第7章 访问控制列表1

第十章访问控制列表主要内容ACL概述ACL配置与验证一、访问控制列表（ACL）概述ACL是应用到路由器接口的指令列表，通过放置在接口处，控制数据包被转发还是被拒绝过滤通信流量。至于是接收还是拒绝，路由器根据ACL中指定条件来监测通过路由器的每个数据包，决定转发或拒绝。ACL中的条件通过条件判断语句完成。ACL中条件判断语句按逻辑顺序执行，如果数据包的报头跟某个条件相匹配，该数据包要么被拒绝要么被允许。判断语句判断以下几个条件：帧头数据包（IP、IPX）段头（TCP、UDP）数据图7-1ACL适用所有网络层协议，如IP、IPX、APPletalk等，但要对每种协议单独定义ACL。ACL即可放在路由器入口也可放在出口。输入ACL与进入的流量有关，输出ACL与离开路由器的流量有关。二、ACL用途1.控制通信流量2.提供安全手段3.过滤具体通信类型三、ACL类型IPACL分为三种类型：IPStandard199IPextended100199命名访问控制列表IPXACL分为三种类型：Standardipx800899Extendedipx900999Ipxsap10001099Appletalk600699主要内容ACL概述ACL配置与验证一、IPACL配置1.standardacl：创建：access-listaccess-list-number{permit/deny}{test-condotion}Eg：1)access-list1permit192.168.0.100.0.0.0或：access-list1permithost192.168.0.102)access-list1permit192.168.0.00.0.0.2553)access-list1permit0.0.0.0255.255.255.255或：access-list1permitany4)access-list1permit172.30.16.00.0.15.255允许172.30.16.0172.30.31.0子网内所有主机通过5)access-list1deny192.168.0.100.0.0.0access-list1permitany应用：将列表应用到接口IPaccess-groupaccess-list-numberin/out•172.30.00010000.00000000•172.30.00010001.00000000•172.30.00010010.00000000•172.30.00010011.00000000•172.30.00010100.00000000•172.30.00010101.00000000•172.30.00010110.00000000•172.30.00010111.00000000•172.30.00011000.00000000………………………………………………172.30.00011111.00000000•0.0.00001111.11111111•0.0.15.255IP网络地址范围反掩码2.extendacl：创建：access-listaccess-list-number{permit/deny}protocol{sourcesource-maskdestinationdest-mask}operator注：operator-lt,gt,eq,neqEg：access-list101denytcp192.168.0.120.0.0.0192.168.0.10.0.0.0eq23logaccess-list101permitipanyany普通应用：将列表应用到接口Ipaccess-groupaccess-list-numberin/out控制VTY访问：将列表应用到VTY线路linevty04access-classaccess-list-numberin3.命令访问控制列表1)使用字符串代替数字表示ACL表号。下列情况下使用命令ACL：使用字符串直观表示特定ACL超过表号限制时需要配置命名控制列表补充命名控制列表被用来从一个ACL删除个别控制条目，不用删除整个列表。EG：删除标准列表的一个条目nopermit/deny{permit/deny}{test-condition}删除扩展列表的一个条目nopermit/denyprotocol{sourcesource-wildcarddestdest-wildcard}operator2)创建standard列表：IPaccess-liststandardnamepermit/deny{test-condition}Extend列表IPaccess-listextendnamepermit/denyprotocol{sourcesource-wildcarddestdest-wildcard}operator注：operator-lt,gt,eq,neq3)应用：Interfacee0Ipaccess-groupnamein/out二、验证监视•Showrunning-config•Showipinterface•Showipaccess-list•Showaccess-list•Ping三交换机端口控制列表1.创建并应用端口访问列表1)Macaccess-listextendname{deny|permit}{any|hostsourcemacaddress|sourcemacaddressmask}{any|hostdetinationmacaddress|detinationmacaddressmask}•2)interfaceinterface-id(应用到二层接口）•Macaccess-group{name}{in}2.基于时间的访问列表1)time-rangetime-range–name2)Absolute[starttimedate][endtimedate]Periodicday-of-the-weekhh:mmto[day-of-the-week]hh:mmPeriodic{weeldays|weekend|daily}hh:mmtohh:mm3)ipaccess-listextendedaccess-list-namedeny/permittcpanyanyeq–name•3.注释•使用关键字在访问控制列表中的已有条目上加写注释或备注•R2(config)#access-list110remarkpermitbobfromsalesonlytofinance•R2(config)#access-list110permitiphost172.16.10.1172.16.20.00.0.0.255•R2(config)#access-list110denyip172.16.10.00.0.0.255•R2(config)#ipaccess-listextendedno-telnet•R2(config-ext-nacl)#remarkdenyallofsalefromtelnettingtomarkting•R2(config-ext-nacl)#denytcp172.16.30.00.0.0.255172.16.40.00.0.0.255eq23•R2(config-ext-nacl)#permitipanyany•Showrun•ipaccess-listextendedno-telnet•remarkdenyallofsalefromtelnettingtomarkting•denytcp172.16.30.00.0.0.255172.16.40.00.0.0.255eq23permitipanyany•access-list110remarkpermitbobfromsalesonlytofinance•access-list110permitiphost172.16.10.1172.16.20.00.0.0.255•access-list110denyip172.16.10.00.0.0.255•基于上下文的访问控制（CBAC）•TCP是一个面向连接的协议。在传输数据之前，源主机与一个目的主机洽谈连接，通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间，TCP穿过几个“状态”或阶段(由数据包头标识的)。标准和扩展的访问控制列表(ACL)从包头状态来决定是否允许通信通过一个连接。----CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、会话（Session）特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个会话结束时，ACL入口被删除，大门关闭。•CBAC使用的加强机制----数据包检查监视数据包控制通道，识别控制通道中的应用专用指令，检测和预防应用级攻击。----通过检查，包将被转发，而CBAC创建一个状态表来维护会话状态信息。如果状态表存在，表明(数据)包属于一个有效会话，回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的会话。----当会话结束时，状态表被删除。在UDP(一种非连接的服务)情况下，CBAC通过根据地址/端口配对检查包来决定UDP会话，相应地中止UDP“会话”访问。----CBAC根据状态表中的信息，动态地创建和删除每一个路由器接口的访问控制列表入口。这些入口在集成的防火墙中创建暂时的“开口”，允许有效的回返通信流量进入网络。与状态表相似，动态ACL在会话结束时不被保存。•CBAC适用于何处----CBAC是针对每个接口进行配置的，可以被用于控制源于防火墙另一方的通信(双向);但是，大多数客户将CBAC用于仅源于一方的通信(单向)。•将CBAC配置为一个单向控制，其中客户会话是在内部网内启动的，必须穿过防火墙才能访问一个主机。例如，一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC可根据需要打开连接，并监视回返通信流量。•CBAC配置举例•认证代理•RADIUS是一种分布的，客户端/服务器系统，实现安全网络，反对未经验证的访问。在cisco实施中，RADIUS客户端运行在cisco路由器上上，发送认证请求到中心RADIUS服务器，服务器上包含了所有用户认证和网络服务访问的信息。RADIUS是一种完全开放的协议，分布源码格式，这样，任何安全系统和厂商都可以用。cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用，如TACACS+，Kerberos，以及本地用户名查找。CISCO所有的平台都支持RADIUS，但是RADIUS支持的特性只能运行在cisco指定的平台上。配置举例aaanew-model//开启aaaradius-serverhost123.45.1.2//指定Radius服务器radius-serverkeymyRaDiUSpassWoRd//定义访问服务器和Radius共享密文usernamerootpasswordALongPassword//用户名,密码.aaaauthenticationpppdialinsgroupradiuslocal//定义了认证方式列表dialins,这个东西指定了radius认证.然后,(如果radius服务器没有响应),本地username将会被用来验证ppp.aaaauthorizationnetworkdefaultgroupradiuslocal//用来给Radius用户绑定一个地址和其它网络参数aaaaccountingnetworkdefaultstart-stopgroupradius//用来跟踪ppp用法.aaaauthenticationloginadminslocal//给登