访问控制列表-介绍.pptx

访问控制列表 Version 10 A 本课程前您应该已经完成如下课程 TCP IP协议基础 什么是访问控制列表 访问控制列表简介 访问控制列表 ACL AccessControlList 是路由器或者交换机上的流量过滤器 它可以根据数据报文的属性 比如MAC地址 IP地址 端口号等来识别特定类型的数据流量 在识别出数据流量后 访问控制列表可执行预定义的动作 Permit或者Deny 什么是访问控制列表 访问控制列表的作用 ACL可以限制网络流量 提高网络性能 例如 ACL可以根据数据包的协议 指定数据包的优先级 ACL提供对通信流量的控制手段 例如 ACL可以限定或简化路由更新信息的长度 从而限制通过路由器某一网段的通信流量 ACL是提供网络安全访问的基本手段 ACL允许主机A访问人力资源网络 而拒绝主机B访问 ACL可以在端口处决定哪种类型的通信流量被转发或被阻塞 例如 用户可以允许E mail通信流量被路由 拒绝所有的Telnet通信流量 ACL也可以结合其他的功能模块完成较为复杂的功能 比如可以结合NAT功能 时间域功能 动作组等 什么是访问控制列表 访问控制列表定义 访问控制列表由一系列的规则组成 每条规则都用来匹配一种特定类型的流量 规则的序号 Sequence 决定了这条规则在访问控制列表中的位置 下面的示例定义了一条IP标准访问列表 该访问控制列表的名称为1 由4条规则组成 ipaccess liststandard110permit36 48 3 00 0 0 25520deny36 48 0 00 0 255 25530permit36 0 0 00 255 255 25540denyanyexit 什么是访问控制列表 访问控制列表如何工作 访问控制列表对报文按照规则序号从小到大的顺序进行检查 访问控制列表中第一条与报文相匹配的规则决定了该报文的处理结果 允许 permit 或拒绝 deny 如果没有与报文相匹配的规则 那么该报文也被拒绝 也就是说 没有被允许的都会被拒绝掉 因为规则最后隐含了一条内容为denyany的规则 什么是访问控制列表 访问控制列表如何工作 下图显示了该访问列表各网段的访问权限 阴影部分的动作为deny 白色部分的动作为permit 标准访问列表网段分割示意图 什么是访问控制列表 访问控制列表如何工作 需要注意的是 在最后一条规则的后面 即上面的规则30之后 隐含了一条内容为denyany的规则 其序号比访问列表中所有规则的序号都要大 且这条隐含的规则是不可见的 它将与前面的所有规则都不能匹配的报文进行丢弃 如果不想让该隐含的规则起作用 那么必须手工配置一条内容为permitany的规则 以允许不符合其它所有规则条件的报文通过 什么是访问控制列表 访问控制列表的分类 按照访问表的用途 常见的有五种类型 IP标准访问控制列表IP扩展访问控制列表MAC标准访问控制列表MAC扩展访问控制列表 什么是访问控制列表 访问控制列表的分类 1 IP标准访问列表 IP标准访问列表只根据报文的源地址进行制定规则 对数据包进行相应的分析处理 例如 下面的标准IP访问列表拒绝从主机171 69 198 102发来的报文 但是允许从其它主机发来的报文 ipaccess liststandard110denyhost171 69 198 10220permitanyexit 什么是访问控制列表 访问控制列表的分类 2 IP扩展访问列表 IP扩展访问列表可以根据IP上层协议号 源IP地址 目的IP地址 源TCP UDP端口号 目的TCP UDP端口号 TCP标志 ICMP消息类型和代码 TOS优先级等属性对数据包进行过滤 例如 下面的IP扩展访问列表显示了拒绝从网络171 69 198 0 24发往网络172 20 52 0 24的telnet报文 但是允许其它的TCP报文 ipaccess listextended100110denytcp171 69 198 00 0 0 255172 20 52 00 0 0 255eqtelnet20permittcpanyanyexit 什么是访问控制列表 访问控制列表的分类 3 MAC标准访问列表 MAC标准访问列表只根据以太报文的源MAC地址制定规则 对数据包进行相应的分析处理 例如 下面的MAC访问列表只允许MAC为0001 7a0f 1523的数据包通过 其他的数据包都禁止通过 macaccess liststandard200110permithost0001 7a0f 1523exit 什么是访问控制列表 访问控制列表的分类 4 MAC扩展访问列表 MAC扩展访问表可以根据以太报文的源MAC地址 目的MAC地址 802 1P优先级 VLANID 以太类型来制定规则 对数据包进行相应的分析处理 例如 下面的MAC扩展访问列表禁止源MAC地址为0001 7a0f 1523访问目的MAC为0001 0001 0001的设备 macaccess listextended300110denyhost0001 7a0f 1523host0001 0001 000120permitanyanyexit 什么是访问控制列表 访问控制列表的分类 5 Hybrid访问列表 Hybrid访问列表可以根据IP协议号 源IP地址 源MAC地址 VLAN等属性制定分类规则 对数据包进行相应的处理 例如 下面的hybrid访问列表禁止源MAC地址为0001 0001 0001 源IP地址为1 1 1 1 所属VLAN为10的数据包访问网络 hybridaccess listextended500110denyiphost1 1 1 1host0001 0001 0001vlan id1020permitipanyanyexit 怎样配置访问控制列表 怎么配置访问控制列表 在讲述各种ACL的配置之前 先介绍一下ACL规则中IP地址的表示方法 在IP标准及IP扩展访问列表中 在定义规则时 source用于定义报文的源网络或主机 source wildcard是应用于source的通配符 destination用于定义报文的目的网络或主机 destination wildcard是应用于destination的通配符 地址通配符的格式与IP地址一样 也是32位点分十进制格式 如果地址通配符某一位为1 则相应的源IP地址 对应source wildcard 或目的IP地址 对应destination wildcard 对应位为任意值 即无意义 如果地址通配符某一位为0 则相应的IP地址对应位为指定的值 可以简单地认为地址通配符等于子网掩码按位取反 怎么配置访问控制列表 在讲述各种ACL的配置之前 先介绍一下ACL规则中IP地址的表示方法 例如 如果要对源IP地址为192 168 12 2的主机进行过滤 则应该设置相应规则的source为192 168 12 2 source wildcard为0 0 0 0 如果要对192 168 12 0 24网段的所有主机进行过滤 则可以设置source 192 168 12 x x表示0 255任意值 一般取0 source wildcard 0 0 0 255 source source wildcard destination destination wildcard有如下三种表示方法 1 都用32位点分十进制格式 2 关键字any是source及source wildcard 或destination及destination wildcard 为0 0 0 0255 255 255 255的缩写 即指明为任意源 目的 主机 3 hostsource代表源主机source及source wildcard为0 0 0 0 hostdestination代表目的主机destination及destination wildcard为0 0 0 0 怎么配置访问控制列表 访问控制列表相关命令的使用 1 IP标准访问控制列表的基本指令 怎么配置访问控制列表 访问控制列表相关命令的使用 1 IP标准访问控制列表的基本指令 access list定义一条以数字命名的IP标准访问列表的规则 access listaccess list number permit deny any sourcesource wildcard hostsource log time rangetime range name no格式是删掉一条以数字命名的访问列表 包含它里面的所有规则 noaccess listaccess list number ipaccess liststandard创建一个IP标准访问列表 可以用数字命名 也可以是用户自定义名称 该命令将进入IP标准访问列表配置模式 ipaccess liststandard access list number access list name no格式是删掉某个IP标准访问列表 包含它里面的所有规则 noipaccess liststandard access list number access list name 怎么配置访问控制列表 访问控制列表相关命令的使用 1 IP标准访问控制列表的基本指令 permit deny配置一条permit或deny的IP标准访问列表规则 sequence permit deny any sourcesource wildcard hostsource log time rangetime range name no格式是删除指定的规则 可以仅指定规则序号 也可以带上规则的内容 nosequenceno sequence permit deny any sourcesource wildcard hostsource log time rangetime range name 怎么配置访问控制列表 访问控制列表相关命令的使用 2 IP扩展访问控制列表的基本指令 怎么配置访问控制列表 访问控制列表相关命令的使用 2 IP扩展访问控制列表的基本指令 access list定义一条以数字命名的IP扩展访问列表的规则 access listaccess list number permit deny protocolsourcesource wildcard operatorsource port source port destinationdestination wildcard icmp type icmp code igmp type operatordestination port destination port ack fin established psh rst syn urg precedenceprecedence tostos dscpdscp fragments log time rangetime range name access listaccess list numberremarkcommentno格式是删掉某个访问列表 包含它里面的所有规则 noaccess listaccess list number 怎么配置访问控制列表 访问控制列表相关命令的使用 2 IP扩展访问控制列表的基本指令 ipaccess listextended定义一个IP扩展访问列表 可以用数字命名 也可以是用户自定义名称 该命令将进入IP扩展访问列表配置模式 ipaccess listextended access list number access list name no格式是删掉某个访问列表 包含它里面的所有规则 noipaccess listextended access list number access list name 怎么配置访问控制列表 访问控制列表相关命令的使用 2 IP扩展访问控制列表的基本指令 permit deny配置一条permit或deny的IP扩展访问列表规则 sequence permit deny protocolsourcesource wildcard operatorsource port source port destinationdestination wildcard icmp type icmp code igmp type operatordestination port destination port ack fin established psh rst syn urg precedenceprecedence tostos dscpdscp fragments log time rangetime range name no格式是删除指定的规则 可以仅指定规则序号 也可以带上规则的内容 nosequenceno sequence permit deny protocolsourcesource wildcard operatorsource port source port destinationdestination wildcard icmp type icmp code igmp type operatordestination port destination port ack fin established psh rst syn urg precedenceprecedence tostos dscpdscp fragments log time rangetime range name 怎么配置访问控制列表 访问控制列表相关命令的使用 3 MAC标准访问控制列表的基本指令 怎么配置访问控制列表 访问控制列表相关命令的使用 3 MAC标准访问控制列表的基本指令 access list定义一条以数字命名的MAC标准访问列表的规则 access listaccess list number permit deny any mac sourcemac source wildcard hostmac source no格式是删掉一条以数字命名的访问列表 包含它里面的所有规则 noaccess listaccess list number 怎么配置访问控制列表 访问控制列表相关命令的使用 3 MAC标准访问控制列表的基本指令 macaccess liststandard创建一个MAC标准访问列表 可以用数字命名 也可以是用户自定义名称 该命令将进入MAC标准访问列表配置模式 macaccess liststandard access list number access list name no格式是删掉某个MAC标准访问列表 包含它里面的所有规则 nomacaccess liststandard access list number access list name 怎么配置访问控制列表 访问控制列表相关命令的使用 3 MAC标准访问控制列表的基本指令 permit deny配置一条permit或deny的MAC标准访问列表规则 sequence permit deny any mac sourcemac source wildcard hostmac source no格式是删除指定的规则 可以仅指定规则序号 也可以带上规则的内容 nosequenceno sequence permit deny any mac sourcemac source wildcard hostmac source 怎么配置访问控制列表 访问控制列表相关命令的使用 4 MAC扩展访问控制列表的基本指令 怎么配置访问控制列表 访问控制列表相关命令的使用 4 MAC扩展访问控制列表的基本指令 access list定义一条以数字命名的MAC扩展访问列表的规则 access listaccess list number permit deny any mac sourcemac source wildcard hostmac source any mac destinationmac destination wildcard hostmac destination ether type access listaccess list numberremarkcommentno格式是删掉一条以数字命名的访问列表 包含它里面的所有规则 noaccess listaccess list number 怎么配置访问控制列表 访问控制列表相关命令的使用 4 MAC扩展访问控制列表的基本指令 macaccess listextended创建一个MAC扩展访问列表 可以用数字命名 也可以是用户自定义名称 该命令将进入MAC扩展访问列表配置模式 macaccess listextended access list number access list name no格式是删掉某个MAC扩展访问列表 包含它里面的所有规则 nomacaccess listextended access list number access list name 怎么配置访问控制列表 访问控制列表相关命令的使用 4 MAC扩展访问控制列表的基本指令 permit deny配置一条permit或deny的MAC扩展访问列表规则 sequence permit deny any mac sourcemac source wildcard hostmac source any mac destinationmac destination wildcard hostmac destination ether type no格式是删除指定的规则 可以仅指定规则序号 也可以带上规则的内容 nosequenceno sequence permit deny any mac sourcemac source wildcard hostmac source any mac destinationmac destination wildcard hostmac destination ether type 怎么配置访问控制列表 访问控制列表相关命令的使用 5 基于时间域的访问控制列表的基本指令 访问控制列表应用范例 访问控制列表应用范例 IP标准访问控制列表范例 如下图 建立IP标准访问列表2 定义了两条规则 它禁止子网92 49 0 0上的主机IP地址为92 49 0 3发来的包通过 允许子网92 48 0 0上所有机器发来的包 拒绝接收其它的包 ipaccess liststandard210denyhost92 49 0 320permit92 49 0 00 0 0 25530denyanyexit interfacefastethernet0ipaccess group2inexit 访问控制列表 ACL 技术 迈普路由器采用的是包过滤式的防火墙技术 包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据 访问控制列表以IP包信息为基础 对IP源地址 IP目标地址 协议类型及各协议的字段 如 TCP UDP的端口号 ICMP的类型 代码 IGMP的类型等 进行筛选 访问列表根据过滤的内容可以分成2类 标准访问列表和扩展访问列表 访问控制列表应用范例 IP扩展访问控制列表范例 如下图 建立IP扩展访问列表1001 定义了两条规则 它禁止子网92 49 0 0上的主机IP地址为92 49 0 3访问子网10 1 1 0上的主机10 1 1 2 允许子网92 48 0 0上所有地址访问所有的网络 拒绝接收其它的包 ipaccess listextended100110denyiphost92 49 0 3host10 1 1 220permitip92 49 0 00 0 0 255any30denyipanyanyexit interfacefastethernet0ipaccess group1001inexit 访问控制列表应用范例 MAC标准访问控制列表范例 如下图 建立MAC标准访问列表2001 定义了两条规则 它只允许MAC地址为0001 7a0f 1523的主机通过接口fastethernet0 拒绝接收其它的包 macaccess liststandard200110permithost0001 7a0f 1523exit interfacefastethernet0macaccess group2001inexit 访问控制列表应用范例 IP访问控制列表结合NAT的范例 如下图 建立IP扩展访问列表1001 定义了三条规则 它禁止子网92 49 0 0上的主机IP地址为92 49 0 3访问Internet 允许子网92 48 0 0上所有地址访问Internet 禁止其他的网络访问Internet ipaccess listextended100110denyiphost92 49 0 3any20permitip92 49 0 00 0 0 255any30denyipanyanyexit interfacefastethernet0ipnatinsideexitinterfacefastethernet1ipnatoutsideExitipnatinsidesourcelist2001interfacefastethernet1overload 访问控制列表应用范例 基于时间域的IP访问控制列表结合NAT的范例 如下图 建立IP扩展访问列表1001 定义了三条规则 它只允许子网92 49 0 0上的主机IP地址为92 49 0 3在上班时间访问Internet 禁止子网92 48 0 0上所有地址访问Internet 禁止其他的网络访问Internet ipaccess listextended100110permitiphost92 49 0 3anytime rangeaa20denyip92 49