第 网络安全IP访问控制列表

会计学1第网络安全IP访问控制列表访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输第1页/共41页

标准检查源地址通常允许、拒绝的是完整的协议

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准第2页/共41页

标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是访问列表--扩展第3页/共41页

标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是访问列表第4页/共41页Inbound

InterfacePacketsNYPacketDiscardBucketChooseInterface

NAccessList

?RoutingTable

Entry

?YOutbound

InterfacesPacketS0出端口方向上的访问列表第5页/共41页Outbound

InterfacesPacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NPacketTestAccessListStatementsPermit

?Y出端口方向上的访问列表AccessList

?YS0E0Inbound

InterfacePackets第6页/共41页NotifySender出端口方向上的访问列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets第7页/共41页访问列表的测试：允许和拒绝PacketstointerfacesintheaccessgroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit第8页/共41页访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第9页/共41页访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit第10页/共41页访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN第11页/共41页访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据第12页/共41页访问列表设置命令Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#第13页/共41页Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表ipaccess-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}第14页/共41页如何识别访问列表号编号范围访问列表类型IP

1-99Standard标准访问列表(1to99)检查IP数据包的源地址第15页/共41页编号范围访问列表类型如何识别访问列表号IP

1-99100-199StandardExtended标准访问列表(1to99)检查IP数据包的源地址扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口第16页/共41页编号范围1-991300-1999Name(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed访问列表类型如何识别访问列表号标准访问列表检查IP数据包的源地址扩展访问列表

检查源地址和目的地址、具体的TCP/IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamed第17页/共41页例如9检查所有的地址位可以简写为host(host9)Testconditions:Checkalltheaddressbits(matchall)9

(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明特定的主机第18页/共41页所有主机:55可以用any简写Testconditions:Ignorealltheaddressbits(matchany)

55(ignoreall)AnyIPaddressWildcardmask:通配符掩码指明所有主机第19页/共41页标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[inverse-mask]Router(config)#为访问列表设置参数IP标准访问列表编号1到99“noaccess-listaccess-list-number”命令删除访问列表第20页/共41页access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上应用访问列表指明是进方向还是出方向“noipaccess-groupaccess-list-number”命令在端口上删除访问列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码=“noaccess-listaccess-list-number”命令删除访问列表标准IP访问列表的配置第21页/共41页3E0S0E1Non-标准访问列表举例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)第22页/共41页Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-标准访问列表举例1第23页/共41页Denyaspecifichost标准访问列表举例23E0S0E1Non-access-list1deny3第24页/共41页标准访问列表举例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)第25页/共41页access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out标准访问列表举例23E0S0E1Non-Denyaspecifichost第26页/共41页在路由器上过滤vty五个虚拟通道(0到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0第27页/共41页如何控制vty访问01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用标准访问列表语句用access-class

命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0第28页/共41页虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-classaccess-list-number{in|out}linevty#{vty#|vty-range}Router(config)#Router(config-line)#第29页/共41页虚拟通道访问举例只允许网络

内的主机连接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess第30页/共41页标准访问列表和扩展访问列表

比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围100-199和2000-2699编号范围1-99和1300-1999第31页/共41页扩展IP访问列表的配置Router(config)#设置访问列表的参数access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第32页/共41页Router(config-if)#ipaccess-groupaccess-list-number{in|out}扩展IP访问列表的配置在端口上应用访问列表Router(config)#设置访问列表的参数access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第33页/共41页拒绝子网

的数据使用路由器e0口ftp到子网

允许其它数据3E0S0E1Non-扩展访问列表应用举例1access-list101denytcp

5555eq21access-list101denytcp5555eq20第34页/共41页拒绝子网

的数据使用路由器e0口ftp到子网

允许其它数据扩展访问列表应用举例13E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)第35页/共41页access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒绝子网

的数据使用路由器e0口ftp到子网

允许其它数据扩展访问列表应用举例13E0S0E1Non-第36页/共41页拒绝子网

内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list101denytcp55anyeq