第12章访问控制列表配置

知识要点：使用防火墙是保护网络安全的主要措施之一，Cisco路由器的访问控制列表配置功能使其可作为包过滤防火墙使用。访问列表分为基本访问列表和扩展访问列表，前者基于源IP地址对数据包进行过滤，后者基于源、目标IP地址和协议等对数据包进行过滤。访问列表要绑定在路由器的接口上才能生效，在一个端口的一个方向上，只能绑定一条访问列表。基于代理的防火墙能提供比包过滤更高的安全性，它能够隐藏内部网络的IP地址。PIX防火墙也是基于代理的防火墙，且它使用自己的操作系统PIX，其安全防护能力较强。配合路由器的包过滤与PIX的代理功能，设计两层或三层防火墙系统，是一种较为典型的Intranet防火墙安全系统构架。12.1路由器对网络的安全保护计算机网络提供了本地或远程共享和传输数据的能力。也正因为如此，网络又面临安全风险，因为数据可能被窃取、篡改或删除。对于一个Intranet，安全风险可能来自Intranet内部，也可能来自外部。对来自外部的风险，首选防火墙技术进行防范。12.1.1防火墙防火墙的名字非常形象，在网络中的地位如它的名字所示，它是一道安全之墙。根据网络安全等级和可信任关系，将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的数据包通过，同时把安全策略不允许的数据包隔离开来。1.防火墙在网络中的位置与作用根据防火墙的物理位置，可把其分为外部防火墙和内部防火墙。外部防火墙位于Intranet与Internet之间或Intranet与Intranet之间，内部防火墙则位于Intranet内部各个子网之间。防火墙无法防止来自防火墙内侧的攻击。防火墙对各种已知类型攻击的防御有赖于防火墙的正确的配置；对各种最新的攻击类型的防御则取决于防火墙软件更新的速度和相应的配置更新的速度。防火墙一方面阻止来自Internet的对Intranet的未授权或未验证的访问，另一方面允许内部网络的用户对Internet进行访问，还可作为访问的权限控制关口，如只允许Intranet内的特定的人可以出访。防火墙同时还具有一些其他功能，如进行身份鉴别，对信息进行加密处理等。防火墙不仅可用于对Internet的连接防护，也可以用来在Intranet之间和Intranet内部保护重要的设备和数据。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自Intranet内部。防火墙保护的最小单元可以是单台主机，这时在该机上安装防火墙软件。当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙就起到了一个“滤网”的作用，可以将需要禁止的数据包在这里过滤掉。2.网络层防火墙与应用层防火墙通常可把防火墙分为两大类：网络层防火墙和应用层防火墙。1）网络层防火墙网络层防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者直接获取包头的一段数据，经过与既定策略比较后确定数据包的取舍。网络层防火墙主要的功能如下：包过滤(PacketFilter)对每个数据包按照用户所定义规则进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是80或者大于等于1024的数据包通过，则只要在端口符合该条件，数据包便可以通过此防火墙。代理(Proxy)通常情况下指的是地址代理，一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。例如，一个公司内部网络的地址是192.168.33.0网段，而公司对外的合法IP地址是201.88.16.1～201.88.160.6，则内部的主机192.168.33.10通过浏览器以服务器时，在通过代理服务器后，IP地址和端口可能为201.88.16.2：4001。在代理服务器中维护着一张地址对应表，当外部网络的服务器返回结果时，代理服务器会将此IP地址和端口转化为内部网络的IP地址和端口80。代理服务器阻止了所有的外部网络的主机与内部网络之间的直接访问，所有的通信都必须通过它来“代理”实现。这样就可起到对特定资源的保护作用。网络地址转换（NAT）基于端口的NAT的原理和安全性与代理服务器类似。2）应用层防火墙应用层防火墙则对整个信息流进行分析，然后按既定策略确定数据包的取舍。常见的应用层防火墙按作用机制大致有以下两种：应用网关(ApplicationGateway)检验通过此网关的所有数据包中的应用层的数据。如FTP应用网关，对于连接的Client端来说是一个FTPServer，对于Server端来说是一个FTPClient。连接中传输的所有FTP数据包都必须经过此FTP应用网关。电路级网关(Circuit-LevelGateway)此电路指虚电路。在TCP发起一个连接之前，验证该会话的可靠性。只有在握手被验证为合法且握手完成之后，才允许数据包的传输。一个会话建立后，此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口时，才被允许通过。会话结束时，该会话在表中的入口被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过，在该连接上可以运行任何一个应用程序。以FTP为例，电路层网关在一个FTP会话开始时，在TOP层对此会话进行验证。如果验证通过，则所有的数据都可以通过此连接进行传输，直至会话结束。3.硬件防火墙与软件防火墙防火墙产品按形态又可分为硬件防火墙和软件防火墙。防火墙的功能都是靠软件来实现，所谓硬件防火墙是指软件固化在存储器芯片中的防火墙；所谓软件防火墙则是指需要安装在通用计算机上才能使用的防火墙软件。12.1.2路由器的防火墙功能路由器的主要功能是发现到达目标网络的路径，但也可用做防火墙，算是一种功能较为简单的硬件防火墙。一般路由器的防火墙功能主要是基于包过滤和网络地址转换NAT。此外，还能提供其他一些安全防护功能。Cisco路由器的网络安全防护功能主要有：AAA服务验证(Authentication)、授权(Authorization)和记账(Accounting)。安全服务器协议RADIUSRADIUS是一种分布式客户服务器系统，通过AAA实现网络访问安全，禁止未授权的访问。验证协议在PPP线路上支持CHAP和PAP等验证。包过滤用访问控制列表实现，允许指定可以通过(或禁止通过)路由器的数据包类型。地址转换隐藏内部IP地址。事件日志可用于记录系统安全方面事件，实时跟踪非法侵入。相邻路由器验证确保交换所交换路由信息的可靠性。终端访问用户安全命令行分级保护，特权用户口令，防止未授权用户的非法侵入。本章主要介绍Cisco路由器的包过滤功能和CiscoPIX防火墙。12.2访问列表配置路由器的包过滤是通过配置访问列表来实现的。路由器配置访问列表可以控制网络流量，按规则过滤数据报文，提高网络的安全性。12.2.1两种访问列表当外部数据包进或出路由器的某个端口时，路由器首先检查该数据包是否可以传送出去，该端口中定义了数据包的过滤规则，如果包过滤规则不允许该数据包通过，则路由器将丢掉该数据包；否则该数据包通过路由器。包过滤规则称为访问列表。访问列表有两种，对于IP，IPX或AppleTalk网络，其过滤规则有差异，IP网络的称为IP访问列表（AccessList），包括：标准IP访问列表该种包过滤规则只对数据包中的源地址进行检查。扩展IP访问列表该种包过滤规则对数据包中的源地址、目的地址、协议（如TCP，UDP，ICMP，Telnet，FTP等）或者端口号进行检查。1.标准IP访问列表与通配符掩码1)标准IP访问列表标准访问列表使得路由器通过对源IP地址的识别来控制来自某个或某一网段的主机的数据包的过滤。在全局配置模式下，标准IP访问列表的命令格式为：Access-listaccess-list-numberdeny|permitsource-ip-addreswildcard-mask其中，access-ist-number为列表号，取值1～99；deny|permit意为“允许或拒绝”，必选其一，source-ip-address为源IP地址或网络地址；wildcard-mask为通配符掩码。该命令的含义为：定义某号访问列表，允许（或拒绝）来自由IP地址和通配符掩码确定的某个或某网段的主机的数据通过路由器。2)通配符掩码通配符掩码的作用与子网掩码类似，与IP地址一起使用，以确定某个主机或某网段（或子网或超网）的所有主机。通配符掩码也是32b的二进制数，与子网掩码相反，它的高位是连续的0，低位是连续的1。它也常用点分十进制来表示。IP地址与通配符掩码的作用规则是：32b的IP地址与32b的通配符掩码逐位进行比较，通配符为0的位要求IP地址的对应位必须匹配，通配符为1的位所对应的IP地址的位不必匹配，可为任值（0或1）。例如：IP地址192.168.1.0|11000000101010000000000100000000通配符掩码0.0.0.255|00000000000000000000000011111111该通配符掩码的前24b为0,对应的IP地址位必须匹配，即必须保持原数值不变。该通配符掩码的后8b为1,对应的IP地址位不必匹配，即IP地址的最后8b的值可以任取，就是说，可在00000000～11111111之间取值。换句话说，192.168.1.00.0.0.255代表的就是IP地址192.16.8.1.1～192.168.1.254共254个。又如：IP地址128.32.4.16|10000000001000000000010000010000通配符掩码0.0.0.15|00000000000000000000000000001111该通配符掩码的前28b为0,要求匹配，后4b为1,不必匹配。即是说，对应的IP地址前28b的值固定不变，后4b的值可以改变。这样，该IP地址的前24b用点分十进制表示仍为128.32.4，最后8b则为00010000～00011111，即16～31。即是说，128.32.4.160.0.0.15代表的是IP地址128.32.4.16～128.32.4.31共16个。3）通配符掩码使用举例［例12.1］123.1.2.30.0.0.0全0的通配符掩码是默认的掩码，要求对应IP地址的所有位都必须匹配。故例一表示的就是IP地址123.1.2.3本身，在访问列表中亦可表示为host123.1.2.3［例12.2］0.0.0.0255.255.255.255全1的通配符掩码表示对应的IP地址位都不必匹配。也就是说，IP地址可任意。故例中表示的就是任意的主机IP地址，在访问列表中亦可表示为any［例12.3］111.11.0.00.0.255.255表示网络111.11.0.0中的所有主机的IP地址。2.扩展IP访问列表扩展访问列表除了能与标准访问列表一样基于源IP地址对数据包进行过滤外，还可以基于目标IP地址，基于网络层、传输层和应用层协议或者端口号，对数据包进行控制。在全局配置模式下，命令格式为：access-listaccess-list-numberdeny|permitprotocol|protocol-keywordsource-ipwildcardmaskdestination-ipwildcardmask［otherparameters］各参数的含义见表12.1。表12.1IP访问列表的参数及含义参数含义Protocol|protocol-keyword协议或协议标识关键字，包括ip、eigrp、ospf、gre、icmp、igmp、igrp、tcp、udpSourceip-address源地址Destination-ip-address目标地址Wildcardmask通配符掩码access-list-number访问列表号，取值100～199在其他可选参数（otherparamet