4.3 部署安全访问企业资源的策略

单元2网络综合布线系统设计单元1网络安全系统集成概述目录单元3网络工程设计单元5网络工程的实施与测试验收单元4网络系统安全设计单元6网络系统安全管理

某公司采用如图所示的网络拓扑结构。其中，公司办公人员的终端划分在VLAN10中，使用 /24 网段；财务人员的终端划分在VLAN20 中，使用 /24 网段；公共Web 服务器划分在VLAN30 中，使用 /24 网段；财务Web 服务器划分在VLAN40 中，使用 /24 网段，各网段所使用的网关都部署在核心交换机上，均使用每个网段的第 1 个地址，/24 网段用于设备互连使用，ISP路由器用于模拟Internet。

任务场景

为了提高公司网络运行的安全性，要求使用访问控制列表，实施以下安全策略：办公PC和财务PC之间不能相互通信，财务PC不能访问公共Web 服务器，办公PC不能访问财务Web 服务器，财务PC不能访问Internet，财务Web 服务器不能与Internet 通‍信。

回顾访问控制列表的基本知识。

研究层次结构网络模型。

分析网络拓扑结构设计原则。

探究网络拓扑结构设计内‍容。

任务布置访问控制列表（ACL）是基于协议（主要是IP）有序匹配规则的过滤器列表（由若干条语句组成），每条规则（Rule）包括了过滤信息及匹配此规则时应采取的动作（允许或拒绝），规则包含的信息可以是IP地址、协议、端口号等条件的有效组合。4.3.1访问控制列表概述ACL为网络工程师提供了一种识别不同类型数据包的方法。ACL的配置列出了路由器可以在IP、TCP、UDP和其他包头中看到的值。4.3.1访问控制列表概述

1．访问控制列表的主要功能（1）限制网络流量以提高网络性能（2）提供控制或优化通信流量的手段（3）提供基本的网络访问安全控制（4）区分或匹配特定的数据流4.3.1访问控制列表概述

2．访问控制列表的分类

在路由器上，按照ACL的创建方式来划分，使用数字或名称来标识ACL，同时ACL分为标准的或扩展的4.3.1访问控制列表概述

ACL类型数

字扩展数字检查项目IP标准ACL1~991300~1999源地址IP扩展ACL100~1992000~2699源地址、目的地址、协议、端口号及其他命名标准ACL名字源地址命名扩展ACL名字源地址、目的地址、协议、端口号及其他

3.访问控制列表的工作原理

路由器的ACL与接口关联，并与数据包流动方向（输入或输出）关联。因此，ACL要么用于入站流量过滤，要么用于出站流量过滤。每当分组经过有ACL的接口时，路由器将在ACL中按从上到下的顺序查找与分组匹配的语句，ACL使用允许或拒绝规则来决定数据包的命运。4.3.1访问控制列表概述

4．访问控制列表设置规则（1）当没有配置ACL时，路由器默认允许所有数据包通‍过。（2）ACL对路由器自身产生的数据包不起作‍用。（3）对于每个协议，每个接口的每个方向只能设置一个ACL。（4）每个ACL中包含一条或多条语句，但是有先后顺序之‍分。（5）每个ACL的末尾都隐含一条“拒绝所有流量”语‍句。（6）ACL条件中必须至少存在一条 permit 语句，否则将拒绝所有流‍量。（7）不能单独删除数字标识ACL中的一条语‍句。（8）可以在名称标识ACL中单独增加或删除一条语‍。4.3.1访问控制列表概述

1．通配符掩码的概念通配符掩码与IP地址配合使用，采用“IP地址通配符掩码”的表达形式，其中通配符掩码位是“0”表示必须匹配IP地址对应的比特，通配符掩码位是“1”表示不必匹配IP地址对应的比特。4.3.2通配符掩码的匹配操作

2．常用的通配符掩码（1）全 0 通配符掩码，对应IP地址的所有位都必须匹配。例如  表示的就是IP地址  本身，在访问列表中亦可表示为 host（2）全 1 通配符掩码，表示对应的IP地址的所有位都不必匹配。例如 55 表示的就是任意主机的IP地址，在访问列表中亦可表示为 any4.3.2通配符掩码的匹配操作

3．匹配操作过程分析图中的ACL伪代码使用了通配符掩码创建的逻辑。这两个图中的ACL伪代码中的逻辑包括以下内‍容4.3.2通配符掩码的匹配操作

图 4-18ACL中匹配操作过程示意图

图 4-19不同主机的ACL匹配操作比较第 1 行：匹配并允许所有源地址为

的数据‍包。第 2 行：匹配并拒绝源地址为前 3 个八位字节 10.1.1.x 的所有数据‍包。第 3 行：将所有地址匹配并允许使用第 1 个八位字节 10.x.x.x。

1．标准访问控制列表配置命令标准ACL使得路由器通过对源IP地址的识别，控制对来自某个或某一网段的主机的数据包的过滤。在全局配置模式下，标准IPACL的命令格式为：4.3.3访问控制列表配置操作

（1）access-list-number 为列表编号，取值为 1～99，允许扩充使用 1300～1999 的编‍号。（2）deny|permit意为“拒绝或允许”，必选其一，source-ip-address 为源IP地址或网络地址；wildcard-mask为通配符掩码，如果不明确指定，默认为 。

2．扩展访问控制列表配置命令扩展ACL除了能基于源IP地址对数据包进行过滤，还可以基于目标IP地址、协议或者端口号（服务）对数据包进行控制：4.3.3访问控制列表配置操作

2．扩展访问控制列表配置命令扩展ACL除了能基于源IP地址对数据包进行过滤，还可以基于目标IP地址、协议或者端口号（服务）对数据包进行控制。在全局配置模式下，扩展ACL的命令格式为：4.3.3访问控制列表配置操作

关键字或参数含

义protocol协议或协议标识关键字，包括 ip、eigrp、ospf、gre、icmp、igmp、igrp、tcp、udp 等source源地址或网络号source-wildcard-mask源通配符掩码destination目标地址或网络号destination-wildcard-mask目标通配符掩码access-list-number访问列表号，取值 100～199；2000～2699operatorport|server-nameoperator操作符，可用的操作符包括 lt（小于）、gt（大于）、eq（等于）、neq（不等于）和 range（范围）等；port 协议端口号，server-name服务名established仅用于TCP：指示已建立的连接

下面通过一个具体的实例来讨论访问控制列表的规划与部署步骤，规划的网络拓扑结构如图所示，网络安全策略是禁止源主机HOST1 和目标主机HOST2 之间的通‍信。（1）位置与方向（2）创建ACL（3）生效ACL4.3.4访问控制列表的规划与部署

1.针对具体的安全策略进行分析，决定使用何种ACL，应用在哪个路由器的接口上，是 in 方向还是 out 方向。2.设计ACL规则表。3.网络基本配置。4.配置访问控制列表并验证测试。5.参加成果分享。任务实施如图所