ACL访问控制列表

访问控制列表目标了解如何使用ACL来保护中型企业的分支机构网络.在中型企业的分支机构网络中配置标准ACL.在中型企业的分支机构网络中配置扩展ACL.描述中型企业的分支机构网络中复杂ACL.ACLs在中型企业的分支机构网络中的应用检测及故障排除.目录使用ACLs保护网络配置标准ACLs配置扩展ACLs配置复杂ACLs使用ACLs保护网络TCP会话ACL使您能够控制进出网络的流量.ACLs可以将ACL配置为根据使用的TCP和UDP端口来控制网络流量.TCP会话PortNumbers数据包过滤当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃.ACL可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：源IP地址目的IP地址ICMP消息类型ACL也可以提取上层信息并根据规则对其进行测试。上层信息包括：TCP/UDP源端口TCP/UDP目的端口数据包过滤在本场景中，数据包过滤器按如下方式检查每个数据包：如果来自网络A的TCPSYN数据包使用端口80，则允许其通过。但会拒绝用户的所有其它访问。如果来自网络B的TCPSYN数据包使用端口80，则阻止该数据包。但会允许用户的所有其它访问。什么是ACL?ACL是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制应该允许还是拒绝数据包通过.ACL执行以下任务:限制网络流量以提高网络性能.提供流量控制。ACL可以限制路由更新的传输.提供基本的网络访问安全性。ACL可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。决定在路由器接口上转发或阻止哪些类型流量。控制客户端可以访问网络中的哪些区域。屏蔽主机以允许或拒绝对网络服务的访问。ACL可以允许或拒绝用户访问特定文件类型，例如FTP或HTTP.什么是ACL?三种原则每种协议一个ACL要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL一个ACL只能控制一个接口（例如快速以太网0/0）上的流量。ACL可实现：限制网络流量以提高网络性能。例如，如果公司政策不允许在网络中传输视频流量，那么就应该配置和应用ACL以阻止视频流量。提供流量控制。ACL可以限制路由更新的传输。如果网络状况不需要更新，便可从中节约带宽。提供基本的网络访问安全性。ACL可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。例如，“人力资源”网络仅限选定用户进行访问。ACL可实现：决定在路由器接口上转发或阻止哪些类型的流量。例如，ACL可以允许电子邮件流量，但阻止所有Telnet流量。控制客户端可以访问网络中的哪些区域。屏蔽主机以允许或拒绝对网络服务的访问。ACL可以允许或拒绝用户访问特定文件类型，例如FTP或HTTP。ACL工作原理入站ACL传入数据包经过处理之后才会被路由到出站接口。入站ACL非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。当测试表明应允许该数据包后，路由器才会处理路由工作.ACL工作原理出站ACL传入数据包路由到出站接口后，由出站ACL进行处理.ACL工作原理隐含的“拒绝所有流量”条件语句ACL及路由器上的路由和ACL过程ACLs的类型有两类CiscoACLs,标准的和扩展的.标准ACLs:标准ACL根据源IP地址允许或拒绝流量.扩展ACLs:扩展ACL根据多种属性.标准ACL的工作原理使用ACL时主要涉及以下两项任务:Step1.通过指定访问列表编号或名称以及访问条件来创建访问列表.Step2.将ACL应用到接口或终端线路.编号ACL和命名ACLs编号200到1299已由其它协议使用.例如，AppleTalk使用编号600到699，而IPX使用编号800到899.ACLs的放置位置每个ACL都应该放置在最能发挥作用的位置。基本的规则是：将扩展ACL尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉.因为标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地.创建ACLs的一般指导原则ACL的最佳做法配置标准ACLs输入条件语句值得注意:您应该将最频繁使用的ACL条目放在列表顶部.您必须在ACL中至少包含一条permit语句，否则所有流量都会被阻止.Forexample,图中的两个ACL（101和102）具有相同的效果.配置标准ACL在图中，路由器会检查进入Fa0/0的数据包的源地址:access-list2deny192.168.10.1access-list2permit192.168.10.00.0.0.255access-list2deny192.168.0.00.0.255.255access-list2permit192.0.0.00.255.255.255配置标准ACL标准ACL命令的完整语法如下:Router(config)#access-listaccess-list-numberdeny/permitremarksource[source-wildcard][log]ACL通配符掩码通配符掩码使用以下规则匹配二进制1和0:通配符掩码位0—匹配地址中对应位的值通配符掩码位1—忽略地址中对应位的值ACL通配符掩码Wildcard和SubnetMask的关系：反掩码ACL通配符掩码any和host关键字将标准ACLs应用到接口配置标准ACL之后，可以使用ipaccess-group命令将其关联到接口:Router(config-if)#ipaccess-group{access-list-number|access-list-name}{in|out}将标准ACLs应用到接口Example1:允许单个网络的ACL示例.Example2:查看拒绝特定主机的ACL示例.Example3:查看拒绝特定子网的ACL示例.将标准ACLs应用到接口使用ACL控制VTY访问：access-class命令的语法是:access-classaccess-list-number{in[vrf-also]|out}编辑编号ACLs您无法选择性地插入或删除语句行.但可在文本编辑器（例如，Microsoft记事本）中创建ACL.编辑编号ACLs对ACL添加注释：创见标准命名ACLs图中显示了创建标准命名ACL的步骤.Step1.进入全局配置模式，使用ipaccess-list命令创建命名ACL。ACL名称是字母数字，必须唯一而且不能以数字开头.Step2.在命名ACL配置模式下，使用permit或deny语句指定一个或多个条件，以确定数据包应该转发还是丢弃.Step3.使用end命令返回特权执行模式.监控和检验ACLsshowaccess-lists编辑命名ACLs从CiscoIOS软件第12.3版开始，命名IPACL允许您删除指定ACL中的具体条目.您可以使用序列号将语句插入命名ACL中的任何位置。配置扩展ACLs扩展ACLs为了更加精确地控制流量过滤，您可以使用编号在100到199之间以及2000到2699之间的扩展ACL（最多可使用800个扩展ACL）。您也可以对扩展ACL命名.扩展ACLs测试端口和服务配置扩展ACLs配置扩展ACL的操作步骤与配置标准ACL的步骤相同—首先创建扩展ACL，然后在接口上激活它.配置扩展ACLs扩展ACL举例：将扩展ACL应用于接口将扩展ACL应用于接口创建命名扩展ACLs怎样建立命名扩展ACLs:Step1.进入全局配置模式，使用ipaccess-listextendedname命令创建命名ACL.Step2.在命名ACL配置模式中，指定您希望允许或拒绝的条件.Step3.返回特权执行模式，并使用showaccess-lists[number|name]命令检验ACL.Step4.（可选）建议您使用copyrunning-configstartup-config命令将条目保存在配置文件中.配置复杂ACLs什么是复杂ACLs?复杂ACL的类型在标准ACL和扩展ACL的基础上构建复杂ACL，从而实现更多功能。图中的表格总结了复杂ACL的三种类型.动态ACLs什么是动态ACL?“锁和钥匙”是使用动态ACL（有时也称为锁和钥匙ACL）的一种流量过滤安全功能动态ACL依赖于Telnet连接、身份验证（本地或远程）和扩展ACL。动态ACL的优点?使用询问机制对每个用户进行身份验证简化大型网际网络的管理在许多情况下，可以减少与ACL有关的路由器处理工作降低黑客闯入网络的机会通过防火墙动态创建用户访问，而不会影响其它所配置的安全限制动态ACLs何时使用动态ACL?您希望特定远程用户或用户组可以通过Internet从远程主机访问您网络中的主机.您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机.自反ACLs什么是自反ACLs?此类ACL使路由器能动态管理会话流量.路由器检查出站流量，当发现新的连接时，便会在临时ACL中添加条目以允许应答流量进入.自反ACL仅包含临时条目.自反ACL还可用于不含ACK或RST位的UDP和ICMP.自反ACL仅可在扩展命名IPACL中定义.自反ACL具有以下优点：帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。提供一定级别的安全性，防御欺骗攻击和某些DoS攻击。自反ACL方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。此类ACL使用简单。与基本ACL相比，它可对进入网络的数据包实施更强的控制.自反ACLs自反ACL示例基于时间的ACLs什么是基于时间的ACL?基于时间的ACL功能类似于扩展ACL，但它允许根据时间执行访问控制.基于时间的ACL优点在允许或拒绝资源访问方面为网络管理员提供了更多的控制权.允许网络管理员控制日志消息。ACL条目可在每天定时记录流量，而不是一直记录流量。因此，管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问.基于时间的ACLs基于时间的ACL示例Step1.定义实施ACL的时间范围，并为其指定名称（本例中为EVERYOTHERDAY）.Step2.对该ACL应用此时间范围.Step3.对该接口应用ACL.排除常见ACL错误示例1:示例2:排除常见ACL错误示例3:排除常见ACL错误示例4:排除常见ACL错误示例5:排除常见ACL错误