网络安全项目二任务一 ACL配置

项目二任务一ACL配置网络安全技术目录/CONTENT02访问控制列表基础01任务介绍03标准访问控制列表配置命令04扩展访问控制列表配置命令05任务配置06数据流分析任务介绍01任务介绍根据任务网络拓扑及访问控制要求，应用标准IPV4ACL、扩展IPV4ACL的实现任务要求，掌握IPV4ACL数据过滤、匹配过程，理解数据过滤规则相关参数含义，学会应用IPV4ACL为企业构建安全的访问控制规则。任务介绍访问控制列表基本02访问控制列表基本访问控制列表（AccessControllist,ACL）主要应用于包过滤器、路由器和防火墙等边缘设备上，负责对于通过的IP数据包进行过滤，阻止一些不想接收的外来数据、入侵和攻击,现在也可应用于交换机。

二层接口三层接口（路由器接口、VLAN接口）四层端口Windows:cacls(ntfs)Linux:iptables/filters访问控制列表基本访问控制列表基本访问控制列表基本访问控制列表基本二层封装：源MAC地址目的MAC地址四层封装：源端口号目的端口号三层封装:源IP地址目的IP地址协议号三层封装详解服务类型（TOS）(8bit)TOS字段包括一个3bit的优先权子字段、4bit的TOS子字段和1bit未用位；3bit的优先权子字段取值可以从000-111所有值；4bit的TOS分别代表：最小时延、最大吞吐量、最高可靠性和最小费用，4bit中只能置其中1bit，如果所有4bit均为0，那么就意味着是一般服务；未用位置0。协议号(8bits)

协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。协议字段告诉IP层应当如何交付数据。三层封装详解四层封装详解序号（16bits）序号用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节。标识（6bits）

URG紧急指针（urgentpointer）有效ACK确认序号有效PSH接收方应该尽快将这个报文段交给应用层RST重建连接SYN同步序号用来发起一个连接FIN发端完成发送任务四层封装详解访问控制列表基本ACL规则：提取各自头部信息与规则匹配动作：允许：H3C默认允许拒绝：

CISCO默认拒绝方向进入输出备注：VLANACL配置不指定方向访问控制列表基本1、最小特权原则只给受控对象完成任务所必须的最小的权限，因为总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。2、最靠近受控对象原则

检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则注意事项在位于内部网络和外部网络（例如Internet）交界处的防火墙路由器上使用ACL。在位于网络两个部分交界处的路由器上使用ACL，以控制进出内部网络特定部分的流量。在位于网络边界的边界路由器上配置ACL。这样可以在内外部网络之间，或网络中受控度较低的区域与敏感区域之间起到基本的缓冲作用。为边界路由器接口上配置的每种网络协议配置ACL。您可以在接口上配置ACL来过滤入站流量、出站流量或两者。访问控制列表基本一个ACL可以包含多个规则；ACL只过滤通过当前设备的数据流，而不能过滤当前设备发送的数据流；思科设备任何ACL都须至少包含一条允许语句，H3C设备ACL须至少包含一条拒绝语句；同一个ACL可被用于多个接口，在接口每个方向上只有一个ACL,且针对每种协议的规则只能有一个；具体条件放在一般条件之前。访问控制列表基本3P原则每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL：每种协议一个ACL要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL只能控制一个接口（例如快速以太网0/0）上的流量访问控制列表配置命令03访问控制列表配置命令思科设备两种创建方式：基于列表号、基于列表名称H3C设备创建一种方式思科设备基于列表号创建思科设备基于列表号创建基于列表号的标准IPV4ACL创建Router(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]标准IPV4ACL仅匹配数据包的源IP地址信息，access-list-number范围1~99或1300~1999Source:可以一个网络或一台主机，关键有host、any等基于列表号的标准IPV4ACL创建Router(config)#access-listaccess-list-number[dynamicdynamic-name[timeout]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedence][tos][log][time-range][fragment]扩展IPV4ACL匹配数据包的源IP地址、目的IP地址、源端口、目的端口、优先级(precedence)、服务质量类别(TOS)、应用时间范围(time-range)、分片等信息(fragment)，access-list-number范围100~199或2000~2699protocol:用来确定需要过滤的数据包协议类型，包括IP、TCP、UDP、ICMP、GRE等。基于列表号的标准IPV4ACL创建Precedence:Tos高三位（可选）基于列表号的标准IPV4ACL创建服务类型:Tos中间四位（可选）基于列表号的标准IPV4ACL创建log:匹配情况记录（可选）Time-range:应用时间范围（可选）Fragments:应用于分片包，不选用于原始包（可选）访问控制列表配置命令标准Router(config)#ipaccess-liststandardnameRouter(config)#{deny|permit}source[source-wildcard][log]扩展Router(config)#ipaccess-listextendednameRouter(config)#{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedence][tos][established][log][time-range]访问控制列表配置命令MACACL、VLANACL创建建议采用基于名称的方式MACACL(例)Switch(config)#macaccess-listextendedmac1Switch(config-ext-mac1)#denyanyanynetbiosSwitch(config-ext-mac1)#permitanyanySwitch(config)#interfacefa0/0Switch(config)#macaccess-groupmac1inVLANACL(例)Switch(config)#ipaccess-listextendedip1Switch(config-ext-ip1)#permitanyanySwitch(config)#vlanaccess-mapmap_110#10递增Switch(config-access-map)#mapipaddressip1Switch(config-access-map)#actiondropSwitch(config)#vlanfilterthorvlan-list10检验ACLRouter#showaccess-listSw