ACL访问控制列表

1、访问控制列表,目标,了解如何使用ACL来保护中型企业的分支机构网络. 在中型企业的分支机构网络中配置标准ACL. 在中型企业的分支机构网络中配置扩展ACL. 描述中型企业的分支机构网络中复杂ACL. ACLs 在中型企业的分支机构网络中的应用检测及故障排除.,目录,使用ACLs 保护网络 配置标准 ACLs 配置扩展 ACLs 配置复杂 ACLs,使用ACLs 保护网络,TCP 会话,ACL 使您能够控制进出网络的流量. ACLs 可以将 ACL 配置为根据使用的 TCP 和UDP端口来控制网络流量.,TCP 会话,Port Numbers,数据包过滤,当数据包到达过滤数据包的路由器时，路由器

2、会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃. ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”： 源 IP 地址 目的 IP 地址 ICMP 消息类型 ACL 也可以提取上层信息并根据规则对其进行测试。上层信息包括： TCP/UDP 源端口 TCP/UDP 目的端口,数据包过滤,在本场景中，数据包过滤器按如下方式检查每个数据包： 如果来自网络 A 的 TCP SYN 数据包使用端口 80，则允许其通过。但会拒绝用户的所有其它访问。 如果来自网络 B 的 TCP SYN 数据包使用端口 80，则阻止该数据包。但会允许用户的

3、所有其它访问。,什么是 ACL?,ACL 是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制应该允许还是拒绝数据包通过. ACL 执行以下任务: 限制网络流量以提高网络性能. 提供流量控制。ACL 可以限制路由更新的传输. 提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。 决定在路由器接口上转发或阻止哪些类型流量。 控制客户端可以访问网络中的哪些区域。 屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型，例如 FTP 或 HTTP.,什么是 ACL?,三种原则 每种协议一个 ACL 要控制接口上的流量，必须为接

4、口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 每个接口一个 ACL 一个 ACL 只能控制一个接口（例如快速以太网 0/0）上的流量。,ACL可实现：,限制网络流量以提高网络性能。 例如，如果公司政策不允许在网络中传输视频流量，那么就应该配置和应用 ACL 以阻止视频流量。 提供流量控制。 ACL 可以限制路由更新的传输。如果网络状况不需要更新，便可从中节约带宽。 提供基本的网络访问安全性。 ACL 可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。例如，“人力资源”网络

5、仅限选定用户进行访问。,ACL可实现：,决定在路由器接口上转发或阻止哪些类型的流量。 例如，ACL 可以允许电子邮件流量，但阻止所有 Telnet 流量。 控制客户端可以访问网络中的哪些区域。 屏蔽主机以允许或拒绝对网络服务的访问。 ACL 可以允许或拒绝用户访问特定文件类型，例如 FTP 或 HTTP。,ACL 工作原理,入站 ACL 传入数据包经过处理之后才会被路由到出站接口。 入站 ACL 非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。当测试表明应允许该数据包后，路由器才会处理路由工作.,ACL 工作原理,出站 ACL 传入数据包路由到出站接口后，由出站 ACL 进行处理.,A

6、CL工作原理,隐含的“拒绝所有流量”条件语句,ACL 及路由器上的路由和 ACL 过程,ACLs的类型,有两类 Cisco ACLs, 标准的和扩展的. 标准 ACLs:标准 ACL 根据源 IP 地址允许或拒绝流量. 扩展 ACLs:扩展 ACL 根据多种属性.,标准 ACL 的工作原理,使用 ACL 时主要涉及以下两项任务: Step 1.通过指定访问列表编号或名称以及访问条件来创建访问列表. Step 2.将 ACL 应用到接口或终端线路.,编号ACL和命名ACLs,编号 200 到 1299 已由其它协议使用. 例如，AppleTalk 使用编号 600 到 699，而 IPX 使用编

7、号 800 到 899.,ACLs的放置位置,每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是： 将扩展 ACL 尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉. 因为标准 ACL 不会指定目的地址，所以其位置应该尽可能靠近目的地.,创建ACLs的一般指导原则,ACL 的最佳做法,配置标准 ACLs,输入条件语句,值得注意: 您应该将最频繁使用的 ACL 条目放在列表顶部. 您必须在 ACL 中至少包含一条 permit 语句，否则所有流量都会被阻止.,For example,图中的两个 ACL（101 和 102）具有相同的效果.,配置标准 ACL,在图中

8、，路由器会检查进入 Fa0/0 的数据包的源地址: access-list 2 deny access-list 2 permit 55 access-list 2 deny 55 access-list 2 permit 55,配置标准 ACL,标准 ACL 命令的完整语法如下: Router(config)#access-list access-list-number deny/permit remark source source-wild

9、card log,ACL 通配符掩码,通配符掩码使用以下规则匹配二进制 1 和 0: 通配符掩码位 0 匹配地址中对应位的值 通配符掩码位 1 忽略地址中对应位的值,ACL通配符掩码,Wildcard 和Subnet Mask的关系： 反掩码,ACL通配符掩码,any 和 host 关键字,将标准 ACLs 应用到接口,配置标准 ACL 之后，可以使用 ip access-group 命令将其关联到接口: Router(config-if)#ip access-group access-list-number | access-list-name in | out,将标准 ACLs 应用到接口

10、,Example1: 允许单个网络的 ACL 示例.,Example2: 查看拒绝特定主机的 ACL 示例.,Example3: 查看拒绝特定子网的 ACL 示例.,将标准 ACLs 应用到接口,使用 ACL 控制 VTY 访问： access-class 命令的语法是: access-class access-list-number in vrf-also | out,编辑编号 ACLs,您无法选择性地插入或删除语句行. 但可在文本编辑器（例如，Microsoft 记事本）中创建 ACL.,编辑编号 ACLs,对 ACL 添加注释：,创见标准命名 ACLs,图中显示了创建标准命名 ACL 的

11、步骤. Step 1.进入全局配置模式，使用 ip access-list 命令创建命名 ACL。ACL 名称是字母数字，必须唯一而且不能以数字开头. Step 2.在命名 ACL 配置模式下，使用 permit 或 deny 语句指定一个或多个条件，以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式.,监控和检验 ACLs,show access-lists,编辑命名 ACLs,从 Cisco IOS 软件第 12.3 版开始，命名 IP ACL 允许您删除指定 ACL 中的具体条目. 您可以使用序列号将语句插入命名 ACL 中的任何位置。,配置扩展 ACLs

12、,扩展 ACLs,为了更加精确地控制流量过滤，您可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL（最多可使用 800 个扩展 ACL）。您也可以对扩展 ACL 命名.,扩展ACLs,测试端口和服务,配置扩展 ACLs,配置扩展 ACL 的操作步骤与配置标准 ACL 的步骤相同 首先创建扩展 ACL，然后在接口上激活它.,配置扩展 ACLs,扩展 ACL 举例：,将扩展 ACL 应用于接口,将扩展 ACL 应用于接口,创建命名扩展 ACLs,怎样建立命名扩展 ACLs: Step 1.进入全局配置模式，使用 ip access-list extendedn

13、ame 命令创建命名 ACL. Step 2.在命名 ACL 配置模式中，指定您希望允许或拒绝的条件. Step 3.返回特权执行模式，并使用 show access-lists number | name 命令检验 ACL. Step 4. （可选）建议您使用 copy running-config startup-config 命令将条目保存在配置文件中.,配置复杂 ACLs,什么是复杂 ACLs?,复杂 ACL 的类型 在标准 ACL 和扩展 ACL 的基础上构建复杂 ACL，从而实现更多功能。图中的表格总结了复杂 ACL 的三种类型.,动态 ACLs,什么是动态 ACL? “锁和钥匙”

14、是使用动态 ACL（有时也称为锁和钥匙 ACL）的一种流量过滤安全功能 动态 ACL 依赖于 Telnet 连接、身份验证（本地或远程）和扩展 ACL。,动态 ACL 的优点?,使用询问机制对每个用户进行身份验证 简化大型网际网络的管理 在许多情况下，可以减少与 ACL 有关的路由器处理工作 降低黑客闯入网络的机会 通过防火墙动态创建用户访问，而不会影响其它所配置的安全限制,动态ACLs,何时使用动态 ACL? 您希望特定远程用户或用户组可以通过 Internet 从远程主机访问您网络中的主机. 您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机.,自反 ACLs,什么是自反AC

15、Ls? 此类 ACL 使路由器能动态管理会话流量. 路由器检查出站流量，当发现新的连接时，便会在临时 ACL 中添加条目以允许应答流量进入. 自反 ACL 仅包含临时条目. 自反 ACL 还可用于不含 ACK 或 RST 位的 UDP 和 ICMP. 自反 ACL 仅可在扩展命名 IP ACL 中定义.,自反 ACL 具有以下优点：,帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。 提供一定级别的安全性，防御欺骗攻击和某些 DoS 攻击。自反 ACL 方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。 此类 ACL 使用简单。与基本 ACL 相比，它可对进入网络的数据包实施更强的控制.,自反ACLs,自反ACL 示例,基于时间的 ACLs,什么是基于时间的 ACL? 基于时间的 ACL 功能类似于扩展 ACL，但它允许根据时间执行访问控制.,基于时间的 ACL 优点,在允许或拒绝资源访问方面为网络管理员提供了更多的控制权. 允许网络管理员控制日志消息。ACL 条目可在每天定