ACL 概念:
Access Control Lists 列表:
是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
ACL 功能 :
限制网络流量、提高网络性能。 提供对通信流量的控制手段。 提供网络访问的基本安全手段。 在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
3P 原则 :
每种协议一个ACL要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。
每个方向一个ACL一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。
每个接口一个ACL一个ACL只能控制一个接口(例如快速以太网 0/0)上的流量。
访问控制列表遵循的重要规则 :
逐行顺序比较。
直到检测到匹配行,即停。不在进行后续比较。
每个访问控制列表的最后一行都是“隐式”的Deny——意味着如果数据包与访问控制列表中的所有行都不匹配,将被丢弃。
每个控制列表至少由一个DENY,否则是默认全部丢弃的
访问列表做好后一定要放到端口去.
ACL工作原理 ACL 要么配置用于入站流量,要么用于出站流量.
入站 ACL 传入数据包经过处理之后才会被路由到出站接口。入站 ACL 非常高效,如果数据包被丢弃,则节省了执行路由查找的开销。当测试表明应允许该数据包后,路由器才会处理路由工作. 出站 ACL 传入数据包路由到出站接口后,由出站 ACL 进行处理.
分类 :
标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
扩展IP访问列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
命名的IP访问列表
是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
标准IPX访问列表
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
扩展IPX访问列表
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。
扩展IPX访问控制列表的编号范围是900-999。
命名的IPX访问列表 与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。
Cisco ACLs的类型
标准 ACLs: 根据源 IP 地址允许或拒绝流量. 编号:1~99 及 1300~1999
扩展 ACLs: 根据多种属性. 编号:100~199 及 2000~2699
编号ACL和命名ACLs 从 Cisco IOS 11.2 版开始,可以使用名称来标识 Cisco ACL.
名称 可以包含字母数字字符 建议使用大写字母 不能包含空格或标点,必须以字母开头
使用ACL时主要涉及以下两项任务:
通过指定访问列表编号或名称以及访问条件来创建访问列表.
将ACL应用到接口或终端线路.
ACLs的放置位置:
每个ACL都应该放置在最能发挥作用的位置。
基本的规则是: 将扩展 ACL 尽可能靠近要拒绝流量的源。这样,才能在不需要的流量流经网络之前将其过滤掉.
因为标准ACL不会指定目的地址,所以其位置应该尽可能靠近目的地.
访问列表配置指南:
访问列表的编号指明了使用何种协议的访问列表
每个端口、每个方向、每条协议只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上,否则无法应用
访问列表不能过滤由路由器自己产生的数据
值得注意: 您应该将最频繁使用的ACL条目放在列表顶部.
您必须在ACL中至少包含一条permit语句,否则所有流量都会被阻止.
设置 (config)#access-list access-list-number deny/permit remark source [source-wildcard] [log] IP标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0
删除 (config)#no access-list access-list-number
将标准ACLs应用到接口 设置 (config-if)#ip access-group {access-list-number | access-list-name} {in | out}
指明是进方向(in)还是出方向(out) 缺省 = 出方向
删除 (config-if)#no ip access-group access-list-number
虚拟通道的配置 指明vty通道的范围 (config)#line vty vty-range
在访问列表里指明方向 (config-line)#access-class access-list-number {in|out}
扩展ACLs :
为了更加精确地控制流量过滤。
基于源地址和目标地址
指定TCP/IP的特定协议和端口号
编号在 100 到 199 之间以及 2000 到 2699 之间
最多可使用 800 个扩展 ACL
也可以对扩展 ACL 命名.
设置 (config)#access-list access-list-number { permit | deny | remark } protocol source [source-wildcard] [port port-number or name] destination [destination-wildcard ][ operator operand] [port port-number or name] [ established ]
删除 (config)#no access-list access-list-number
创建 (config)# ip access-list { standard | extended } name Standard 标准ACL Extended 扩展ACL
在接口上激活命名ACLs (config-if)# ip access-group name {in | out}
复杂 ACLs
在标准 ACL 和扩展 ACL 的基础上构建复杂 ACL,从而实现更多功能。
复杂 ACL 的类型
动态ACL 除非使用Telnet连接路由器并通过身份验证,否则要求通过路由器的用户都会遭到拒绝。
自反ACL 允许出站流量,而入站流量只能是对路由器内部发起的会话的响应。
基于时间的ACL 允许根据一周以及一天内的时间来控制访问。
概念 “锁和钥匙”是使用动态 ACL(有时也称为锁和钥匙 ACL)的一种流量过滤安全功能 动态 ACL 依赖于 Telnet 连接、身份验证(本地或远程)和扩展 ACL。
动态 ACL 的优点:
使用询问机制对每个用户进行身份验证
简化大型网际网络的管理
在许多情况下,可以减少与 ACL 有关的路由器处理工作
降低黑客闯入网络的机会
通过防火墙动态创建用户访问,而不会影响其它所配置的安全限制
何时使用动态 ACL :
您希望特定远程用户或用户组可以通过 Internet 从远程主机访问您网络中的主机.
您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机.
自反 ACLs 概念 :此类 ACL 使路由器能动态管理会话流量.
路由器检查出站流量,当发现新的连接时,便会在临时 ACL 中添加条目以允许应答流量进入.
自反 ACL 仅包含临时条目.
自反 ACL 还可用于不含 ACK 或 RST 位的 UDP 和 ICMP.
自反 ACL 仅可在扩展命名 IP ACL 中定义.
优点:
帮助保护您的网络免遭网络黑客攻击,并可内嵌在防火墙防护中。
提供一定级别的安全性,防御欺骗攻击和某些 DoS 攻击。自反 ACL 方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。
此类 ACL 使用简单。与基本 ACL 相比,它可对进入网络的数据包实施更强的控制.
基于时间的 ACLs 概念:
基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制.
优点 在允许或拒绝资源访问方面为网络管理员提供了更多的控制权.
允许网络管理员控制日志消息。ACL 条目可在每天定时记录流量,而不是一直记录流量。因此,管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问.
访问: