1 ACL 概述
ACL基本上是一个命令集,通过编号或命名组织在一起,用来过滤进入或者离开接口的流量。 ACL 是firewall的前身
ACL命令明确了允许哪些流量以及拒绝哪些流量
入站:流量进入接口
出站:在流量流出接口前
2 访问控制列表使用目的:
(1)限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞 。
(2)提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量
(3)提供了网络访问的一种基本安全手段。例如在公司中允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器
(4)在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量
3 数据包和访问列表向比较时遵循的重要规则:
(1)通常是按顺序比较访问列表的每一行。
比较访问列表的各行直到比较到匹配的一行。一旦数据包 与访问列表的某一行匹配,遵照规定行事,不再进行后续比较。
(2)在每个访问列表的最后是一行隐含 “deny any any ”语句;意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
4 访问列表类型:
(1).标准的访问列表:只使用标准的访问列表:只使用IP 数据包的源IP地址作为测试的
条件。所有决定都是基于源条件。所有决定都是基于源IP地址,这意味着标准的访问列表基本上允许或拒绝整个协议组。它们不区分 IP流量,如www telnet 。将IP 标准的访问列表尽可能放置在靠近目的地址的位置。
(2).扩展的访问列表:可以测试扩展的访问列表:可以测试IP 包的第3 层和4层报头中的其它字段。它们测试源 IP和目的 IP地址、网络层报头中的协议字段,以及位于传输层报头中的端口号。这使得扩展的访问列表具有在控制流量时做更细的决定。将IP 扩展的
访问列表尽可能放置在靠近源地址的位置。
(3).命名的访问列表(基于标准和扩展之间的) 在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前
编号范围是从1 到 到99 ,1300---1999的访问控制列表是标准IP访问控制列表
编号范围是从100到 99,2000--2699的访问控制列表是扩展IP访问控制列表
标准IPX 访问控制列表的编号范围是800 ----899
扩展IPX 访问控制列表的编号范围是900 ----999
在一个接口的输入方向和输出方向使用不同的访问
5访问列表配置注意事项
(1)访问列表的编号指明了使用何种协议,每个端口、每个方向、每条协议只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面
(2)在访问列表的最后有一条隐含声明: deny any-每一条正确的访问列表都至少应该有一条允许语句
(3)先创建访问列表,然后应用到端口上
(4)访问列表不能过滤由路由器自己产生的数据
(5)将IP 标准的访问列表尽可能放置在靠近目的地址的位置 ,将IP扩展的访问列表尽可能放置在靠近源地址的位置
6访问控制列表使用原则 访问控制列表使用原则
(1)、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2)最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的语句。
(3)默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL 中加入了DENY DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
7在一个接口上配置访问表需要三个步骤:
(1)定义访问表
(2)指定访问表所应用的接口;
(3)定义访问表作用于接口上的方向。
8 TCP和UDP 的操作符
|
操作符
|
说明
|
|
lt |
小于
|
|
gt |
大于
|
|
neq |
不等于 |
|
eq |
等于 |
|
rang
|
端口号范围
|
9 ACL的局限性
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到应用内部的权限级 识别到具体的人等。因此,要达到end to end 的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 用访问控制列表 (ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。它不是由路由器自己产生的。每一个接口的每一种协议只能有一个访问表。
实验部分正在录制中……
