《网络互联技术》第07章访问控制列表

,主讲教师：赵怀明江西工业职业技术学院,第七章访问控制列表（理论课时长：6节）,【教学目的】：通过本章的学习，让学生知道访问控制列表的功能和实现机制、访问控制列表的分类、命名访问控制列表的配置和应用、基于时间的访问控制列表的使用；掌握访问控制列表的定义和应用、标准访问控制列表的配置、扩展访问控制列表的配置、访问控制列表的工作过程。能为简单的网络根据用户的要求设置访问控制列表来实现公司网络的内部管理、流量控制和安全控制。【重点难点】重点：标准访问控制列表的配置和应用；扩展访问控制列表的配置和应用。难点：基于时间的访问控制列表的理解和配置,第七章：访问控制列表,【教学内容】访问控制列表定义访问控制列表功能访问控制列表实现机制访问控制列表的工作过程分析访问控制列表的分类标准访问控制列表的配置和应用扩展访问控制列表的配置和应用命名访问控制列表的配置和应用基于时间的访问控制列瑶的配置和应用,第七章：访问控制列表,【教学方法】教学方式：多媒体教学教学方法：案例分析+视频教学通过对比分析让学生彻底掌握标准访问控制列表和扩展访问控制列表的区别。利用视频教学资料，使学生在任何时间和地点能重温教学内容，尽一步掌握标准（扩展）访问控制列表的配置和实际应用。通过上机实验让学生在boson模拟器的支持下完成标准访问控制列表和扩展访问控制列表的配置和应用。,第七章：访问控制列表,第一部分：访问控制列表概述,一、数据包过滤技术数据包过滤是指路由器对需要转发的数据包，先获取报头信息，然后将其和设定的规则进行比较，根据比较的结果对数据包进行转发或丢弃。实现包过滤的核心技术是访问控制列表(AccessControlList,简称ACL)。,第一部分：访问控制列表概述,二、访问控制列表的定义访问控制列表（AccessControlList，ACL）是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制，这种机制允许用户使用访问控制列表来管理信息流，以制作公司内部网络的相关策略。ACL根据指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。通过灵活地增加访问控制列表,可以把ACL当作一种网络控制的有利工具,用来过滤流入、流出路由器接口的数据包。,第一部分：访问控制列表概述,三、访问控制列表的实现机制（1）首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。（2）然后再将其应用在路由器的不同接口的不同方向上。（3）如果指定接口（该接口已应用指定的访问控制列表）指定方向（该方向上已应用指定的访问控制列表）上有数据包通过时，路由器将根据设定的访问控制列表的规则（逐条进行匹配，如果规则中上一条语句匹配，则下面所有的语句将被忽略）对数据包进行过滤，从而确定哪些数据包可以接收，哪些数据包需要拒绝。,第一部分：访问控制列表概述,四、访问控制列表的功能（1）、数据包过滤（2）、限制网络流量（3）、提高网络性能（4）、提高网络安全由于ACL访问控制列表是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。,第一部分：访问控制列表概述,五、访问控制列表的分类：主要分为标准访问控制列表和扩展访问控制列表。,第一部分：访问控制列表概述,六、访问控制列表工作过程分析,第二部分：标准访问控制列表,一、定义标准IP访问控制列表（1）语法：Router(config)#access-listlistnumberpermit|denyhost/anysourcesource-wildcardmaskLog（2）功能：只能根据数据帧的源地址进行过滤，而不能根据数据帧的目的地址进行数据过滤；只能拒绝或允许整个协议族的数据包，而不能根据具体的协议对数据包进行过滤。（3）位置：由于不能根据数据帧的目标地址进行过滤，而只能根据数据帧的源地址进行过滤，因此最好将标准访问控制列表放置离目标主机（或目标网络）最近的位置。,第二部分：标准访问控制列表,（4）参数说明：定义访问控制列表必须在路由器的全局配置模式下进行listnumber：访问控制列表号的范围，标准IP访问控制列表的列表号标识是从1到99。permit/deny：关键字permit和deny用来表示满足访问列表项的报文是允许通过接口，还是要过滤掉。permit表示允许“满足访问列表项”的报文通过接口deny表示禁止“满足访问列表项”的报文通过接口source：源地址，对于标准的IP访问控制列表，源地址可以是：host、any、具体主机IP地址或具体网络地址host用于指定某个具体主机。any用于指定所有主机。source-wi1dcardmask：源地址通配符屏蔽码,第二部分：标准访问控制列表,二、host参数讲解host表示一种精确的匹配，其屏蔽码为（host是0.0.0.O通配符屏蔽码的简写）。例如，假定我们希望允许从5来的报文，则应该制定如下标准IP访问控制列表语句：access-list44permit如果采用关键字host，则也可以用下面的语句来代替：access-list44permithost5,第二部分：标准访问控制列表,三、any参数讲解any是源地证通配符屏蔽码“0.O.O.O55”的简写。假定我们要拒绝从源地址5来的报文，并且要允许从其他源地址来的报文，则应制定如下标准IP访问控制列表语句：access-list55denyhost5access-list55permit55上述命令可以进行如下简写：access-list55denyhost5access-list55permitany,第二部分：标准访问控制列表,四、标准访问控制列表常见错误分析（1）、标准访问控制列表中语句顺序错误：access-list66permitanyaccess-list66denyhost5（2）、标准访问控制列表中列表号错误access-list166denyhost5access-list166permitany（3）不需要在标准访问控制列表的最后添加“denyany”语句access-list66permithost5access-list66denyany（4）、忘记在标准访问控制列表的最后添加“permitany”语句access-list66denyhost5,第二部分：标准访问控制列表,五、permit和deny应用的规则（1）最终目标是尽量让访问控制中的条目少一些。另外，访问控制列表是自上而下逐条对比，所以一定要把条件严格的列表项语句放在上面，然后再将条件稍严格的列表选项放在其下面，最后放置条件宽松的列表选项，还要注意，一般情况下，拒绝应放在允许上面。（2）如果拒绝的条目少一些，这样可以用DENY，但一定要在最后一条加上允许其它通过，否则所有的数据包将不能通过。（3）如果允许的条目少一些，这样可以用PERMIT，后面不用加拒绝其它（系统默认会添加denyany）。（4）最后，用户可以根据实际情况，灵活应用deny和permit语句。总之，当访问控制列表中有拒绝条目时，在最后面一定要有允许，因为ACL中系统默认最后一条是拒绝所有。,第二部分：标准访问控制列表,六、应用标准访问控制列表在定义了访问控制列表后，还必须将访问控制列表应用到路由器的某一个接口中。（1）语法格式Router(config-if)#ipaccess-groupaccess-list-numberin|out（2）参数说明必须先进入路由器的某一个接口，再使用“ipaccess-group”命令，将指定的访问控制列表应用到当前路由器接口中。参数in和out表示访问控制列表作用在接口上的方向。（这里的in和out是以当前路由器本身为参照点的，控制数据包由外向内进入当前路由器指定接口为“in”；控制数据包由内向外流出当前路由器指定接口为“out”）。,第二部分：标准访问控制列表,七、标准访问控制列表例题一：in方向控制Router(config)#access-list66denyhost5Router(config)#access-list66permitanyRouter(config)#interfaceethernet0/0Router(config-if)#ipaccess-group66in,第二部分：标准访问控制列表,八、标准访问控制列表例题二：out方向控制Router(config)#access-list77denyhost5Router(config)#access-list77deny55Router(config)#access-list77permitanyRouter(config)#interfaceethernet0/1Router(config-if)#ipaccess-group77out,第二部分：标准访问控制列表,九、下面图示中，谁可以与主机A通信？,第二部分：标准访问控制列表,十、虚拟终端访问控制标准访问列表和控制访问列表不会拒绝来自路由器虚拟终端的访问，基于安全考虑，对路由器虚拟终端的访问和来自路由器虚拟终端的访问都应该被拒绝，以下设置：只允许网段内的主机访问路由器的虚拟端口。,第三部分：扩展访问控制列表,一、扩展访问控制列表简介顾名思义，扩展的IP访问控制列表用于扩展报文过滤能力。一个扩展的IP访问控制列表允许用户根据如下内容过滤报文:源地址、目的地址、协议类型、源端口、目的端口以及在特定报文字段中允许进行特殊位比较等等。例如，通过扩展IP访问控制列表用户可以实现：允许外部WEB通信量通过，而拒绝外来的FTP和Telnet通信量。扩展ACL既检查数据包的源地址，也检查数据包的目的地址。此外，还可以检查数据包特定的协议类型、端口号等。这种扩展后的特性给管理员带来了更大的灵活性，可以灵活多变地设置ACL的测试条件。数据包是否被允许通过出口，既可以基于它的源地址，也可以基于它的目的地址。,第三部分：扩展访问控制列表,二、扩展访问控制列表的定义（1）语法格式：Router(config)#access-listaccess-list-number|permit|deny|protocolsourcesource-wildcardmaskdestinationdesitination-wildcardmaskoperatorport（2）参数说明listnumber：扩展IP访问控制列表的表号标识从l00到199。protocol：定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP.源端口号和目的端口号：源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web的超文本传输协议。目的端口号的指定方法与源端口号的指定方法相同。,第三部分：扩展访问控制列表,三、常用的服务端口号文件传输服务（FTP）使用的默认端口号为20、21（其中数据传输使用端口20、控制命令的传输使用端口21）Telnet远程登录服务使用的默认端口号为23简单邮件服务（SMTP）使用的默认端口号为25简单文件传输服务（TFTP）使用的默认端口号为69域名服务（DNS）使用的默认端口号为53WEB服务（HTTP）使用的默认端口号为80,第三部分：扩展访问控制列表,四、扩展访问控制列表应用一：Router(config)#access-list116denyiphost155Router(config)#access-list116permitipanyanyRouter(config)#interfaceethernet0/0Router(config-if)#ipaccess-group116in,目的：拒绝主机1对网络内任何主机的任何访问。由于可根据目标IP地址对数据包进行过滤，因此原则上扩展访问控制列表应放置离源主机最近的位置。这样可减少无用数据饭的传递，从而减少网络流量。,第三部分：扩展访问控制列表,五、扩展访问控制列表应用二：Router(config)#access-list118permittcp55anyeqwwwRouter(config)#access-list118permittcp55anyeq21Router(config)#access-list118permittcp55anyeq20Router(config)#interfaceethernet0/0Router(config-if)#ipaccess-group118in,目的：不允许网段的用户访问网络内除WEB、FTP服务以外的其他服务。（由于默认禁止了ICMP数据包，因此，虽然网络内的主机可以WEB、FTP方式访问指定的主机，但无法ping通提供WEB、FTP服务的主机：、）,第三部分：扩展访问控制列表,六、扩展访问控制列表应用三：Router(config)#access-list128permittcpanyhosteqwwwRouter(config)#access-list128permittcpanyhosteq21Router(config)#access-list128permittcpanyhosteq20Router(config)#interfaceethernet0/1Router(config-if)#ipaccess-group128out,目的：只允许所有主机访问服务器提供的WEB和FTP服务。,第三部分：扩展访问控制列表,七、扩展访问控制列表应用四：Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfaceethernet0Router(config-if)#ipaccess-group101out,目的：（1）拒绝网络的FTP通信流量通过e0,第三部分：扩展访问控制列表,八、扩展访问控制列表应用五：Router(config)#access-list101permittcpany55eq25Router(config)#interfaceethernet1Router(config-if)#ipaccess-group101out,目的：（1）只允许外部网络的SMTP通信流量通过e1,第四部分：命名访问控制列表,一、命名访问控制列表简介命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串来替代前面所使用的数字来表示ACL表号。在使用列表号表示的“标准IP访问控制列表”和“扩展IP访问控制列表”中，如果输入的语句出现错误，用户不能方便地进行修改，而必须先将整个ACL列表删除后，再重新创建。而在使用名字表示的“标准IP访问控制列表”和“扩展IP访问控制列表”中，用户可以方便地对ACL语句进行修改。另外，在设计命名的控制列表时，应该注意：（1）、11.2以前的版本的CiscoIOS不支持命名的ACL。（2）、不能以同一个名字来命名多个ACL。,第四部分：命名访问控制列表,二、定义和应用命名标准访问控制列表（1）定义标准命名访问控制列表名称：Router(config)#ipaccess-liststandardaccess-list-name（2）应用标准命名访问控制列表到路由器指定端口的指定方向上Router(config-if)#ipaccess-groupaccess-list-namein|out三、定义和应用命名扩展访问控制列表（1）定义扩展命名访问控制列表名称：Router(config)#ipaccess-listextendedaccess-list-name（2）应用扩展命名访问控制列表到路由器指定端口的指定方向上Router(config-if)#ipaccess-groupaccess-list-namein|out,第四部分：命名访问控制列表,四、命名标准访问控制列表实例（1）功能实现：禁止源地址为5的数据包流入路由器的E0/0接口，其实就是禁止了5主机的对外访问。（2）拓朴结构,第四部分：命名访问控制列表,3、定义标准命名访问控制列表Router(config)#ipaccess-liststandardblock25Router(config-std-nacl)#denyhost5Router(config-std-nacl)#permitanyRouter(config-std-nacl)#exit4、应用标准命名访问控制列表到路由器指定接口的指定方向上Router(config)#interfaceethernet0/0Router(config-if)#ipaccess-groupblock25in,第五部分：时间访问控制列表,一、基于时间的访问控制列表基于时间的访问控制列表可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。配置基于时间的访问控制列表之前，必须正确配置路由器的时间:配置时间语法：#clocksethh:mm:ssMONTH,第五部分：时间访问控制列表,二、定义时间名称Router(config)#time-rangetime-range-nametime-range：用来定义时间范围time-range-name：时间范围名称，以便在后面的访问控制列表中引用三、定义时间名称所指向的具体时间范围（1）定义绝对时间范围Router(config-time-range)#absolutestarthh:mmMONTHendhh:mmmonth该命令用来指定绝对时间范围。它后面紧跟start和end两个关键字。在两个关键字后面的时间要以24小时制和“hh:mm（小时：分钟）”表示，日期要按照“日/月/年”形式表示。,第五部分：时间访问控制列表,（2）定义相对时间范围Router(config-time-range)#periodic星期几（英文）hh:mmtohh:mm主要以星期为参数来定义时间范围。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末）。基于时间访问列表的设计中，用time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。但两者不能同时使用，否则配置会失效。,第五部分：时间访问控制列表,四、将时间范围名称作用到指定的访问控制列表中Router(config)#access-list列表编号deny|permitip源ip源掩码目标ip目标掩码time-rangetime-range-nameRouter(config)#access-listpermitanyany五、将访问控制列表添加到指定接口的指定方向Router(config)#interfacefastethernet模块/接口Router(config-if)#ipaccess-group列表号in|out,第五部分：时间访问控制列表,六、实例演示（1）拓朴结构,第五部分：时间访问控制列表,（2）实验要求,（3）实验命令,第五部分：时间访问控制列表,七、访问控制列表命令清单,第六部分：ACL存放位置分析,一、网络拓朴结构,二、标准访问控制列表存放位置分析如果要A的网络拒绝来自网络的访问,访问控制列表为:access-list1denyaccess-list1permitany显然把这条ACL放在除A之外的任何路由器的任何端口都是不合适的,这样会影响到向B和C发送数据。,第六部分：ACL存放位置分析,三、扩展访问控制列表存放位置分析如果要A拒绝来自网络的TELNET访问，扩展访问控制列表为：access-list102denytcp5555eq23access-list102permitipanyany如果把这条ACL放在A中，尽管可以对访问进行控制，但被丢弃的数据流还是在网络中传送。所以最好能在D就把他限制掉。标准访问控制列表原则上最好放置在离目标主机（网络）最近的位置；扩展访问控制列表原则上最好放置在离源主机（网络）最近的位置。,附加：标准访问控制列表示例一：,RtA(config)#access-list10permit55Rt