訪問控制列表簡(jiǎn)稱為ACL,訪問控制列表使用包過濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源端口,目的端口等,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾,從而達(dá)到訪問控制的目的。該技術(shù)初期僅在路由器上支持,近些年來已經(jīng)擴(kuò)展到三層交換機(jī),部分最新的二層交換機(jī)也開始提供ACL的支持了。
訪問控制列表的原理
對(duì)路由器接口來說有兩個(gè)方向
出:已經(jīng)經(jīng)路由器的處理,正離開路由器接口的數(shù)據(jù)包
入:已經(jīng)到達(dá)路由器接口的數(shù)據(jù)包,將被路由器處理。
匹配順序?yàn)椋?quot;自上而下,依次匹配".默認(rèn)為拒絕
訪問控制列表的類型
標(biāo)準(zhǔn)訪問控制列表:一般應(yīng)用在out出站接口。建議配置在離目標(biāo)端最近的路由上
擴(kuò)展訪問控制列表:配置在離源端最近的路由上,一般應(yīng)用在入站in方向
命名訪問控制列表:允許在標(biāo)準(zhǔn)和擴(kuò)展訪問列表中使用名稱代替表號(hào)
訪問控制列表使用原則
1、最小特權(quán)原則
只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個(gè)規(guī)則的交集,只滿足部分條件的是不容許通過規(guī)則的。
2、最靠近受控對(duì)象原則
所有的網(wǎng)絡(luò)層訪問權(quán)限控制。也就是說在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的,只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā),而不繼續(xù)檢測(cè)下面的ACL語句。
3、默認(rèn)丟棄原則
在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意,雖然我們可以修改這個(gè)默認(rèn),但未改前一定要引起重視。
由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的,過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息,這種技術(shù)具有一些固有的局限性,如無法識(shí)別到具體的人,無法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此,要達(dá)到端到端的權(quán)限控制目的,需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問權(quán)限控制結(jié)合使用。
一、標(biāo)準(zhǔn)訪問列表
訪問控制列表ACL分很多種,不同場(chǎng)合應(yīng)用不同種類的ACL.其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問控制列表,標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾,使用訪問控制列表號(hào)1到99來創(chuàng)建相應(yīng)的ACL.
它的具體格式:
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 為1-99 或者 1300-1999之間的數(shù)字,這個(gè)是訪問列表號(hào)。
例如:access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1地址的數(shù)據(jù)包丟棄。
當(dāng)然我們也可以用網(wǎng)段來表示,對(duì)某個(gè)網(wǎng)段進(jìn)行過濾。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通過上面的配置將來自192.168.1.0/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是0.0.0.255呢?這是因?yàn)镃ISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼,反向掩碼為0.0.0.255的代表他的子網(wǎng)掩碼為255.255.255.0.
小提示:對(duì)于標(biāo)準(zhǔn)訪問控制列表來說,默認(rèn)的命令是HOST,也就是說access-list 10 deny 192.168.1.1表示的是拒絕192.168.1.1這臺(tái)主機(jī)數(shù)據(jù)包通訊,可以省去我們輸入host命令。
標(biāo)準(zhǔn)訪問列表配置實(shí)例:
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
上面配置的含義是阻止來自網(wǎng)段192.168.2.0的機(jī)器從int fa0/0.1端口出去,訪問列表在配置好之后,要把它在端口上應(yīng)用,否則配置了還是無效的。
注意事項(xiàng):
1、標(biāo)準(zhǔn)訪問列表,一般來說配置盡量靠近目的端。
2、配置的第二條命令中的any相當(dāng)于 0.0.0.0 255.255.255.255
3、一定要加pemint any,使其他的網(wǎng)絡(luò)可通。
4、訪問列表是從上到下一條一條進(jìn)行匹配的,所以在設(shè)置訪問列表的時(shí)候要注意順序。如果從第一條匹配到最后一條還是不知道要怎么做,路由器就會(huì)丟棄這個(gè)數(shù)據(jù)包,也就是為什么上面的例子中上一定要加permit any.
5、如果只阻止一個(gè)主機(jī),那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,這兩種配置是等價(jià)的。
刪除已建立的標(biāo)準(zhǔn)ACL
R1(config)#no access-list +access-list number
對(duì)標(biāo)準(zhǔn)的ACL來說,不能刪除單個(gè)acl語句,只能刪除整個(gè)ACL
總結(jié):標(biāo)準(zhǔn)ACL占用路由器資源很少,是一種最基本最簡(jiǎn)單的訪問控制列表格式。應(yīng)用比較廣泛,經(jīng)常在要求控制級(jí)別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問控制列表了,他可以滿足我們到端口級(jí)的要求。
二、擴(kuò)展訪問控制列表
上面我們提到的標(biāo)準(zhǔn)訪問控制列表是基于IP地址進(jìn)行過濾的,是最簡(jiǎn)單的ACL.那么如果我們希望將過濾細(xì)到端口怎么辦呢?或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過濾。這時(shí)候就需要使用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個(gè)特定服務(wù)擴(kuò)展訪問控制列表使用的ACL號(hào)為100到199.
擴(kuò)展訪問控制列表的格式:
access-list access-list number {permit/deny} protocol +源地址+反碼 +目標(biāo)地址+反碼+operator operan(It小于,gt大于,eq等于,neq不等于。具體可?)+端口號(hào)
1、擴(kuò)展訪問控制列表號(hào)的范圍是100-199或者2000-2699.
2、因?yàn)槟J(rèn)情況下,每個(gè)訪問控制列表的末尾隱含deny all,所以在每個(gè)擴(kuò)展訪問控制列表里面必須有:access-list 110 permit ip any any .
3、不同的服務(wù)要使用不同的協(xié)議,比如TFTP使用的是UDP協(xié)議。
4、更多注意事項(xiàng)可以參考上面標(biāo)準(zhǔn)訪問控制列表部分
例如:access-list 101 deny tcp any host 192.168.1.1 eq www //將所有主機(jī)訪問192.168.1.1這個(gè)地址網(wǎng)頁服務(wù)(WWW)TCP連接的數(shù)據(jù)包丟棄。
小提示:同樣在擴(kuò)展訪問控制列表中也可以定義過濾某個(gè)網(wǎng)段,當(dāng)然和標(biāo)準(zhǔn)訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。
擴(kuò)展訪問控制列表配置實(shí)例:
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq www
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp
R2(config)#int fa0/0
R2(config-if)#ip access-group 110 out
上面配置的含義是拒絕訪問192.168.1.12的www和ftp服務(wù)
實(shí)例二:
路由器連接了二個(gè)網(wǎng)段,分別為172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù),IP地址為172.16.4.13.
要求:禁止172.16.3.0的計(jì)算機(jī)訪問172.16.4.0的計(jì)算機(jī),包括那臺(tái)服務(wù)器,不過惟獨(dú)可以訪問172.16.4.13上的WWW服務(wù),而其他服務(wù)不能訪問。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www //設(shè)置ACL101,容許源地址為任意IP,目的地址為172.16.4.13主機(jī)的80端口即WWW服務(wù)。由于CISCO默認(rèn)添加DENY ANY的命令,所以ACL只寫此一句即可。
進(jìn)入相應(yīng)端口
ip access-group 101 out //將ACL101應(yīng)用到端口
設(shè)置完畢后172.16.3.0的計(jì)算機(jī)就無法訪問172.16.4.0的計(jì)算機(jī)了,就算是服務(wù)器172.16.4.13開啟了FTP服務(wù)也無法訪問,惟獨(dú)可以訪問的就是172.16.4.13的WWW服務(wù)了。
刪除已建立的擴(kuò)展標(biāo)準(zhǔn)ACL
刪除和標(biāo)準(zhǔn)一樣,不能單條刪除,只能刪除整個(gè)acl
總結(jié):擴(kuò)展ACL功能很強(qiáng)大,他可以控制源IP,目的IP,源端口,目的端口等,能實(shí)現(xiàn)相當(dāng)精細(xì)的控制,擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址,還要讀取第四層包頭中的源端口和目的端口的IP.不過他存在一個(gè)缺點(diǎn),那就是在沒有硬件ACL加速的情況下,擴(kuò)展ACL會(huì)消耗大量的路由器CPU資源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù),將其簡(jiǎn)化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法。
三、命名訪問控制列表
不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端,那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題,希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會(huì)影響到整個(gè)ACL列表。這一個(gè)缺點(diǎn)影響了我們的工作,為我們帶來了繁重的負(fù)擔(dān)。不過我們可以用基于名稱的訪問控制列表來解決這個(gè)問題。
命名訪問控制列表格式:
ip access-list {standard/extended} access-list-name(可有字母,數(shù)字組合的字符串)
例如:ip access-list standard softer //建立一個(gè)名為softer的標(biāo)準(zhǔn)訪問控制列表。
命名訪問控制列表使用方法:
router(config)#ip access-list standard +自定義名
router(config-std-nac1)#11 permit host +ip //默認(rèn)情況下第一條為10,第二條為20.如果不指定序列號(hào),則新添加的ACL被添加到列表的末尾
router(config-std-nac1)#deny any
對(duì)于命名ACL來說,可以向之前的acl中插入acl,刪除也可以刪除單條acl,
如:router(config)#ip access-list standard benet
router(config-std-nasl)#no 11
使用show access-lists可查看配置的acl信息
總結(jié):如果設(shè)置ACL的規(guī)則比較多的話,應(yīng)該使用基于名稱的訪問控制列表進(jìn)行管理,這樣可以減輕很多后期維護(hù)的工作,方便我們隨時(shí)進(jìn)行調(diào)整ACL規(guī)則。
四、反向訪問控制列表
反向訪問控制列表屬于ACL的一種高級(jí)應(yīng)用。他可以有效的防范病毒。通過配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相PING,A可以PING通B而B不能PING通A.
說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個(gè)過程,首先是源主機(jī)向目的主機(jī)發(fā)送連接請(qǐng)求和數(shù)據(jù),然后是目的主機(jī)在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機(jī)。反向ACL控制的就是上面提到的連接請(qǐng)求。
反向訪問控制列表的格式:
反向訪問控制列表格式非常簡(jiǎn)單,只要在配置好的擴(kuò)展訪問列表最后加上established即可。
反向訪問控制列表配置實(shí)例:
路由器連接了二個(gè)網(wǎng)段,分別為172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24網(wǎng)段中的計(jì)算機(jī)都是服務(wù)器,我們通過反向ACL設(shè)置保護(hù)這些服務(wù)器免受來自172.16.3.0這個(gè)網(wǎng)段的病毒攻擊。
要求:禁止病毒從172.16.3.0/24這個(gè)網(wǎng)段傳播到172.16.4.0/24這個(gè)服務(wù)器網(wǎng)段。
路由器配置命令:
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established //定義ACL101,容許所有來自172.16.3.0網(wǎng)段的計(jì)算機(jī)訪問172.16.4.0網(wǎng)段中的計(jì)算機(jī),前提是TCP連接已經(jīng)建立了的。當(dāng)TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。
進(jìn)入路由相應(yīng)端口
ip access-group 101 out //將ACL101應(yīng)用到端口
設(shè)置完畢后病毒就不會(huì)輕易的從172.16.3.0傳播到172.16.4.0的服務(wù)器區(qū)了。因?yàn)椴《疽雮鞑ザ际侵鲃?dòng)進(jìn)行TCP連接的,由于路由器上采用反向ACL禁止了172.16.3.0網(wǎng)段的TCP主動(dòng)連接,因此病毒無法順利傳播。
小提示:檢驗(yàn)反向ACL是否順利配置的一個(gè)簡(jiǎn)單方法就是拿172.16.4.0里的一臺(tái)服務(wù)器PING在172.16.3.0中的計(jì)算機(jī),如果可以PING通的話再用172.16.3.0那臺(tái)計(jì)算機(jī)PING172.16.4.0的服務(wù)器,PING不通則說明ACL配置成功。
通過上文配置的反向ACL會(huì)出現(xiàn)一個(gè)問題,那就是172.16.3.0的計(jì)算機(jī)不能訪問服務(wù)器的服務(wù)了,假如圖中172.16.4.13提供了WWW服務(wù)的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個(gè)擴(kuò)展ACL規(guī)則,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www
這樣根據(jù)"最靠近受控對(duì)象原則"即在檢查ACL規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的,只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā),而不繼續(xù)檢測(cè)下面的ACL語句。172.16.3.0的計(jì)算機(jī)就可以正常訪問該服務(wù)器的WWW服務(wù)了,而下面的ESTABLISHED防病毒命令還可以正常生效。
五、定時(shí)訪問控制列表
設(shè)置步驟:
1、定義時(shí)間段及時(shí)間范圍。
2、ACL自身的配置,即將詳細(xì)的規(guī)則添加到ACL中。
3、宣告ACL,將設(shè)置好的ACL添加到相應(yīng)的端口中。
定義時(shí)間范圍的名稱:
router(config)#time-range time-range-name
定義一個(gè)時(shí)間周期
router(config-time-range)#periodic(周期) days-of-the-week hh:mm to [days-of-the-week] hh:mm
其中days-of-the-week的取值有
Monday Tuesday Wednesday Thursday Friday Saturday Sunday{周一到周日}
daily(每天)weekdays(在平日)weekend(周末)
定義一個(gè)絕對(duì)時(shí)間
router(config)#time-range time-range-name
router(config-time-range)#absolute [start hh:mm day month year] [end hh:mm day month year]
在擴(kuò)展ACL中引入時(shí)間范圍
router(config)#access-list access-list-number {permit|deny} protocol {source ip +反碼 destination ip +反碼 +operator+time-range+time-range-name}
定時(shí)訪問控制列表實(shí)例:
路由器連接了二個(gè)網(wǎng)段,分別為172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24網(wǎng)段中有一臺(tái)服務(wù)器提供FTP服務(wù),IP地址為172.16.4.13.
要求:只容許172.16.3.0網(wǎng)段的用戶在周末訪問172.16.4.13上的FTP資源,工作時(shí)間不能下載該FTP資源。
路由器配置命令:
time-range softer //定義時(shí)間段名稱為softer
periodic weekend 00:00 to 23:59 //定義具體時(shí)間范圍,為每周周末(6,日)的0點(diǎn)到23點(diǎn)59分。當(dāng)然可以使用periodic weekdays定義工作日或跟星期幾定義具體的周幾。
access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer //設(shè)置ACL,禁止在時(shí)間段softer范圍內(nèi)訪問172.16.4.13的FTP服務(wù)。
access-list 101 permit ip any any //設(shè)置ACL,容許其他時(shí)間段和其他條件下的正常訪問。
進(jìn)入相應(yīng)端口。
ip access-group 101 out //應(yīng)用到端口
基于時(shí)間的ACL比較適合于時(shí)間段的管理,通過上面的設(shè)置172.16.3.0的用戶就只能在周末訪問服務(wù)器提供的FTP資源了,平時(shí)無法訪問。
六、訪問控制列表流量記錄
網(wǎng)絡(luò)管理員就是要能夠合理的管理公司的網(wǎng)絡(luò),俗話說知己知彼方能百戰(zhàn)百勝,所以有效的記錄ACL流量信息可以第一時(shí)間的了解網(wǎng)絡(luò)流量和病毒的傳播方式。下面這篇文章就為大家簡(jiǎn)單介紹下如何保存訪問控制列表的流量信息,方法就是在擴(kuò)展ACL規(guī)則最后加上LOG命令。
實(shí)現(xiàn)方法:
log 192.168.1.1 //為路由器指定一個(gè)日志服務(wù)器地址,該地址為192.168.1.1
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log //在希望監(jiān)測(cè)的擴(kuò)展ACL最后加上LOG命令,這樣就會(huì)把滿足該條件的信息保存到指定的日志服務(wù)器192.168.1.1中。
小提示:如果在擴(kuò)展ACL最后加上log-input,則不僅會(huì)保存流量信息,還會(huì)將數(shù)據(jù)包通過的端口信息也進(jìn)行保存。使用LOG記錄了滿足訪問控制列表規(guī)則的數(shù)據(jù)流量就可以完整的查詢公司網(wǎng)絡(luò)哪個(gè)地方流量大,哪個(gè)地方有病毒了。簡(jiǎn)單的一句命令就完成了很多專業(yè)工具才能完成的工作。
