1.基本概念 访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。 2.基本功能 (1)限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。 (2)提供对通信流量的控制手段。 (3)提供网络访问的基本安全手段。 (4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 3.基本作用 (1)提供网络访问的基本安全手段; (2)可用于QoS,控制数据流量; QoS(服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力, 是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。 (3)控制通信量; (4)使用ACL阻止某指定网络访问另一指定网络;
实现访问控制列表的核心技术是包过滤,通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP); 从下图中可以看出,通过访问控制列表可以实现公司总部与办事处之间的联通;但是未授权的用户是无法访问到公司总部的。从而提高了网络访问的安全性。 5.工作过程 (1)访问控制列表的工作过程 访问数据到达访问控制列表接口的数据包逐条对比信息,若访问控制列表中的信息与输入的信息相符,则根据规则允许或拒绝信息的通过;若访问控制列表中的信息与输入的信息不符,则拒绝信息的通过。 (2)访问控制列表的入口规则 当数据包进入到接口时,首先判断接口上是否存在访问控制列表,若接口不存在ACL,则直接转发数据;若接口上存在ACL,则比较ACL中的列表信息,若与ACL列表相符则根据规则处理数据信息,若与ACL列表不相符则根据规则丢弃数据信息。 (3)访问控制列表的出口规则 当数据经过路由器的接口向外转发时,首先查看路由表的信息,是否有到达目的段的路由信息或默认路由信息,若无则丢弃数据,若有则检测接口上的ACL列表信息。首先判断接口上是否存在访问控制列表,若接口不存在ACL,则直接转发数据;若接口上存在ACL,则比较ACL中的列表信息,若与ACL列表相符则根据规则处理数据信息,若与ACL列表不相符则根据规则丢弃数据信息。 6.ACL列表的基本命令 第一步创建访问控制列表; Router(config)#access-list access-list-number {permit|deny} {test conditions} (1)Access-list是ACL列表的关键词; (2)access-list-number是ACL列表的序号;1-99为标准访问控制列表的编号;100-199为扩展访问控制列表的编号; (3)permit允许数据包通过应用了访问控制列表的接口; (4)deny 拒绝数据包通过; 第二步应用到接口上 Router(config)#interface接口编号 //进入相应的接口 Router(config-if)#ip access-group access-list-number {in|out} //应用到接口的出口或入口方向; 规则:通配符: (1)any等价于0.0.0.0 255.255.255.255 access-list 1 permit 0.0.0.0 255.255.255.255 含义:允许所有信息通过该接口。 access-list 1 permit any 含义:允许所有信息通过该接口。 (2)host + IP地址 允许某一个固定的主机通过该接口 access-list 1 permit 172.16.30.1 0.0.0.0 含义:允许IP地址为172.16.30.1的主机通过该接口; access-list 1 permit host 172.16.30.1 含义:允许IP地址为172.16.30.1的主机通过该接口; 7.访问控制列表的分类 目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到"允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量",那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。 8.ACL的工作原则 记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL: 每种协议一个 ACL:要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL :一个ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。 每个接口一个 ACL :一个ACL 只能控制一个接口(例如快速以太网0/0)上的流量。 |
|
来自: Teacher_Lin > 《网络安全技术》