交換與路由技術(shù)課件 第8章 訪問控制列表

第八章

訪問控制列表01訪問控制列表的工作原理和配置功能02基本訪問控制列表03高級(jí)訪問控制列表CONTENT目錄04項(xiàng)目實(shí)驗(yàn)訪問控制列表的

工作原理和配置功能01問題引入隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)展和網(wǎng)絡(luò)連接的不斷增多，尤其是當(dāng)今的Internet并不是十分安全，網(wǎng)絡(luò)管理的一個(gè)重要任務(wù)是保證網(wǎng)絡(luò)的暢通和安全，有時(shí)候必須拒絕一些有害的流量，同時(shí)允許合適的訪問。8.1.1

ACL定義訪問控制列表（ACL）的概念最早可以追溯到20世紀(jì)60年代。當(dāng)時(shí)，為了保護(hù)操作系統(tǒng)中的文件和資源，研究人員開始研究訪問控制技術(shù)。其中，一種名為“訪問控制矩陣”（AccessControlMatrix）的技術(shù)被提出，用于管理和控制對(duì)系統(tǒng)資源的訪問權(quán)限。訪問控制矩陣是一種二維表格，其中行表示用戶，列表示資源，表格中的每個(gè)元素表示用戶對(duì)資源的訪問權(quán)限。訪問控制矩陣是ACL的前身，為后來的ACL技術(shù)的發(fā)展奠定了基礎(chǔ)。8.1.1

ACL定義訪問控制列表（AccessControlList,簡稱ACL）是一種基于包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過濾，允許其通過或丟棄。ACL用來對(duì)分組進(jìn)行過濾或檢測(cè)，以決定將分組轉(zhuǎn)發(fā)到目的地還是丟棄它。8.1.1

ACL定義ACL用來對(duì)分組進(jìn)行過濾或檢測(cè)，以決定將分組轉(zhuǎn)發(fā)到目的地還是丟棄它。訪問控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)，借助于訪問控制列表，可以有效地控制用戶對(duì)網(wǎng)絡(luò)的訪問，從而最大程度地保障網(wǎng)絡(luò)安全。我們常見的包過濾型防火墻可以通過在路由器上配置訪問列表來實(shí)現(xiàn)。8.1.2

ACL工作原理如圖8-1所示，網(wǎng)關(guān)RTA允許/24中的主機(jī)可以訪問外網(wǎng)，也就是Internet；而/24中的主機(jī)則被禁止訪問Internet。對(duì)于服務(wù)器A而言，情況則相反。網(wǎng)關(guān)允許/24中的主機(jī)訪問服務(wù)器A，但卻禁止/24中的主機(jī)訪問服務(wù)器A。網(wǎng)關(guān)設(shè)備還可以依據(jù)ACL中定義的條件（例如源IP地址）來匹配入方向的數(shù)據(jù)，并對(duì)匹配了條件的數(shù)據(jù)執(zhí)行相應(yīng)的動(dòng)作。8.1.2

ACL工作原理讀取第三層及第四層包頭中的信息，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾8.1.2

ACL工作原理實(shí)現(xiàn)訪問控制列表的核心技術(shù)是包過濾Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處訪問控制列表8.1.2

ACL工作原理通過分析IP數(shù)據(jù)包包頭信息，進(jìn)行判斷（這里IP所承載的上層協(xié)議為TCP）IP報(bào)頭TCP報(bào)頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個(gè)元素定義的規(guī)則8.1.2

ACL工作原理在ACL中，定義了一系列規(guī)則，稱為訪問控制條目（AccessControlEntries），每個(gè)條目都包含一個(gè)源地址、目標(biāo)地址、協(xié)議類型以及允許或拒絕的操作。這些條目按照一定的順序排列，形成一個(gè)列表。當(dāng)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)時(shí)，路由器會(huì)根據(jù)其目的地址與訪問控制列表中的規(guī)則進(jìn)行匹配。如果數(shù)據(jù)包的目的地址與某個(gè)條目的源地址相匹配，且該條目允許相應(yīng)的操作（如讀取、寫入等），則路由器會(huì)允許數(shù)據(jù)包通過；否則，路由器會(huì)拒絕數(shù)據(jù)包的傳輸。8.1.2

ACL工作原理入站ACL8.1.2

ACL工作原理出站ACL8.1.2

ACL工作原理圖8-1ACL應(yīng)用示意圖8.1.2

ACL工作原理如圖8-1所示，網(wǎng)關(guān)RTA允許/24中的主機(jī)可以訪問外網(wǎng)，也就是Internet；而/24中的主機(jī)則被禁止訪問Internet。對(duì)于服務(wù)器A而言，情況則相反。網(wǎng)關(guān)允許/24中的主機(jī)訪問服務(wù)器A，但卻禁止/24中的主機(jī)訪問服務(wù)器A。網(wǎng)關(guān)設(shè)備還可以依據(jù)ACL中定義的條件（例如源IP地址）來匹配入方向的數(shù)據(jù)，并對(duì)匹配了條件的數(shù)據(jù)執(zhí)行相應(yīng)的動(dòng)作。8.1.3

ACL的基本規(guī)則、準(zhǔn)則和限制

ACL語句按名稱或編號(hào)分組；每條ACL語句都只有一組條件和操作，如果需要多個(gè)條件或多個(gè)行動(dòng)，則必須生成多個(gè)ACL語句；如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句；如果在ACL組的一條語句中找到匹配，則不再處理后面的語句；如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包；由于在ACL語句組的最后隱式拒絕，所以至少要有一個(gè)允許操作，否則，所有數(shù)據(jù)包都會(huì)被拒絕；語句的順序很重要，約束性最強(qiáng)的語句應(yīng)該放在列表的頂部，約束性最弱的語句應(yīng)該放在列表的底部；8.1.3

ACL的基本規(guī)則、準(zhǔn)則和限制一個(gè)空的ACL組允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句；只能在每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACL；在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL；在數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACL；當(dāng)ACL應(yīng)用到一個(gè)接口時(shí)，這會(huì)影響通過接口的流量，但ACL不會(huì)過濾路由器本身產(chǎn)生的流量。8.1.4

ACL的功能（1）網(wǎng)絡(luò)流量控制基于端口號(hào)的流量控制，基于協(xié)議類型的流量控制，基于源地址和目標(biāo)地址的流量控制（2）網(wǎng)絡(luò)流量控制身份認(rèn)證，權(quán)限分配，訪問控制策略（3）網(wǎng)絡(luò)流量控制防止非法入侵，防范網(wǎng)絡(luò)攻擊，保護(hù)敏感數(shù)據(jù)（4）網(wǎng)絡(luò)流量控制根據(jù)實(shí)際需求進(jìn)行配置，使用智能路由技術(shù)，定期進(jìn)行性能評(píng)估和優(yōu)化8.1.5

ACL應(yīng)用的業(yè)務(wù)模塊（1）登錄控制Telnet、SNMP、FTP、TFTP、SFTP、HTTP（2）對(duì)轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾QoS流策略、NAT、IPSEC（3）對(duì)上送CPU處理的報(bào)文進(jìn)行過濾黑名單、白名單、用戶自定義流（4）路由過濾BGP、IS-IS、OSPF、OSPFv3、RIP、RIPng、組播協(xié)議8.1.6

ACL的分類（1）根據(jù)實(shí)現(xiàn)方式分類基于路由、基于交換機(jī)、基于主機(jī)（2）根據(jù)應(yīng)用范圍和技術(shù)特點(diǎn)分類基于源地址、基于目的地址、基于協(xié)議/端口、基于服務(wù)/應(yīng)用（3）根據(jù)ACL規(guī)則定義方式分類基本ACL、基本ACL、基本ACL、用戶自定義ACL、用戶控制ACL8.1.7

ACL的配置（1）訪問控制列表的配置方法使用命令行界面（CLI）、使用網(wǎng)絡(luò)管理軟件、使用第三方工具（2）訪問控制列表的配置步驟根據(jù)實(shí)際需求定義訪問控制列表的規(guī)則、配置訪問控制列表的設(shè)備或系統(tǒng)、驗(yàn)證訪問控制列表的配置結(jié)果（3）訪問控制列表的應(yīng)用方式在實(shí)際應(yīng)用中，每個(gè)業(yè)務(wù)模塊的ACL應(yīng)用方式也是各不相同基本訪問控制列表028.2基本訪問控制列表華為ACL分為基本ACL、高級(jí)ACL、二層ACL。ACL由一系列規(guī)則組成，通過將報(bào)文與ACL規(guī)則進(jìn)行匹配，設(shè)備可以過濾出特定的報(bào)文。分類編號(hào)范圍參數(shù)基本ACL（BasicACL）2000-2999源IP地址高級(jí)ACL（AdvanceACL）3000-3999源IP地址、目的IP地址、源端口、目的端口等二層ACL（模擬器不支持）4000-4999源MAC地址、目的MAC地址、以太幀協(xié)議類型等基本ACL可以使用報(bào)文的源IP地址、分片標(biāo)記和時(shí)間段信息來匹配報(bào)文，其編號(hào)取值范圍是2000-2999。8.2.1ACL規(guī)則一個(gè)ACL可以由多條“deny

|

permit”語句組成，每一條語句描述了一條規(guī)則。設(shè)備收到數(shù)據(jù)流量后，會(huì)逐條匹配ACL規(guī)則，看其是否匹配。如果不匹配，則匹配下一條。一旦找到一條匹配的規(guī)則，則執(zhí)行規(guī)則中定義的動(dòng)作，并不再繼續(xù)與后續(xù)規(guī)則進(jìn)行匹配。如果找不到匹配的規(guī)則，則設(shè)備不對(duì)報(bào)文進(jìn)行任何處理。8.2.1ACL規(guī)則本示例中，RTA收到了來自兩個(gè)網(wǎng)絡(luò)的報(bào)文。默認(rèn)情況下，RTA會(huì)依據(jù)ACL的配置順序來匹配這些報(bào)文。網(wǎng)絡(luò)/24發(fā)送的數(shù)據(jù)流量將被RTA上配置的ACL2000的規(guī)則15匹配，因此會(huì)被拒絕。而來自網(wǎng)絡(luò)/24的報(bào)文不能匹配訪問控制列表中的任何規(guī)則，因此RTA對(duì)報(bào)文不做任何處理，而是正常轉(zhuǎn)發(fā)。8.2.2基本ACL配置本示例中，主機(jī)A發(fā)送的流量到達(dá)RTA后，會(huì)匹配ACL2000中創(chuàng)建的規(guī)則ruledenysource55因而主機(jī)A將被拒絕繼續(xù)轉(zhuǎn)發(fā)到Internet。主機(jī)B發(fā)送的流量不匹配任何規(guī)則，所以會(huì)被RTA正常轉(zhuǎn)發(fā)到Internet。8.2.3ACL配置確認(rèn)執(zhí)行displayacl<acl-number>命令可以驗(yàn)證配置的基本ACL。執(zhí)行display

traffic-filter

applied-record命令可以查看設(shè)備上所有基于ACL進(jìn)行報(bào)文過濾的應(yīng)用信息。本例中，所配置的ACL只有一條規(guī)則，即拒絕源IP地址在/24范圍的所有IP報(bào)文。高級(jí)訪問控制列表038.3高級(jí)訪問控制列表華為ACL分為基本ACL、高級(jí)ACL、二層ACL。ACL由一系列規(guī)則組成，通過將報(bào)文與ACL規(guī)則進(jìn)行匹配，設(shè)備可以過濾出特定的報(bào)文。分類編號(hào)范圍參數(shù)基本ACL（BasicACL）2000-2999源IP地址高級(jí)ACL（AdvanceACL）3000-3999源IP地址、目的IP地址、源端口、目的端口等二層ACL（模擬器不支持）4000-4999源MAC地址、目的MAC地址、以太幀協(xié)議類型等高級(jí)ACL可以使用報(bào)文的源/目的IP地址、源/目的端口號(hào)以及協(xié)議類型等信息來匹配報(bào)文。高級(jí)ACL可以定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則，其編號(hào)取值范圍是3000-3999。8.3.1高級(jí)ACL配置基本ACL可以依據(jù)源IP地址進(jìn)行報(bào)文過濾，而高級(jí)ACL能夠依據(jù)源/目的IP地址、源/目的端口號(hào)、網(wǎng)絡(luò)層及傳輸層協(xié)議以及IP流量分類和TCP標(biāo)記值等各種參數(shù)（SYN|ACK|FIN等）進(jìn)行報(bào)文過濾。8.3.1高級(jí)ACL配置本示例中，RTA上定義了高級(jí)ACL3000其中第一條規(guī)則“ruledenytcpsource55destinationdestination-porteq21”用于限制源地址范圍是/24，目的IP地址為，目的端口號(hào)為21的所有TCP報(bào)文；第二條規(guī)則“ruledenytcpsource55destination”用于限制源地址范圍是/24，目的地址是的所有TCP報(bào)文；第三條規(guī)則“rulepermitip”用于匹配所有IP報(bào)文，并對(duì)報(bào)文執(zhí)行允許動(dòng)作。8.3.2ACL配置驗(yàn)證執(zhí)行displayacl<acl-number>命令可以驗(yàn)證配置的高級(jí)ACL。8.3.2ACL配置驗(yàn)證顯示信息表明：RTA上一共配置了3條高級(jí)ACL規(guī)則。第一條規(guī)則用于拒絕來自源IP地址/24，目的IP地址為，目的端口為21（SFTP）的TCP報(bào)文；第二條規(guī)則用于拒絕來自源IP地址/24，目的IP地址為的所有TCP報(bào)文；第三條規(guī)則允許所有IP報(bào)文通過。提問高級(jí)ACL可以基于哪些條件來定義規(guī)則？高級(jí)ACL可以基于源/目的IP地址，源/目的端口號(hào)，協(xié)議類型以及IP流量分類和TCP標(biāo)記值（SYN|ACK|FIN等）等參數(shù)來定義規(guī)則。項(xiàng)目實(shí)驗(yàn)048.4.1基本訪問控制列表的配置（1）項(xiàng)目背景。某公司保證了網(wǎng)絡(luò)的安全性，提高資源的使用效率，在公司的網(wǎng)絡(luò)設(shè)備進(jìn)行基本訪問控制列表的配置和調(diào)試。配置要求如下：1.已知Switch與各個(gè)子網(wǎng)之間路由可達(dá)，要求在Switch上進(jìn)行配置，實(shí)現(xiàn)FTP服務(wù)器對(duì)客戶端訪問權(quán)限的設(shè)置。2.子網(wǎng)1（/24）的所有用戶在任意時(shí)間都可以訪問FTP服務(wù)器。3.子網(wǎng)2（/24）的所有用戶只能在某一個(gè)時(shí)間范圍內(nèi)訪問FTP服務(wù)器。4.其他用戶不可以訪問FTP服務(wù)器。（2）邏輯拓?fù)淙鐖D所示。（3）IP地址分配表如表所示設(shè)備接口IP地址子網(wǎng)掩碼Switch

10PC1網(wǎng)卡11PC2網(wǎng)卡11PC3網(wǎng)卡（4）任務(wù)內(nèi)容第1部分：配置時(shí)間段第2部分：配置基本ACL第3部分：配置FTP基本功能第4部分：配置