访问控制列列表

原创

菜鸟飞来 2012-12-05 23:09:39 ©著作权

文章标签 访问控制列表 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者菜鸟飞来的原创作品，请联系作者获取转载授权，否则将追究法律责任

1、ACL访问控制列表概述

访问控制列表时应用在路由器接口的命令列表，这些命令列表告诉路由器哪些ip数据包可以接受、哪些ip数据包需要拒绝。至于ip数据包时被接受还是被拒绝，可以是由源ip地址、目的ip地址、源端口和目的端口、协议等特定的指示条件来确定。

通过建立访问控制列表，路由器可以限制网络流量，提高网路性能，对通信流量起到控制的作用，实现对流入和流出的ip数据包进行过滤，这也是网络访问的基本安全手段，换句话说，路由器的访问控制列表可以实现包过滤防火墙的作用。

在路由器的许多配置任务中都需要用到访问控制列表，如网络地址转换NAT、Qos等。

2、访问控制列表的分类

标准访问控制列表：只能针对ip数据包的源ip地址来决定是否过滤数据包，思科编号1~99。

‚扩展访问控制列表：根据ip数据包的源地址、目的地址、源端口、目的端口和协议类型来决定是否过滤数据包，应用要比标准的灵活，思科编号100~199。

3、当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃.

ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：

源 IP 地址

目的 IP 地址

ICMP 消息类型

ACL 也可以提取上层信息并根据规则对其进行测试。上层信息包括：

TCP/UDP 源端口

TCP/UDP 目的端口

4、ACL 执行以下任务:

---限制网络流量以提高网络性能.

---提供流量控制，ACL 可以限制路由更新的传输.

---提供基本的网络访问安全性。

---ACL 可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。

---决定在路由器接口上转发或阻止哪些类型的流量。

---控制客户端可以访问网络中的哪些区域。

---屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型，例如 FTP 或 HTTP.

5、

6、ACL要么用于入站流量，要么用于出站流量，这里的出站和入站指的是数据包；流出和流入路由器。入站ACL传入数据包经过处理后才会被路由到出站接口。入站ACL很高效，如果数据包被丢弃则节省了执行路由的开销。当检查了ACL允许通过的时候，路由器才会处理路由工作。出站ACL对路由到这个接口的数据包进行处理。

7、思科的是默认决绝所有通过，所以如果指定的规则都是拒绝型的将没有任何的意义；华为的正好相反，是允许所有的通过。

8、创建控制访问控制类列表的步骤：

创建访问控制列表

‚定义允许或禁止ip数据包的描述语句

ƒ将访问控制列表应用到具体的路由器接口上

标准访问控制列表实例一：只允许一台主机访问外网，通过编号进行配置

如图，路由器上有两个接口，快速以太网接口f0/0连接内网，f0/1连接外网，外网我用一台pc来模拟，假设现在我要求只允许内网ip地址为210.30.10.20的主机访问外网，禁止其他的pc访问外网，该如何来做呢？

各设备的ip参数如下，设置这些参数的过程省略，下面只看在路由器上应该如何来配置，这里我用packet trace5.3来实现: