第六讲安全技术

计算机学院

第六讲安全技术访问控制列表

AccessControlList访问控制列表的基本原地址转换的基本原理配置标准访问控制列表（ConfigurestandardIPaccesslists）配置扩展访问控制列表（ConfigureextendedIPaccesslists）目录IP包过滤技术介绍对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处Internet当网络访问增长时，管理IP通信ManageIPtrafficasnetworkaccessgrows当数据包通过路由器时，起到过滤作用Filterpacketsastheypassthroughtherouter

为什么使用ACL？

（WhyUseAccessControlLists?）访问控制列表的作用访问控制列表可以用于防火墙；访问控制列表可以用于Qos（QualityofService），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。访问控制列表是什么？一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则如何标识访问控制列表？利用数字标识访问控制列表利用数字范围标识访问控制列表的种类ACL表号（ACLNumber）

协议（Protocol）ACL表号的取值范围（ACLRange）IP（Internet协议）1-99ExtendedIP(扩展Internet协议)100-199AppleTalk600-699IPX（互联网数据包交换）800-899ExtendedIPX(扩展互联网数据包交换)900-999IPXserviceAdvertisingProtocol(IPX服务通告协议)1000-1099标准访问控制列表标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器如何使用反掩码反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位AccessList命令（AccessListCommand）Step1:定义访问控制列表（DefinetheACL）access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#Router(config)#access-list1permit55Step2:将访问控制列表应用到某一接口上（ApplyACLtoaInterface）{protocol}access-groupaccess-list-number{in|out}Router(config-if)#AccessList命令（AccessListCommand）Router(config-if)#ipaccess-group1out仅允许我的网络（Permitmynetworkonly）access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out标准IPACL实例1（StandardIPACLExample1）3E0S0E1Non-access-list1deny3access-list1permit255(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out标准IPACL实例2（StandardIPACLExample2）3E0S0E1Non-拒绝特定的主机（Denyaspecifichost）access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out标准IPACL实例3（StandardIPACLExample3）3E0S0E1Non-拒绝特定的子网（Denyaspecificsubnet）扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器标准ACL与扩展ACL比较

（StandardversusExternalACL）标准（Standard）扩展（Extended）过滤基于源（FiltersBasedonSource.）过滤基于源和目的（FiltersBasedonSourceanddestination.）允许或拒绝整个协议族（PermitordenyentireTCP/IPprotocolsuite.）允许或拒绝特定的IP协议或端口（SpecifiesaspecificIPprotocolandportnumber.）范围（100-199）Rangeis100through199.范围（1-99）Rangeis1through99扩展ACL配置（ExtendedIPACLConfiguration）Router(config)#access-list

access-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established]

[log]参数参数描述access-list-number访问控制列表表号permit|deny如果满足条件，允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型，如IP、TCP、UDP、ICMP等sourceanddestination分别用来标识源地址和目的地址source-mask通配符掩码，跟源地址相对应destination-mask通配符掩码，跟目的地址相对应operatorlt,gt,eq,neq(小于，大于，等于，不等于)operand一个端口号established如果数据包使用一个已建立连接，便可允许TCP信息通过access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒绝从到的经过E0出方向的FTP流量DenyFTPfromsubnettosubnetoutofE0允许其他所有的流量Permitallothertraffic扩展ACL实例1（ExtendedACLExample1）3E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out仅拒绝子网在E0出方向的流量DenyonlyTelnetfromsubnetoutofE0允许其他流量（Permitallothertraffic）ExtendedAccessListExample23E0S0E1Non-扩展ACL靠近源Placeextendedaccesslistsclosetothesource标准ACL靠近目的PlacestandardaccesslistsclosetothedestinationE0E0E1S0To0S1S0S1E0E0BAC放置ACL（PlacingIPAccessLists）D如何使用访问控制列表防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上基于时间段的包过滤“特殊时间段内应用特殊的规则”上班时间（上午8：00－下午5：00）只能访问特定的站点；其余时间可以访问其他站点InternetCASE假设现在某个集团企业的网络部署架构如下：

用户主机---路由器A—路由器B-----互联网。在这种网络架构下，企业现在希望实现如下控制。1、用户主机甲不能够访问互联网。2、其他用户都可以不受限制的访问互联网。此时，很明显可以通过多种方式来实现这种需求。不过，访问控制列表是实现这种控制的一个比较灵活的策略。此时，拒绝用户主机甲访问互联网的访问控制列表可以放在路由器A，也可以放在路由器B上;可以放在路由器A的进口或者出口端口上，也可以放在路由器B的进口或者出口端口上。放在这四个位置的任何一个位置上，都可以实现企业的需求。只是对于网络的影响有所不同。引入(Ip地址转换）按照目前Internet网络迅猛发展的速度，到2010年IPv4的地址将消耗殆尽。目前IPv6(IPng)的推广和部署受到一定的阻力，无法在短时间内完成网络从IPv4到IPv6的过渡。目前解决IP地址短缺的有效方法：NAT和CIDRNAT基本概念NAT(NetworkAddressTranslator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。NAT基本概念共有地址和私有地址私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：

-55-55-55

NAT基本概念地址池

地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池

在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。NAT基本概念访问控制列表

访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。有关的详细概念可以参考防火墙中的有关内容。NAT基本概念转换关联

转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。

NAT的基本工作原理NAT在系统中的位置

NAT的基本工作原理NAT基本工作原理（以出口NAT为例）

在IP层的出口处调用NATNAT的基本工作原理在IP层的入口出调用NATNAT的基本工作原理透明的地址分配静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。NAT的基本工作原理NAT的基本工作方式：NAT－静态的地址转换PAT－动态的地址转换NPAT－多对多的网络地址端口转换NAT的基本工作原理NAT方式NAT的基本工作原理NAT方式在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单只转换IP报文头中的IP地址，所以适用于所有IP报文转换NAT的基本工作原理PAT方式(0-6)------>(00-5)(5-00------>(6-0)NAT的基本工作原理NPAT方式(0:1001-6:25)------>(00:12964-6:23)(:2001-7:25)(6:23-00:12964)------>(6:25-0:1001)(7:25-:2001)NAT的基