《计算机网络安全》08保护不同子网络安全

1、LOGO计算机网络安全计算机网络安全-08-08保护不同子保护不同子网络安全网络安全核心技术实施访问控制列表安全目录 1什么是访问控制列表（什么是访问控制列表（ACL）技术）技术访问控制列表ACL安全技术简单的说法便是数据包过滤。网络管理人员通过对网络互联设备的配置管理，来实施对网络中通过的数据包的过滤，从而实现对网络中的资源进行访问输入和输出的访问控制。配置在网络互联设备中的访问控制列表ACL检查规则，实际上是一张规则检查表，这些表中包含了很多简单的指令规则，告诉交换机或者路由器设备，哪些数据包可以接收，哪些数据包需要被拒绝。8.1.1 访问控制列表概述 2访问控制列表的作用访问控制列表的作

2、用ACL提供一种安全访问选择机制，可以控制和过滤通过网络互联设备上接口信息流，对该接口上进入、流出的数据进行安全检测。其主要的安全功能有：提供网络安全访问控制手段。如允许主机A访问FTP网络，而拒绝主机B访问。 过滤数据流。ACL应用在网络设备的输入、输出接口处，决定不同类型的通信流被转发或阻塞。如允许E-mail访问，而拒绝Telnet服务。限制网络访问流量，从而提高网络性能。ACL可以根据数据包中标识的协议信息，指定数据包的优先级。 提供对通信流量的控制手段。ACL可以限定或简化路由更新信息的长度，从而限制通过某一网段的通信流 8.1.1 访问控制列表概述 3使用访问控制列表使用访问控制列

3、表首先需要在网络互联设备上定义ACL规则，然后将定义好的规则应用到检查的接口上。该接口一旦激活以后，就自动按照ACL中配置的命令，针对进出的每一个数据包特征进行匹配，决定该数据包被允许通过还是拒绝。在数据包匹配检查的过程中，指令的执行顺序自上向下匹配数据包，逻辑地进行检查和处理。8.1.1 访问控制列表概述 常见ACL有两类：标准访问控制列表（Standard IP ACL）和扩展访问控制列表（Extended IP ACL），在规则中使用不同的编号区别，其中标准访问控制列表的编号取值范围为199；扩展访问控制列表的编号取值范围为100199。两种编号的ACL区别是，标准的编号ACL只匹配、检

4、查数据包中携带的源地址信息；扩展编号ACL不仅仅匹配数据包中源地址信息，还检查数据包的目的地址，以及数据包的特定协议类型、端口号等。扩展访问控制列表规则大大扩展了网络互联设备对三层数据流的检查细节，为网络的安全访问提供了更多的访问控制功能。8.1.2 访问控制列表分类 标准访问控制列表（Standard IP ACL）检查数据包的源地址信息，数据包在通过网络设备时，设备解析IP数据包中的源地址信息，对匹配成功的数据包采取拒绝或允许操作。在编制标准的访问控制列表规则时，使用编号1到99值来区别同一设备上配置的不同标准访问控制列表条数。部署ACL技术的顺序是：分析需求编写规则根据需求与网络结构将规

5、则应用于交换机或路由的特定接口为帮助理解标准访问控制列表应用规则，下面以一个标准访问控制列表为例，说明应用ACL时的步骤及注意事项。8.2 基于编号标准访问控制列表8.2 基于编号标准访问控制列表配置编号标准访问控制列表配置编号标准访问控制列表在网络互联设备上配置标准访问控制列表规则，以下的语法格式：Access-list list-number permit | deny source-address wildcardmask 其中：access-list-number：所创建的ACL的编号，区别不同ACL规则序号,标准的IP ACL的编号范围是199。permit | deny：对匹配此规

6、则的数据包需要采取的措施，permit表示允许数据包通过，deny表示拒绝数据包通过。source：需要检测的源IP地址或网段。source-wildcard为需检测的源IP地址的反向子网掩码， 是源IP地址通配符比较位，也称反掩码，限定匹配网络范围。8.2 基于编号标准访问控制列表应用编号标准访问控制列表应用编号标准访问控制列表在网络设备上配置好访问控制列表规则后，还需要把配置好的访问控制列表应用在对应的接口上，只有当这个接口激活以后，匹配规则才开始取作用。因此配置访问控制列表需要三个步骤：(1) 定义好访问控制列表规则；(2) 指定访问控制列表所应用的接口；(3) 定义访问控制列表作用于接

7、口上的方向。8.2 基于编号标准访问控制列表扩展型访问控制列表（Extended IP ACL ）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。扩展ACL使用编号范围从100到199的值标识区别同一接口上多条列表。和标准ACL相比，扩展ACL也存在一些缺点：一是配置管理难度加大，考虑不周很容易限制正常的访问；其次是在没有硬件加速的情况下，扩展ACL会消耗路由器CPU资源。8.3 基于编号扩展访问控

8、制列表扩展访问控制列表的指令格式如下：Access-list listnumber permit | deny protocol source source- wildcardmask destination destination-wildcardmask operator operand 其中：listnumber的标识范围为100199；protocol是指定需要过滤的协议，如IP、TCP、UDP、ICMP等。Source是源地址 ；destination 是目的地址 ；wildcard-mask 是IP反掩码；operand 是控制的源端口和目的端口号，默认为全部端口号065535。端

9、口号可以使用数字或者助记符。operator是端口控制操作符 (大于)=(等于)以及(不等于)来进行设置。其它语法规则中的deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码，以及host / any的使用方法均与标准访问控制列表语法规则相同。8.3 基于编号扩展访问控制列表在这种需求下，ACL需要和时间段结合起来应用，即基于时间的ACL。事实上，基于时间的ACL，只是在ACL规则后面，使用time-range选项，为此规则指定一个时间段，只有在此时间范围内此规则才会生效，各类ACL规则均可以使用时间段。时间段可分为两种类型：绝对（absolute）时间段、周期（periodi

10、c）时间段。绝对时间段：绝对时间段：表示一个时间范围，即从某时刻开始到某时刻结束，例如1月5日早晨8点到3月6日的早晨8点。周期时间段：周期时间段：表示一个时间周期.如每天的早晨8点到晚上6点，或者每周一到每周五的早晨8点到晚上6点，也就是说周期时间段不是一个连续的时间范围，而是特定某天某个时间段。8.4 基于时间访问控制列表技术创建时间段创建时间段在全局模式下，使用如下命令创建并配置时间段：time-range time-range-name ！ time-range-name表示时间段的名称。8.4 基于时间访问控制列表技术配置绝对时间段配置绝对时间段在时间段配置模式下，使用如下命令配置绝

11、对时间段：absolute start time date end time date | end time date start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日 月 年”。end time date：表示时间段的结束时间，格式与起始时间相同。在配置绝对时间段时，可以只配置起始时间，或者只配置结束时间。以下为2007年1月1日8点到2008年2月1日10点，使用绝对时间段范围表示的配置示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 20088.4 基于时间访问控

12、制列表技术配置周期时间段配置周期时间段在时间段配置模式下，使用如下命令配置绝对时间段：periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm其中：day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday。hh:mm：表示时间。weekdays：表示周一到周五。weekend：表示周六到周日。daily：表示一周中的每一天。 以下为每周一到周五早晨9点到晚上18点