网络系统集成技术 访问控制列表 Access Control List 第七章

本章内容 理论环节 实践环节 案例分析环节 访问控制列表的作用 访问控制列表的概念 访问控制列表的分类 访问控制列表的应用 配置IP基本访问控制列表 配置IP扩展访问控制列表 案例分析环节

访问控制列表的作用 控制通信流量 例如，当网络访问流量较大时,需要对网络流量进行管理。 ISP

访问控制列表的作用（续） 实现网络的安全访问 如下图：ACL允许人力资源网内的主机A访问财务网，而拒 绝主机B访问。

访问控制列表的概念 一个访问控制列表（ACL，Access Control List）是由一 系列的检查条件及对符合该条件的数据包是否允许经过网 络边缘设备的决定构成的，是应用在网络边缘设备接口上 的一组有序的规则集合。 在被应用到网络边缘设备接口之前，ACL对网络边缘设备 没有影响。

基于TCP/IP访问控制列表的分类

访问控制列表的应用规则 路由器应用访问列表对流经接口的数据包进行控制 一个接口在一个方向只能应用一组访问控制列表 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表

访问控制列表的入栈应用 查找路由表 进行选路转发 N 是否应用 访问列表 ? Y Y 是否允许 ? N 以ICMP信息通知源发送方

访问控制列表的出栈应用 选择出口 S0 S0 查看访问列表 的陈述 S0 是否应用 访问列表 ? 是否允许 ? Y 路由表中是 否存在记录 ? S0 是否应用 访问列表 ? N N Y 是否允许 ? Y N

IP访问控制列表的基本准则 ACL中规则的顺序问题 一切未被允许的就是禁止的 按规则链来进行匹配 规则匹配原则 在定义ACL时，一定要将条件限制范围小的规则放到ACL 的前面，条件限制范围大的规则放到ACL的后面。 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数 据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间 段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……”

IP访问控制列表的基本准则 一个访问列表多条过滤规则 拒绝 允许 拒绝 允许 拒绝 允许 隐含拒绝 是否匹配 规则条件1 ? Y Y N 是否匹配 规则条件2 ? Y Y 拒绝 允许 N Y 是否匹配 最后一个 条件 ? Y 拒绝 允许 N 隐含拒绝

标准访问控制列表 标准访问列表 根据数据包源IP地址进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表

标准访问控制列表 反掩码 0表示检查相应的地址比特 1表示不检查相应的地址比特 128 64 32 16 8 4 2 1 1 1 1

标准访问控制列表的配置 1.定义标准ACL 2.应用ACL到接口 编号的标准访问列表 Router(config)#access-list <1-99> <permit|deny> <源地 址> <反掩码> 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group <1-99> { in | out }

标准访问控制列表配置实例 access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (access-list 1 deny any)

标准访问控制列表配置实例 access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out

标准访问控制列表配置实例 access-list 11 deny 192.168.1.2 0.0.0.0 access-list 11 permit 192.168.1.0 0.0.0.255 int e0 ip access-group 11 in

标准访问控制列表配置实例

扩展访问控制列表 扩展访问控制列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进 行规则定义 100-199 号列表 eg.HDLC IP TCP/UDP 数据 端口号 协议 100-199 号列表 源地址 目的地址

扩展访问控制列表的配置 1.定义扩展的ACL 2.应用ACL到接口 编号的扩展ACL 命名的扩展ACL Router(config)#access-list <100-199> < permit /deny > <协议> <源地址> <反掩码> <源端口> <目的地址> <反掩码> < 目的端口 > 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group <100-199> { in | out }

扩展访问控制列表的配置 常用端口与协议对照表

扩展访问控制列表配置实例 如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x..x）的 所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所 有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103

扩展访问控制列表配置实例

扩展访问控制列表配置实例 利用ACL隔离冲击波病毒 access-list 115 deny udp any any eq 69 　　access-list 115 deny tcp any any eq 135 　　access-list 115 deny udp any any eq 135 　　access-list 115 deny udp any any eq 137 　　access-list 115 deny udp any any eq 138 　　access-list 115 deny tcp any any eq 139 　　access-list 115 deny udp any any eq 139 　　access-list 115 deny tcp any any eq 445 　　access-list 115 deny tcp any any eq 593 　　access-list 115 deny tcp any any eq 4444 　　access-list 115 permit ip any any 　　interface <type> <number> 　　ip access-group 115 in 　　ip access-group 115 out 利用ACL隔离冲击波病毒

案例分析 案例背景 某公司机关的计算机网络接入互联网以来，公司的相关 负责人要求： 限制员工在工作时间利用QQ进行聊天 限制员工访问无聊的网站

案例分析 案例分析 若要限制工作人员利用QQ聊天，只要使用扩展访问控 制列表就可以做到。由于QQ采用的是UDP协议，因此只要 可构造如下扩展访问控制列表： access-list 102 deny udp any any

案例分析 案例分析 若要限制工作人员访问无聊网站，只需要找到无聊站点 的IP地址即可。根据公司WEB服务器日志，得到地址 172.16.1.1/16为公司禁止访问的站点。这样可构造如下扩展 访问控制列表： access-list 102 deny tcp any host 172.16.1.1 eq www

案例分析 具体路由器上的配置 略