注解說明。注意訪問表中的最 后一條語句，它表示了每個(gè)訪問表相關(guān)的隱含denyall設(shè)置，并且如果不顯式地列出是不會(huì) 看到該語句的。如果讀者希望從路由器的控制臺(tái)端口相連的終端上直接輸入這些命令和語 句，則應(yīng)該先使用EXEC特權(quán)命令。這個(gè)終端會(huì)話過程的實(shí)例如下圖所示：router +l corifsy irnrnalconi:guration commfinds C?n# par I jfir Lnd a rTfCTRL/ZAourr f cont g lnter?ncn 世“汀。Fnul hi f cor j .( / rx p 料:.仁眄馬-2，口1_1口 - 07 inRri,；t?i (config-I)斗HjL_tEr 口n+，C| 力.ird 1 L.? rf;ir：,：i* 危打口心 li-irl，-.io toms pcRourericonfig fiacct?ss l