第12章访问控制列表配置

1、知识要点：使用防火墙是保护网络安全的主要措施之一，Cisco路由器的访问控制列表配置功能使其可作为包过滤防火墙使用。访问列表分为基本访问列表和扩展访问列表，前者基于源IP地址对数据包进行过滤，后者基于源、目标IP地址和协议等对数据包进行过滤。访问列表要绑定在路由器的接口上才能生效，在一个端口的一个方向上，只能绑定一条访问列表。基于代理的防火墙能提供比包过滤更高的安全性，它能够隐藏内部网络的IP地址。 PIX防火墙也是基于代理的防火墙，且它使用自己的操作系统PIX，其安全防护能力较强。配合路由器的包过滤与PIX的代理功能，设计两层或三层防火墙系统，是一种较为典型的Intranet防火墙安全系统构

2、架。12.1路由器对网络的安全保护计算机网络提供了本地或远程共享和传输数据的能力。也正因为如此，网络又面临安全风险，因为数据可能被窃取、篡改或删除。对于一个Intranet，安全风险可能来自Intranet内部，也可能来自外部。对来自外部的风险，首选防火墙技术进行防范。12.1.1防火墙防火墙的名字非常形象，在网络中的地位如它的名字所示，它是一道安全之墙。根据网络安全等级和可信任关系，将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的数据包通过，同时把安全策略不允许的数据包隔离开来。1.防火墙在网络中的位置与作用根据防火墙的物理位置，可把其分为

3、外部防火墙和内部防火墙。外部防火墙位于Intranet与Internet之间或Intranet与Intranet之间，内部防火墙则位于Intranet内部各个子网之间。防火墙无法防止来自防火墙内侧的攻击。防火墙对各种已知类型攻击的防御有赖于防火墙的正确的配置；对各种最新的攻击类型的防御则取决于防火墙软件更新的速度和相应的配置更新的速度。防火墙一方面阻止来自Internet的对Intranet的未授权或未验证的访问，另一方面允许内部网络的用户对Internet进行访问，还可作为访问的权限控制关口，如只允许Intranet内的特定的人可以出访。防火墙同时还具有一些其他功能，如进行身份鉴别，对信息进

4、行加密处理等。防火墙不仅可用于对Internet的连接防护，也可以用来在Intranet之间和Intranet内部保护重要的设备和数据。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自Intranet内部。防火墙保护的最小单元可以是单台主机，这时在该机上安装防火墙软件。当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙就起到了一个“滤网”的作用，可以将需要禁止的数据包在这里过滤掉。2. 网络层防火墙与应用层防火墙通常可把防火墙分为两大类：网络层防火墙和应用层防火墙。1）网络层防火墙网络层防火墙主要获取数据包的包头信息，如协议号、

5、源地址、目的地址和目的端口等，或者直接获取包头的一段数据，经过与既定策略比较后确定数据包的取舍。网络层防火墙主要的功能如下：包过滤(Packet Filter)对每个数据包按照用户所定义规则进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是80或者大于等于1 024的数据包通过，则只要在端口符合该条件，数据包便可以通过此防火墙。代理(Proxy)通常情况下指的是地址代理，一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。例如，一个公司内部网络的地址是网

6、段，而公司对外的合法IP地址是，则内部的主机0通过浏览器以WWW方式访问Internet上的某一WWW服务器时，在通过代理服务器后，IP地址和端口可能为：4001。在代理服务器中维护着一张地址对应表，当外部网络的WWW服务器返回结果时，代理服务器会将此IP地址和端口转化为内部网络的IP地址和端口80。代理服务器阻止了所有的外部网络的主机与内部网络之间的直接访问，所有的通信都必须通过它来“代理”实现。这样就可起到对特定资源的保护作用。网络地址转换（NAT）基于端口的NAT的原理和安全性与代理服务器类似。2

7、）应用层防火墙应用层防火墙则对整个信息流进行分析，然后按既定策略确定数据包的取舍。常见的应用层防火墙按作用机制大致有以下两种：应用网关(ApplicationGateway)检验通过此网关的所有数据包中的应用层的数据。如FTP应用网关，对于连接的Client端来说是一个FTP Server，对于Server端来说是一个FTP Client。连接中传输的所有FTP数据包都必须经过此FTP应用网关。电路级网关(Circuit-LevelGateway)此电路指虚电路。在TCP发起一个连接之前，验证该会话的可靠性。只有在握手被验证为合法且握手完成之后，才允许数据包的传输。一个会话建立后，此会话的信息

8、被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口时，才被允许通过。会话结束时，该会话在表中的入口被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过，在该连接上可以运行任何一个应用程序。以FTP为例，电路层网关在一个FTP会话开始时，在TOP层对此会话进行验证。如果验证通过，则所有的数据都可以通过此连接进行传输，直至会话结束。3.硬件防火墙与软件防火墙防火墙产品按形态又可分为硬件防火墙和软件防火墙。防火墙的功能都是靠软件来实现，所谓硬件防火墙是指软件固化在存储器芯片中的防火墙；所谓软件防火墙则是指需要安装在通用计算机上才能使用的防火墙软件。12.1.

9、2路由器的防火墙功能路由器的主要功能是发现到达目标网络的路径，但也可用做防火墙，算是一种功能较为简单的硬件防火墙。一般路由器的防火墙功能主要是基于包过滤和网络地址转换NAT。此外，还能提供其他一些安全防护功能。Cisco路由器的网络安全防护功能主要有：AAA服务验证(Authentication)、授权(Authorization)和记账(Accounting)。安全服务器协议RADIUSRADIUS是一种分布式客户服务器系统，通过AAA实现网络访问安全，禁止未授权的访问。验证协议在PPP线路上支持CHAP和PAP 等验证。包过滤用访问控制列表实现，允许指定可以通过(或禁止通过)路由器的数据包

10、类型。地址转换隐藏内部IP地址。事件日志可用于记录系统安全方面事件，实时跟踪非法侵入。相邻路由器验证确保交换所交换路由信息的可靠性。终端访问用户安全命令行分级保护，特权用户口令，防止未授权用户的非法侵入。本章主要介绍Cisco路由器的包过滤功能和Cisco PIX防火墙。12.2访问列表配置路由器的包过滤是通过配置访问列表来实现的。路由器配置访问列表可以控制网络流量，按规则过滤数据报文，提高网络的安全性。12.2.1两种访问列表当外部数据包进或出路由器的某个端口时，路由器首先检查该数据包是否可以传送出去，该端口中定义了数据包的过滤规则，如果包过滤规则不允许该数据包通过，则路由器将丢掉该数据包；

11、否则该数据包通过路由器。包过滤规则称为访问列表。访问列表有两种，对于IP，IPX或Apple Talk网络，其过滤规则有差异，IP网络的称为IP 访问列表（Access List），包括：标准IP访问列表该种包过滤规则只对数据包中的源地址进行检查。扩展IP访问列表该种包过滤规则对数据包中的源地址、目的地址、协议（如TCP，UDP，ICMP，Telnet，FTP等）或者端口号进行检查。1.标准IP访问列表与通配符掩码1)标准IP访问列表标准访问列表使得路由器通过对源IP地址的识别来控制来自某个或某一网段的主机的数据包的过滤。在全局配置模式下，标准IP访问列表的命令格式为：Access-list

12、access-list-number deny | permitsource-ip-addreswildcard-mask其中，access-ist-number为列表号，取值199；deny | permit意为“允许或拒绝”，必选其一，source-ip-address为源IP地址或网络地址；wildcard-mask为通配符掩码。该命令的含义为：定义某号访问列表，允许（或拒绝）来自由IP地址和通配符掩码确定的某个或某网段的主机的数据通过路由器。2) 通配符掩码通配符掩码的作用与子网掩码类似，与IP地址一起使用，以确定某个主机或某网段（或子网或超网）的所有主机。通配符掩码也是32b的二进制

13、数，与子网掩码相反，它的高位是连续的0，低位是连续的1。它也常用点分十进制来表示。IP地址与通配符掩码的作用规则是：32b的IP地址与32b的通配符掩码逐位进行比较，通配符为0的位要求IP地址的对应位必须匹配，通配符为1的位所对应的IP地址的位不必匹配，可为任值（0或1）。例如：IP地址|11000000 10101000 00000001 00000000通配符掩码55|00000000 00000000 00000000 11111111该通配符掩码的前24b为0,对应的IP地址位必须匹配，即必须保持原数值不变。该通配符掩码的后8b为1,对应的IP地址位

14、不必匹配，即IP地址的最后8b的值可以任取，就是说，可在0000000011111111之间取值。换句话说，55代表的就是IP地址.154共254个。又如：IP地址6|10000000 00100000 00000100 00010000通配符掩码5|00000000 00000000 00000000 00001111该通配符掩码的前28b为0,要求匹配，后4b为1,不必匹配。即是说，对应的IP地址前28b的值固定不变，后4b的值可以改变。这样，该IP地址的前24b用点分十进制表示

15、仍为128.32.4，最后8b则为0001000000011111，即1631。即是说，5代表的是IP地址61共16个。3）通配符掩码使用举例例12.1全0的通配符掩码是默认的掩码，要求对应IP地址的所有位都必须匹配。故例一表示的就是IP地址本身，在访问列表中亦可表示为host 例.055全1的通配符掩码表示对应的IP地址位都不必匹配。也就是说，IP地址可任意。故例中表示的就是任意的主机IP地址，在访问列表中

16、亦可表示为any例12.355表示网络中的所有主机的IP地址。2. 扩展IP访问列表扩展访问列表除了能与标准访问列表一样基于源IP地址对数据包进行过滤外，还可以基于目标IP地址，基于网络层、传输层和应用层协议或者端口号，对数据包进行控制。在全局配置模式下，命令格式为：access-list access-list-number deny | permitprotocol | protocol-keywordsource-ip wildcardmask destination-ip wildcard maskother parameter

17、s 各参数的含义见表12.1。表12.1IP访问列表的参数及含义参数含义Protocol | protocol-keyword协议或 协议标识关键字，包括ip、eigrp、ospf、gre、icmp、igmp、igrp、tcp、udpSourceip-address源地址Destination-ip-address目标地址Wildcard mask通配符掩码access-list-number访问列表号，取值100199在其他可选参数（otherparameters）中，最常用的是eqprotocol-name | port-number含义为对协议或其端口进行匹配。例如，要允许或拒绝文件传输

18、，则该项配置就写成eqftp | 21常用的协议及其端口号如表12.2所示。表12.2常用的协议及其端口号协议名称TCPEchoUDPFTPTelnetSMTPTAC端口号671721232549协议名称DNSFingerHTTPPOP2POP3BGPLogin端口号537980109110179513一条控制列表可以包含一系列检查条件。即可以用同一标识号码定义一系列accesslist语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个语句的条件，则执行该语句；如果数据包不满足规则中的所有条件，Cisco路由器默认禁止该数据包通过，即丢掉该数据包。也可以认为，路由器在访问列表最后默认

19、一条禁止所有数据包通过的语句。12.2.2 IP访问控制配置配置标准或扩展IP访问列表后，再把列表作用（绑定）在路由器的某个端口上，就完成了访问控制的配置。控制列表的绑定在接口配置模式下进行。绑定端口的命令格式为：ipaccess-groupaccess-list-numberout | in其中，access-list-number 为访问列表号，out 表示在数据包从路由器出去的端口上进行检查，in则表示在数据包进入路由器的端口上进行检查。Cisco路由器默认的是在出口上进行检查。1.标准IP访问列表配置举例例12.4在如图12.1所示的网络中，要求在这个网段上只允许

20、主机访问网段2，网段3()可以访问网段2,其他的任何主机对网段2的访问均被拒绝。试写出访问控制列表配置。图12.1路由器的访问控制列表配置配置如下：router(config)# access-list 10 permit router(config)# access-list 10 permit 55/最后是默认语句access-list 10denyany。router(config)# interface ethernet 0router(config-if)# ip ac

21、cess-group 10 out例12.5在如图12.1所示的网络中，若要求只允许网段2的主机使用Telnet登录路由器，试进行访问控制配置。配置如下：router(config)# access-list 16permit 55/建立访问列表16号。router(config)# line vty 0 4/建立04号共5个虚拟终端端口。router(config-line)# access-class 16in/把16号访问列表绑定在虚拟端口上，注意此处是access-class而不是access-group。2.扩展IP访问列表配置举例例12.6在如图

22、12.2所示的网络中，要求允许网段3的所有主机能登录Internet,但只能浏览WWW；要求网段2中的这四台主机可向Internet提供WWW，SMTP和FTP服务，其余主机不能被Internet访问，试进行访问控制配置。图12.2把访问列表绑定在两个端口(E1和S1)上本例先在全局配置模式下配置扩展访问列表，然后分别绑定在E1和S0口：access-list 101 permit tcp 55 any eq www|http|80access-list 101 permit tcp any 192.168.1

23、.4 eq www|http|80access-list 101 permit tcp any eq smtp|25access-list 101 permit tcp any eq ftp|21注意: 即表示主机。interface ethernet 1ip access-group 101 ininterface serial 1ip access-group 101 in本例更简单的做法是绑定在E0口上，效果与上面

24、相同。12.3 Cisco PIX 防火墙简介在路由器上配置访问控制列表，使其作为包过滤防火墙使用。但是，路由器对访问列表的处理要占用内存和CPU资源，传输性能会受到影响。而且，包过滤功能的防护能力也较弱，黑客攻击时容易突破。12.3.1 Cisco PIX防火墙配置若要对网络提供足够的安全性，需要使用专用的防火墙。Cisco PIX 防火墙也是基于代理服务的防火墙。大多数提供代理服务的专用防火墙是基于UNIX系统的，也有部分是基于Windows NT/2000系统的。而这些操作系统本身存在安全漏洞。Cisco的PIX防火墙，它运行的是自己专有的操作系统PIX(Private Internet

25、 Exchange,私有Internet交换)，故它对试图破坏安全性的攻击具有较强的防护能力。另外，PIX的配置也十分简单，主要的步骤就是指定一个IP地址和一个用于外部访问的地址库，一个针对内部连接的IP地址等。1. 建立本地配置环境用Console线缆连接PIX与PC，线缆一端接到PIX的Console口，一端接到PC的串口，在PC上运行超级终端程序；检查电源系统，确认无误后给PIX上电。PIX启动过程在PC屏幕上显示，最后进入PIX系统，出现系统提示符pixfirewall此时就可以对PIX进行配置了。2.基本配置a进入特权用户模式和全局配置模式。pixfirewallenablepixf

26、irewall#configure terminalpixfirewall(config)#b在全局配置模式下配置以太网端口参数。interface ethernet0 autointerface ethernetl auto/auto选项设置系统自适应网卡的类型。c配置内外网卡的IP地址和子网掩码。ip address insideip-address netmaskip address outsideip-address netmaskd指定全局（外部）地址范围。globalip-address-ip-addresse指定要进行转换的内部地址。nat 1ip-address netmask

27、f配置指向内部网络和外部网络的默认路由。route inside 0 0 insede-default-router-ip-addressroute outside 0 0 outside-default-router-ip-addressg指定静态IP地址映射。static outside ip-address inside ip-addressh配置telnet选项。telnet local-ip netmask/该项配置允许网络中的计算机通过telnet程序对PIX进行配置，local-ip 为被允许通过telnet访问PIX的IP地址。i设置控制参数。conduit global-ip

28、portportprotocol foreign-ipnetmask/其中global-ip为要控制的全局地址；port为所作用的端口，其中0代表所有端口；protocol为连接协议，如TCP、UDP等；foreign-ip 表示可访问 global-ip的外部IP地址，其中0代表所有的IP。j保存配置。write memory12.3.2 Cisco PIX 防火墙的典型应用使用CiscoPIX防火墙的企业网络的典型构架如图12.3所示。在图中，采用了三级防火墙系统，PIX用做堡垒主机，是系统的核心设备。图中各设备的IP地址如下：图12.3PIX用做堡垒主机的防火墙系统R1的局域网口61.1

29、68.2.2/24PIX外部地址/24R2相邻PIX端 /24WWW Server/24PIX内部地址/24Admin Client/24FTP Server/24Mail Server1. 防火墙系统构架该防火墙系统由外部防火墙R1，PIX防火墙和内部防火墙R2三部分组成，R1和R2就由路由器充当。外部防火墙R1是网络的第一道安全防线，它的作用一是保护PIX防火墙免受直接攻击，二是保护WWW和FTP服务器。同时还作为一个警报系统，在发现非法访问时立即向位

30、于网管工作站上的系统日志服务器发送事件记录信息，向网络管理员报警。内部防火墙R2是网络的最后一道安全防线，它是进入内部网络的入口。R2在配置时与PIX进行功能互补。配置PIX防火墙后，PIX防火墙外部的攻击者无法在外部连接上找到可以连接的开放端口，也不能判断出内部网络任何一台主机的IP地址。R2则进行包过滤配置，凡是以内部网络为目标的数据包，均拒绝通过R2。这样，即使黑客发现了内部网络主机的IP地址，也不可能直接对它们进行连接。这样就可实现对整个内部网络的有效保护。2.防火墙系统的配置a. 配置PIX：ip address outside / 配置PIX防火墙的外部地址ip

31、 address inside / 配置PIX防火墙的内部地址global 1 54/ 设置全局地址范围nat 1 / 允许网络地址被PIX转换成全局地址static / 邮件服务器Mail Server静态地址映射static 172 .16.2.4/ 网管工作站Admin Client静态地址映射mailhost / 允许从外部发起的对邮件服务器的连接conduit 1 5

32、14 udp / 允许R1发送系统日志包通过PIX到网管工作站telnet /允许网络管理员通过telnet远程登录PIX防火墙syslog facility 20.7syslog host / 在网管工作站的日志服务器上记录所有事件日志b. 配置R1：no service tcp small servers/ 阻止对路由器R1本身的攻击。logging trap debugging/ 记录路由器 R1上的所有事件。logging /允许把所有事件记录发送到网管工作站（系统日志服务器）上。enable secre

33、t interface ethernet 0ip address interface serial 0ip unnumbered ethernet 0ip acess-group 101 in/ 在广域网口上绑定access-list 101access-list 101 deny ip 55 any log / 禁止任何显示源IP地址为网段的数据包进入R1以防止欺骗攻击，并记录日志access-list 101 deny ip any host /禁止对PIX防火墙外部端口

34、的直接访问并记录日志access-list 101 permit tcp any 55 established/允许已建立TCP会话的数据包通过。access-list 101 permit tcp any host eq ftp/允许访问FTP服务器。access-list 101 permit tcp any host eq ftp data/允许和FTP服务器的数据连接access-list 101 permit tcp any host eq www/ 允许访问WWW服务器access-list 101 permit ip