网络系统集成技术 访问控制列表 Access Control List 第七章.

Presentation on theme: "网络系统集成技术 访问控制列表 Access Control List 第七章."— Presentation transcript:

1 网络系统集成技术 访问控制列表 Access Control List 第七章

2 本章内容 理论环节 实践环节 案例分析环节 访问控制列表的作用 访问控制列表的概念 访问控制列表的分类 访问控制列表的应用
配置IP基本访问控制列表 配置IP扩展访问控制列表 案例分析环节

3 访问控制列表的作用 控制通信流量 例如，当网络访问流量较大时,需要对网络流量进行管理。 ISP

4 访问控制列表的作用（续） 实现网络的安全访问 如下图：ACL允许人力资源网内的主机A访问财务网，而拒 绝主机B访问。

5 访问控制列表的概念 一个访问控制列表（ACL，Access Control List）是由一 系列的检查条件及对符合该条件的数据包是否允许经过网 络边缘设备的决定构成的，是应用在网络边缘设备接口上 的一组有序的规则集合。 在被应用到网络边缘设备接口之前，ACL对网络边缘设备 没有影响。

6 基于TCP/IP访问控制列表的分类

7 访问控制列表的应用规则 路由器应用访问列表对流经接口的数据包进行控制 一个接口在一个方向只能应用一组访问控制列表 1.入栈应用（in）
经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表

8 访问控制列表的入栈应用 查找路由表 进行选路转发 N 是否应用 访问列表 ? Y Y 是否允许 ? N 以ICMP信息通知源发送方

9 访问控制列表的出栈应用 选择出口 S0 S0 查看访问列表 的陈述 S0 是否应用 访问列表 ? 是否允许 ? Y 路由表中是
否存在记录 ? S0 是否应用 访问列表 ? N N Y 是否允许 ? Y N

10 IP访问控制列表的基本准则 ACL中规则的顺序问题 一切未被允许的就是禁止的 按规则链来进行匹配 规则匹配原则
在定义ACL时，一定要将条件限制范围小的规则放到ACL 的前面，条件限制范围大的规则放到ACL的后面。 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数 据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间 段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……”

11 IP访问控制列表的基本准则 一个访问列表多条过滤规则 拒绝 允许 拒绝 允许 拒绝 允许 隐含拒绝 是否匹配 规则条件1 ? Y Y N
是否匹配 规则条件2 ? Y Y 拒绝 允许 N Y 是否匹配 最后一个 条件 ? Y 拒绝 允许 N 隐含拒绝

12 标准访问控制列表 标准访问列表 根据数据包源IP地址进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表

13 标准访问控制列表 反掩码 0表示检查相应的地址比特 1表示不检查相应的地址比特 128 64 32 16 8 4 2 1 1 1 1

14 标准访问控制列表的配置 1.定义标准ACL 2.应用ACL到接口
编号的标准访问列表 Router(config)#access-list <1-99> <permit|deny> <源地 址> <反掩码> 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group <1-99> { in | out }

15 标准访问控制列表配置实例 access-list 1 deny 172.16.4.0 0.0.0.255
access-list 1 permit any (access-list 1 deny any)

16 标准访问控制列表配置实例 access-list 1 permit 172.16.3.0 0.0.0.255
(access-list 1 deny any) interface serial 1/2 ip access-group 1 out

17 标准访问控制列表配置实例 access-list 11 deny 192.168.1.2 0.0.0.0
access-list 11 permit int e0 ip access-group 11 in

18 标准访问控制列表配置实例

19 扩展访问控制列表 扩展访问控制列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进 行规则定义 100-199 号列表
eg.HDLC IP TCP/UDP 数据 端口号 协议 号列表 源地址 目的地址

20 扩展访问控制列表的配置 1.定义扩展的ACL 2.应用ACL到接口 编号的扩展ACL 命名的扩展ACL
Router(config)#access-list < > < permit /deny > <协议> <源地址> <反掩码> <源端口> <目的地址> <反掩码> < 目的端口 > 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group < > { in | out }

21 扩展访问控制列表的配置 常用端口与协议对照表

22 扩展访问控制列表配置实例 如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x..x）的
所有主机以HTTP访问服务器 ，但拒绝其它所 有主机使用网络 Router (config)# access-list 103 permit tcp host eq www Router # show access-lists 103

23 扩展访问控制列表配置实例

24 扩展访问控制列表配置实例 利用ACL隔离冲击波病毒 access-list 115 deny udp any any eq 69
　　access-list 115 deny tcp any any eq 135 　　access-list 115 deny udp any any eq 135 　　access-list 115 deny udp any any eq 137 　　access-list 115 deny udp any any eq 138 　　access-list 115 deny tcp any any eq 139 　　access-list 115 deny udp any any eq 139 　　access-list 115 deny tcp any any eq 445 　　access-list 115 deny tcp any any eq 593 　　access-list 115 deny tcp any any eq 4444 　　access-list 115 permit ip any any 　　interface <type> <number> 　　ip access-group 115 in 　　ip access-group 115 out 利用ACL隔离冲击波病毒

25 案例分析 案例背景 某公司机关的计算机网络接入互联网以来，公司的相关 负责人要求： 限制员工在工作时间利用QQ进行聊天
限制员工访问无聊的网站

26 案例分析 案例分析 若要限制工作人员利用QQ聊天，只要使用扩展访问控 制列表就可以做到。由于QQ采用的是UDP协议，因此只要
可构造如下扩展访问控制列表： access-list 102 deny udp any any

27 案例分析 案例分析 若要限制工作人员访问无聊网站，只需要找到无聊站点 的IP地址即可。根据公司WEB服务器日志，得到地址
/16为公司禁止访问的站点。这样可构造如下扩展 访问控制列表： access-list 102 deny tcp any host eq www

28 案例分析 具体路由器上的配置 略