ACL详解 访问控制列表.docx

1、ACL详解 访问控制列表访问控制列表本质上是一系列对包进行分类的条件。在需要控制网络流量时，它们真的是非常有用。最常出现的和最容易理解的使用访问列表的情况是，实现安全策略时过滤不希望通过的包。 使用访问列表条件： 管理网络中逐步增长的IP数据； 当数据通过路由器时进行过滤。 访问列表分类： 标准的访问列表：只使用IP数据包的源IP地址作为条件测试；通常允许或拒绝的是整个协议组；不区分IP流量类型，如：www、Telnet、UDP等服务。 扩展的访问列表：可测试IP包的第3层和第4层报头中的其他字段；可测试源IP地址和目的IP地址、网络层的报头中的协议字段，以及位于传输层报头中的端口号。 命名的

2、访问列表：嗨，等一下，不是说有两种访问列表，但却出现了第三种！好，从技术上来说实际上只有两种，命名的访问列表可以是标准的或扩展的访问列表，并不是一种真正的新类型列表。我只是对它区别对待，因为它们的创建和使用同标准的和扩展的访问列表不相同，但功能上是一样的。 一旦创建了访问列表，在应用之前它还并没有真正开始起作用。它是在路由器中存在，但还没有激活，直到你告诉那台路由器用它们做什么用之后才起作用。若要使用访问列表做包过滤，需要将它应用到路由器的一个想过滤流量的接口上，并且还有为其指明应用到哪个方向的流量上。即要绑定接口，绑定的接口有两种，要么入口，要么出口。 入口访问列表：当访问列表被应用到从接口

3、输入的包时，那些包在被路由到接口之前要经过访问列表的处理。不能路由任何被拒绝的包，因为在路由之前这些包就会被丢弃掉。 出口访问列表：当访问列表被应用到从接口输出的包时，那些包首先被路由到输出接口，然后再进入该接口的输出队列之前经过访问列表的处理。如图：访问控制列表指南： 1.通常，按顺序比较访问列表的每一行，如从第一行开始，然后转到第二行、第三行等等； 2.比较访问列表的各行，直到找到匹配的一行。一旦数据包域访问列表的某一行匹配，遵照规定行事，不再进行后续比较； 3.在每个访问列表的最后是一行隐含“deny（拒绝）”语句意味着如果数据包与前面的所有行都不匹配，将被丢弃； 4.每个接口、每个协议

4、或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表，每个接口只能有一个入口访问列表和一个出口访问列表； 5.组织好访问列表，要将最特殊的测试放在访问列表的最前面； 6.任何时候访问列表添加新条目时，将把新条目放置到列表的末尾（强烈推荐使用文本编辑器编辑访问列表）； 7.不能从访问列表中删除一行。如果试着这样做，将删除整个列表。最好在编辑列表之前将访问列表复制到一个文本编辑器中。只有使用命名访问列表时例外； 8.除非在访问列表末尾有permit any命令，否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句，否则将会拒绝所有流量； 9.先创建访问列表，

5、然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量； 10.访问列表设计为过滤通过路由器的流量，但不过滤路由器自身产生的流量； 11.将IP标准的访问列表尽可能的放置在靠近目的地址的位置。这是因为我们并不真的要在自己的网络内使用标准的访问列表。不能将标准的访问列表放置在靠近源主机或源网络的位置，因为这样会只过滤基于源地址的流量，而造成不能转发任何流量； 12.将IP扩展的访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议，那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置，可

6、以在它使用宝贵的带宽之前过滤掉此流量。 下面是访问列表的一个允许和拒绝的测试图，希望可以帮助大家理解：使用ACL降低安全威胁 下面列出了许多可使用ACl降低的安全威胁： IP地址欺骗，对内/对外； 拒绝服务（DoS）TCP SYN 攻击，阻塞外部攻击； DoS TCP SYN 攻击，使用TCP截取； DoS smurf 攻击； 过滤ICMP信息，对内/对外； 过滤traceroute。 一般明智的做法是不允许任何包含内网中任一主机或网络源地址的IP包进入专用网络一定要禁止。 下面列出了一些从因特网到企业网中配置ACL时减轻安全问题的规则： 拒绝任何来自内部网络的地址 拒绝任何本地主机地址（12

7、7.0.0.0/8） 拒绝任何保留的专用地址 拒绝任何IP组播地址范围（224.0.0.0/24）之中的地址 上述所有地址都不应该允许进入你的内部网络。标准的访问列表： 标准的IP访问列表通过使用IP包中的源IP地址过滤网络流量。可以使用访问列表编号199或13001999（扩展的范围）创建标准的访问列表。通过使用199或13001999,就可以告诉路由器你要创建的是标准访问列表，所以路由器将只分析测试行中的源IP地址。 下面列举出许多可用于过滤网络流量的访问列表编号范围（根据IOS版本的不同，可以指定的协议也不同）：作用： 限制网络流量，提高网络性能； 提高流量控制功能； 提供网络访问基本安

8、全级别； 在路由接口决定哪种流量被转发或阻塞。 通配符： 通配符和访问列表一起用来指定一台主机、一个网络、一个网络或几个网络内的某个范围。通配符和主机或网络地址一起使用来告诉路由器要过滤的有效地址范围。要指定一台主机，地址应当如下：172.16.30.5 0.0.0.0 4个零代表每个八位位组地址。无论何时出现零，都意味着地址中的八位位组必须精确匹配。使用255，可指定一个八位位组可以是任何值。详细参见路由器OSPF协议的配置 CISCO之CCNA篇实验之四 扩展的访问列表：用标准的IP访问列表不能实现让用户只到达一个网络服务但不能到达其他服务的目标。从另一个方面讲，当你需要根据源地址和目的地

9、址做决定时，标准的访问列表不允许那样做，因为它只能根据源地址做决定。但是扩展访问列表可以实现。因为扩展的访问列表允许指定源地址和目的地址，以及标识上层协议或应用程序的协议和端口号。通过使用扩展的访问列表，可以在有效地允许用户访问物理LAN的同时，不允许访问特定的主机或者甚至那些主机上的特定服务。 下面是一个扩展的IP访问列表的例子：可以支持的扩展访问列表编号范围是100199。注意，20002699也是扩展的IP访问列表的可用编号范围。可支持的策略（拒绝、动态、允许、标记）以及支持的不同协议类型，可支持的拒绝tcp的源IP地址及目的IP地址（范围），可支持的拒绝的不同条件，可支持的拒绝的具体协

10、议或者端口号，命名的访问控制列表： 正如前面提到的，命名访问列表仅仅是创建标准的访问列表和扩展的访问列表的另一种方法。在大型企业中，访问列表的管理会变得很难操作。例如，当需要修改一个访问列表时，经常要将访问列表复制到一个文本编辑器中，修改号码，编辑列表，然后将新的列表复制回路由器。这样做，可以只简单地将接口上的访问列表的旧号码修改为新号码，并且在网络上不能一刻没有访问列表。问题出现了，我们怎么处理旧的访问列表呢？删除它？或是保存起来以防新的列表出问题时可以修改回去？以后怎么办在路由器上出现一大堆没有应用的访问列表。它们过去的作用是什么？还需要它们吗？会出现很多问题，命名的访问列表是解决这些问题

11、的答案。 在创建和应用标准的或扩展的访问列表时，都允许使用命名的访问列表。除了能够给人一点参考提示外，这种访问列表没有任何新的或不同的功能。但是语法略有变化，所以让我们介绍下命名的访问列表创建的语法：命名的标准访问列表语法： Lab(config)#ip access-list standard Lab(config-sta-nacl)#deny host 源IP地址 Lab(config-sta-nacl)#permit any Lab(config)#int s0/0 Lab(config-if)#ip access-group out 命名的扩展访问列表语法： Lab(config)#i

12、p access-list extended Lab(config-sta-nacl)#deny tcp host 源IP地址 host 目标IP地址 条件（多为eq） 协议/端口 Lab(config-sta-nacl)#permit ip any any Lab(config)#int e0/0 Lab(config-if)#ip access-group in 控制VTY（Telnet）访问（虚拟通道） 阻止用户远程登录到大型路由器是非常困难的，因为路由器上的活动端口是允许VTY访问的。你可以尝试创建一个扩展的IP访问列表来限制远程登录到路由器的IP地址上。但是如果你那样做了，就不得不将

13、访问列表应用到每个接口的入口方向上，并且对一个具有十几个甚至上百个接口的大型路由器来说不是很好的办法，是不是？这里有更好的解决方案：使用标准的IP访问列表控制访问VTY线路。 为什么这样做呢？当你将访问列表应用到VTY线路上时，不需要指定Telnet协议既然访问VTY就隐含了终端访问的意思；也不需要指定目的地址既然不关心用户使用哪个接口作为远程登录会话的目标接口。只需控制用户从哪里来它们的源IP地址。 要执行此功能，按照下列步骤实现： 1.创建一个标准IP访问列表，只允许那些你希望的主机能够远程登录到路由器； 2.使用access-class命令将此访问列表应用到VTY线路。 这是一个只允许主

14、机172.16.10.2远程登录到该路由器的例子： Lab(config)#access-list 80 permit host 172.16.10.2 Lab(config)#line vty 0 4 Lab(config-line)#access-class 80 in 自反访问控制列表： 这些访问控制列表依据上层会话信息过滤IP包，并且它们统称允许出口流量通过，而对入口流量进行限制。你无法使用编号的或是标准的IP访问列表或是任何其他协议的访问控制列表来定义自反访问控制列表。自反访问控制列表可随同其他标准或是静态的扩展访问列表一起使用，但是它们只能用扩展的命名IP访问控制列表定义。基于时间

15、的访问控制列表： 基于时间的访问控制列表有许多功能和扩展访问控制列表相似，但是它们的访问控制类型完全是面向时间的。可指定在某时某刻在特定的时间将网络断开或指在此时间段有网，应用非常灵活，后面再详细介绍。前文我们已经提到了标准的访问列表，下面就用两个实例来详细介绍下具体的应用。标准ACL配置语法： Lab(config)#access-list 1-99 permit/deny 源IP地址/网段 目标IP地址/网段 或者是Lab(config)#access-list 1-99 permit/deny host 源IP地址/网段 Lab(config)#access-list 1-99 perm

16、it any （若禁用某个IP需要把其他的设置打开） Lab(config)#interface interface-number （把访问列表绑定到端口上） Lab(config-if)#ip access-group 1-99 in/out 下面以一个具体的IP实例写（实际这要根据你的需要而写），帮助大家理解： Lab(config)#access-list 10 deny 192.168.1.10 0.0.0.0 或Lab(config)#access-list 10 deny host 192.168.1.10 Lab(config)#access-list 10 permit any

17、 Lab(config)#int s0/0 Lab(config-if)#ip access-group 10 out标准ACL实验一：只禁用PC1对R2的任何访问实验均是用的Packet Tracer 5.0模拟器，具体实验拓扑如下： 路由器R1上需要的配置（基本配置见上图）下面都是直接复制了路由器里配置后的命令： r1r1en r1#sh run Building configuration. Current configuration : 534 bytes ! version 12.2 no service password-encryption ! hostname r1 ! ! !

18、 ! ! ip ssh version 1 ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/0 ip address 172.16.1.1 255.255.255.0 ip access-group 10 out clock rate 64000 ! interface Seri

19、al0/1 no ip address shutdown ! ip classless ! ! access-list 10 deny host 192.168.1.2 access-list 10 permit any ! ! ! line con 0 line vty 0 4 login ! ! end 路由器R2上需要的配置（基本配置见上图） r2r2en r2#sh run Building configuration. Current configuration : 463 bytes ! version 12.2 no service password-encryption ! h

20、ostname r2 ! ! ! ! ! ip ssh version 1 ! ! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/0 ip address 172.16.1.2 255.255.255.0 ! interface Serial0/1 no ip address shutdown ! ip clas

21、sless ip route 192.168.1.0 255.255.255.0 172.16.1.1 ! ! ! ! ! line con 0 line vty 0 4 login ! ! end 实验结果：先来看下面的图（实践是检验真理的唯一标准）：从图片上不难看出，只有PC1不能ping通R2，其他两台主机可正常通讯。那有人可能会问：是不是PC1和R1之间不能通讯导致和R2不能通讯呢？那我们就来看下PC1和R1之间是否可以正常通讯,看过这个结果后，相信大家就明白实验的目的已经达到了，只禁用了PC1对R2的任何访问，其他条件不受影响。 标准ACL实验二：只允许PC1对R1进行Telnet

22、路由器R1上需要的配置（基本配置见上图）r1en r1#sh run Building configuration. Current configuration : 546 bytes ! version 12.2 no service password-encryption ! hostname r1 ! ! ! ! ! ip ssh version 1 ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no

23、 ip address duplex auto speed auto shutdown ! interface Serial0/0 ip address 172.16.1.1 255.255.255.0 ip access-group 10 out clock rate 64000 ! interface Serial0/1 no ip address shutdown ! ip classless ! ! access-list 10 permit host 192.168.1.2 ! ! ! line con 0 line vty 0 4 access-class 10 in passwo

24、rd cisco login ! ! end 路由器R2上需要的配置（基本配置见上图） r2 r2en r2#sh run Building configuration. Current configuration : 463 bytes ! version 12.2 no service password-encryption ! hostname r2 ! ! ! ! ! ip ssh version 1 ! ! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastE

25、thernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/0 ip address 172.16.1.2 255.255.255.0 ! interface Serial0/1 no ip address shutdown ! ip classless ip route 192.168.1.0 255.255.255.0 172.16.1.1 ! ! ! ! ! line con 0 line vty 0 4 login ! ! end这里就用到了控制VTY（Telnet）访问（虚拟通道）（语法可参

26、考上篇文章访问控制列表（ACL）简介 CISCO之CCNA篇之七（1），在R1上做相关的配置，最后看实验的结果，从上面的三个图片不难看出，只有在PC1上输入了正确的密码后可以Telnet登录到R1上，而PC2和PC3都是拒绝的（Connection refused by remote host远程连接主机被拒绝）。当然在实际中是 不允许使用Telnet登录的，这样很不安全，应用SSH远程登录，不过我们这里是为了做虚拟通道的实验，暂不考虑安全问题。标准的访问列表就介绍到这里，后面为大家实验介绍扩展访问列表，敬请关注！在访问控制列表（ACL）简介 CISCO之CCNA篇之七（1）这篇文章中我们已经

27、提到了标准的访问列表，下面就用两个实例来详细介绍下具体的应用。 扩展访问控制列表语法： Lab(config)#access-list 100-199 permit/deny 协议 源IP 源IP反码 目标IP 目标IP反码 条件eq 具体协议/端口号 举个语法实例，便于大家理解： Lab(config)#access-list 101 deny tcp 192.168.1.10 0.0.0.0 172.16.1.2 0.0.0.0 eq telnet 或Lab(config)#access-list 101 deny tcp host 192.168.1.10 host 172.16.1.2

28、 eq 23 注意：只禁用某个服务（或某个端口）需要把其他设置打开 Lab(config)#access-list 101 permit ip any any Lab(config)#int fa0/0 (绑定到接口上) Lab(config-if)#ip class-group 101 in 注：eq 等于；gt 大于；lt 小于；neq 不等于。扩展ACL实验一：只禁用PC0对外网服务器（Server0）的http访问 具体是实验拓扑图如下图Server0充当外网服务器，它需要的配置如下，为其开启DNS服务，添加域名然后再为其开启HTTP服务，随便输入一些粗糙的网页内容，见下图标注处，路由

29、器R1需要的配置（基本的IP配置见上图） r1 r1en r1#sh run Building configuration. Current configuration : 460 bytes ! version 12.2 no service password-encryption ! hostname r1 ！ ip ssh version 1 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface FastEthernet0/1 ip address 202.106.1.1 255.255.255.0 duplex auto speed auto ! ip classless ! access-list 101 deny tcp host 192.168.1.2 host 202.106.1.2 eq www access-list 101 permit ip any any ! line con 0 line vty 0 4 login ! end 实验结果，先来看下面的图，打开“WEB浏览器”，先在PC0上进行域名