访问控制列表配置

1、访问控制列表配置第1页，共26页，2022年，5月20日，7点46分，星期三ACL配置 路由器的高级功能访问控制列表配置本 课 目 录ACL概述 第2页，共26页，2022年，5月20日，7点46分，星期三27.1.1 ACL概述ACL概述防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 一般应将防火墙置于被保护网络的入口点来执行访问控制。例如，将防火墙设置在内部网和外部网的连接处，以保护内部网络或数据免于为未认证或未授权的用户访问，防止来自外网的恶意

2、攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来，对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。 第3页，共26页，2022年，5月20日，7点46分，星期三37.1.1 ACL概述ACL概述防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。现在的许多防火墙同时还具有一些其它特点，如进行用户身份鉴别，对信息进行安全（加密）处理等等。在路由器上配置了防火墙特性后，路由器就成了一个健壮而有效的防火墙。 第4页，共26页，2022年，5月20日，7点46分，星期三47.1.1 ACL概

3、述ACL概述2. 防火墙的分类 一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数据，而应用层的防火墙则对整个信息流进行分析。 第5页，共26页，2022年，5月20日，7点46分，星期三57.1.1 ACL概述ACL概述常见的防火墙有以下几类： 应用网关：检验通过网关的所有数据包中的应用层数据。包过滤：对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是21或者大于等于1024的数据包通过，则只要端口

4、符合该条件，数据包便可以通过此防火墙。若配置的规则比较符合实际应用的话，在这一层能过滤掉很多有安全隐患的数据包。代理：一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须通过它来实现，这样可以控制对内部网络中具有重要资源的机器的访问。 第6页，共26页，2022年，5月20日，7点46分，星期三6IP包过滤技术介绍对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet

5、公司总部内部网络未授权用户办事处ACL概述第7页，共26页，2022年，5月20日，7点46分，星期三7访问控制列表的作用访问控制列表可以用于防火墙；访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。ACL概述第8页，共26页，2022年，5月20日，7点46分，星期三8访问控制列表是什么？一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头TCP/UDP报头数据协议号源地址目的地址源端口目

6、的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则ACL概述第9页，共26页，2022年，5月20日，7点46分，星期三9如何标识访问控制列表？利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IP standard list199IP extended list100199ACL概述第10页，共26页，2022年，5月20日，7点46分，星期三10标准访问控制列表标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器ACL概述第11页，共

7、26页，2022年，5月20日，7点46分，星期三11标准访问控制列表的配置配置标准访问列表的命令格式如下：acl acl-number match-order auto | config rule normal | special permit | deny source source-addr source-wildcard | any 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?ACL配置第12页，共26页，2022年，5月20日，7点46分，星期三12如何使用反掩码反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可

8、以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位ACL配置第13页，共26页，2022年，5月20日，7点46分，星期三13扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器ACL配置第14页，共26页，2022年，5月20日，7点46分，星期三14扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表：rule normal | special permit | deny tcp | udp source sour

9、ce-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 loggingACL配置第15页，共26页，2022年，5月20日，7点46分，星期三15扩展访问控制列表的配置命令配置ICMP协议的扩展访问列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any

10、destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging配置其它协议的扩展访问列表：rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any loggingACL配置第16页，共26页，2022年，5月20日，7点46分，星期三16扩展访问控制列表操作符的含义操作符及

11、语法意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号portnumberrangeportnumber1 portnumber2介于端口号portnumber1 和portnumber2之间ACL配置第17页，共26页，2022年，5月20日，7点46分，星期三17扩展访问控制列表举例/16ICMP主机重定向报文rule deny icmp source 55 destinati

12、on any icmp-type host-redirectrule deny tcp source 55 destination 55 destination-port equal www loggingTCP报文WWW 端口ACL配置第18页，共26页，2022年，5月20日，7点46分，星期三18如何使用访问控制列表防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上ACL配置第19页，共26页，2022年，5月20日，7点46分，星期三19防火墙的属性配置命令打开或者关闭防火墙firewall enab

13、le | disable 设置防火墙的缺省过滤模式firewall default permit|deny 显示防火墙的状态信息display firewallACL配置第20页，共26页，2022年，5月20日，7点46分，星期三20在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewall packet-filter acl-number inbound | outboundEthernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效ACL配置

14、第21页，共26页，2022年，5月20日，7点46分，星期三21基于时间段的包过滤“特殊时间段内应用特殊的规则”Internet上班时间（上午8：00 下午5：00）只能访问特定的站点；其余时间可以访问其他站点ACL配置第22页，共26页，2022年，5月20日，7点46分，星期三22时间段的配置命令time range 命令timerange enable | disable settr 命令settr begin-time end-time begin-time end-time . undo settr显示 isintr 命令display isintr显示 timerange 命令display timerangeACL配置第23页，共26页，2022年，5月20日，7点46分，星期三23访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较rule deny 55 rule permit 55 两条规则结合则表示禁止一个