访问控制列表原理及配置技巧(acl).doc

1、访问控制列表的作用。作用就是过滤 实现安全性 具网络可有管理性一、过滤，经过路由器的数据包二、控制增长的网络IP数据2、访问控制列表的分类及其特性。一、标准列表只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。访问控制别表具有方向性，是以路由器做参照物，来定义out或者inout：是在路由器处理完以后，才匹配的条目in：一进入路由器就匹配，匹配后在路由。编号范围为：1-99二、扩展列表可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上，接口为距源最近的接口，方向为in，可以审核三层和四层的信息。编号范围：100-199如何判断应使用哪种类型的访问控制列表标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。）扩展：针对源地址，允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。（当源确定下来，具有单个源可有多个目的地址时。）编号的作用：a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。3.具有严格限制的条目应该放在列表前。4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有）10.在某个接口，某个方向上只能调用一个列表。11.访问控制列表不能过滤自身产生的数据。书写列表的步骤：1.选择要应用的列表类型2.选择要书写的路由器并书写列表3.选择路由器的接口来调用列表实现过滤4.选择应用列表的方向标准访问控制列表的配置1.回顾标准列表的特性2.标准列表的配置语法（通配符）配置的过程中，熟记配置规则1.标准列表： 只基于ip协议工作，控制数据包的源地址应用过程中：距目的地址近的路由器和接口2.配置列表的步骤1）选择列表的类型2）选择路由器（是要在哪个上路由器上配置列表）3.）选择要应用的接口（在哪个接口上调用）4）判断列表的方向性（in和out：相对路由器）3.标准列表的配置语法1）在全局模式下，书写规则access-list 列表编号 permit/deny 源网络地址 源地址的通配符列表的编号：1-99 和1300 - 1999通配符：零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 = 通配符=0.0.0.255 255.255.255.255 - 正掩码 反子网掩码2）调用列表 控制数据包经过接口时过滤 在接口模式下 ip access-group 列表编号 方向主机ip 0.0.0.0 = host 主机ip0.0.0.0 255.255.255.255 = any实例：允许1.0 允许3。21.拒绝1.0 拒绝3.2access-list 1 deny 192.168.1.0 0.0.0.255access-list 1 deny 192.168.3.2 0.0.0.02.拒绝1.0 允许1.21.可以审核数据包的源地址和目的地址及协议(端口)2.编号范围为100-199.3.针对源地址，允许源去往特定的目的，或去特定的目的做什么。4.应用过程中，应靠近源或组源，方向为in扩展列表的配置语法第一，定义列表access-list 列表编号 permit/deny 大协议 源地址 源的通配符 目的地址 目的通配符 eq 小协议或端口列表编号：100-199大协议：ip /tcp/udp/icmp/其他的路由协议当:只针对源地址和目的地址来做策略时，大协议通常ip。当：涉及到具体做什么的时候，才