配置访问控制列表

1、配置访问控制列表基本的CISCO路由器安全配置路由器是网络中的神经中枢,广域网就是靠一个个路由器连 接起来组成的，局域网中也已经普片的应用到了路由器在很多企事业单位，已经用到路由器 来接入网络进行数据通讯了，可以说，曾经神秘的路由器，现在已经飞入寻常百姓家了.随着路 由器的增多，路由器的安全性也逐渐成为大家探讨的一个热门话题了，以下文章是本人在工作 过程中所记录的学习笔记，今天整理出来,跟大家共享，1.配置访问控制列表：使用访问控制列表的目的就是为了保护路由器的安全和优化网络的 流量.访问列表的作用就是在数据包经过路由器某一个端口时该数据包是否允许转发通过， 必须先在访问控制列表里边查找，如果

2、允许,则通过.所以，保护路由器的前提，还是先考虑配置 访问控制列表吧.访问列表有多种形式，最常用的有标准访问列表和扩展访问列表 创建一 个标准访问控制列表的基本配置语法:access-listaccess-list-numberdeny|permit sourcesource-wildcard注释:access-list-number是定义访问列表编号的一个值范围 从1-99.参数deny或permit指定了允许还是拒绝数据包.参数source是发送数据包的主 机地址.source-wildcard则是发送数据包的主机的通配符.在实际应用中，如果数据包的源地 址在访问列表中未能找到，或者是找到

3、了未被允许转发则该包将会被拒绝.为了能详细解释 一下，下面是一个简单访问列表示例介绍：access-list3permit55*/指明一个列表号为3的访问控制列表，并允许这个网段的数据通过.55是通配符.access-list3permit55*/允许所有源地址为从 到55的数据包通过应用了该访问列表的路由器接口.access-list3deny55*/ 拒绝源 IP 地址为 到 55 的数据包通过该访问列表.配置了访问列表后，就要启用访问控制列表,我们可以在接口配置 模式下使用access-group或ipaccess-class命令来指定访问列表应用于某个接口.使用关 键字in(out)来

4、定义该接口是出站数据包还是入站数据包 示例:ipaccess-group3in*/定 义该端口入站数据包必须按照访问列表3上的原则.由于标准访问控制列表对使用的端口不进行区别，所以，引入了扩展访问控制列表(列表号从 100-199).扩展访问列表能够对数据包的源地址目的地址和端口等项目进行检查这其中， 任何一个项目都可以导致某个数据包不被允许经过路由器接口 .简单的配置示例:1)ip access-list101permittcpanyhostestablishedlog2)ipaccess-list101 permittcpanyhosteqwwwlog3)ipaccess-list101p

5、ermittcpanyhost eqftplog4)ipaccess-list101permittcpanyhostlog注释：第一行允许通过TCP协议访问主机,如果没个连接已经在主机和某个要访 问的远程主机之间建立，则该行不会允许任何数据包通过路由器接口，除非回话是从内部企业 网内部发起的.第二行允许任何连接到主机来请求www服务，而所有其他类型的 连接将被拒绝，这是因为在访问列表自动默认的在列表尾部，有一个denyanyany语句来限 制其他类型连接.第三行是拒绝任何FTP连接来访问主机.第四行是允许所有类型 的访问连接到主机.2.保护路由器的密码1)禁用enablepassword命令,

6、改密码加密机制已经很古老，存在极大 安全漏洞，必须禁用,做法是:noenablepassword2)利用enablesecret命令设置密码，该加 密机制是IOS采用了 MD5散列算法进行加密，具体语法是:enablesecretlevellevel (password|encryption-typeencrypted-password举例:Ro(config-if)#enablesecret level9!79#人&人089人*/设置一个级别为9级的!79#人&人089人密码Ro(config-if)#servicerouter-encryption*/ 启动服务密码加密过程 enables

7、ecret 命令 允许管理员通过数字0-15,来指定密码加密级别.其默认级别为15.控制telnet访问控制为了保护路由器访问控制权限,必须限制登陆访问路由器的主机，针对VTY(telnet)端口访问控制的方法，具体配置要先建立一个访问控制列表如下示例，建立一 个标准的访问控制列表(编号从1-99任意选择):access-list90permit5 access-list90permit3 该访问列表仅允许以上两个IP地址之一的主机对路由器 进行telnet访问,注意:创建该列表后必须指定到路由器端口某个端口上具体指定方法如下: linevtyE04access-class90in以上配置是入

8、站到E0端口的telnet示例，出站配置采用out，在这里将不再详细赘述.为了保护路由器的安全设置也可以限制其telnet访问的权限， 比如:通过分配管理密码来限制一个管理员只能有使用show命令的配置如下:enable secretlevel6123456privilegeexec6show给其分配密码为 123456,telnet 进入路由器后,只能用show命令,其他任何设置权限全部被限制.另外，也可以通过访问时间来限制所 有端口的登陆访问情况，在超时的情况下，将自动断开，下面是一个配置所有端口访问活动3 分30秒的设置示例:exec-timeout330禁止CDPCDP(CiscoDi

9、scoveryProtocol)CISCO 查找协议，该协议存在CISCO11.0以后 的IOS版本中，都是默认启动的,他有一个缺陷就是:对所有发出的设备请求都做出应答.这样 将威胁到路由器的泄密情况，因此，必须禁止其运行，方法如下:nocdprun 管理员也可以指 定禁止某端口的CDP,比如:为了让路由器内部网络使用CDP,而禁止路由器对外网的CDP应 答，可以输入以下接口命令:nocdpenable5.HTTP服务的配置现在许多CISCO设备，都允 许使用WEB界面来进行控制配置了，这样可以为初学者提供方便的管理但是，在这方便的背 后却隐藏了很大的危机，为了能够配置好HTTP服务，本文也提

10、一下如何配置吧.使用iphttpserver命令可以打开HTTP服务，使用noiphttpserver命令可以关闭HTTP服务.为了安 全考虑，如果需要使用HTTP服务来管理路由器的话，最好是配合访问控制列表和AAA认证 来做，也可以使用enablepassword命令来控制登陆路由器的密码.具体的配置是在全局模 式下来完成的，下面是我们创建一个简单的标准访问控制列表配合使用HTTP服务的示例:ip httpserver*/ 打开 HTTP 服务 iphttpport10248*/ 定义 10248 端口为 HTTP 服务访问 端口 access-list80permithost*/ 创建标准访问列表80,只允许主机通 过iphttpaccess-class80*/定义了列表号为80的标准访问列表为HTTP服务允许访问 的iphttpauthenticationaaatacacs*/ 增加AAA认证服务来验证HTTP控制的主机6.写在最后的话保护路由器