按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、时间 段进行匹配
规则匹配原则
从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的“允许/拒绝……”
一个访问列表多条过滤规则
是否匹配 规则条件1 Y ?Y
N
拒绝 拒绝
Y
是否匹配 规则条件2
Y
?
N
拒绝
Y 是否匹配 Y 最后一个 条件 N?
Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www
Router # show access-lists 103
access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list 115 permit ip any any
access-list 102 deny tcp any host 172.16.1.1 eq www
具体路由器上的配置
略
2.应用ACL到接口
Router(config-if)#ip access-group <100-199> { in | out }
扩展访问控制列表的配置
常用端口与协议对照表
如何创建一条扩展ACL
该ACL有一条ACE,用于允许指定网络(192.168.x..x)的 所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所 有主机使用网络
interface <type> <number> ip access-group 115 in ip access-group 115 out
利用ACL隔离冲击波病毒
案例背景
某公司机关的计算机网络接入互联网以来,公司的相关 负责人要求:
限制员工在工作时间利用QQ进行聊天 限制员工访问无聊的网站
案例分析
2.应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (access-list 1 deny any)
access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out
access-list 11 deny 192.168.1.2 0.0.0.0
路由器应用访问列表对流经接口的数据包进行控制
1.入栈应用(in)
经某接口进入设备内部的数据包进行安全规则过滤
2.出栈应用(out)
设备从某接口向外发送数据时进行安全规则过滤
一个接口在一个方向只能应用一组访问控制列表
是否应用 N 访问列表
?
Y
查找路由表 进行选路转发
是否允许 Y ?
N
以ICMP信息通知源发送方
允许 允许
允许
隐含拒绝
标准访问列表
根据数据包源IP地址进行规则定义
eg.HDLC
IP
TCP/UDP
数据
源地址
1-99 号列表
反掩码
128 64 32 16 8 4 2 1
00 0
0
0 00 0
001
1
1 11 1
0 00
0
1 11 1
111
1
1 11 1
0表示检查相应的地址比特 1表示不检查相应的地址比特
1.定义标准ACL
编号的标准访问列表 Router(config)#access-list <1-99> <permit|deny> <源地 址> <反掩码> 命名的标准访问列表
switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
access-list 11 permit 192.168.1.0 0.0.0.255 int e0 ip access-group 11 in
扩展访问控制列表
根据数据包中源IP、目的IP、源端口、目的端口、协议进 行规则定义
eg.HDLC
IP
TCP/UDP
数据
协议 源地址 目的地址
端口号
100-199 号列表
选择出口 S0
Y
路由表中是 否存在记录
?
N
是否应用 N 访问列表
?
Y
S0
查看访问列表
的陈述
S0
是允许 Y ?
N
ACL中规则的顺序问题
在定义ACL时,一定要将条件限制范围小的规则放到ACL 的前面,条件限制范围大的规则放到ACL的后面。
一切未被允许的就是禁止的
定义访问控制列表规则时,最终的缺省规则是拒绝所有数 据包通过
网络系统集成技术
第七章 访问控制列表
Access Control List
理论环节
访问控制列表的作用 访问控制列表的概念 访问控制列表的分类 访问控制列表的应用
实践环节
配置IP基本访问控制列表 配置IP扩展访问控制列表
案例分析环节
控制通信流量
例如,当网络访问流量较大时,需要对网络流量进行管理。
ISP
实现网络的安全访问
如下图:ACL允许人力资源网内的主机A访问财务网,而拒 绝主机B访问。
一个访问控制列表(ACL,Access Control List)是由一 系列的检查条件及对符合该条件的数据包是否允许经过网 络边缘设备的决定构成的,是应用在网络边缘设备接口上 的一组有序的规则集合。
在被应用到网络边缘设备接口之前,ACL对网络边缘设备 没有影响。
1.定义扩展的ACL
编号的扩展ACL
Router(config)#access-list <100-199> < permit /deny > <协议> <源地址> <反掩码> <源端口> <目的地址> <反掩码> < 目的端口 >
命名的扩展ACL
ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ]
若要限制工作人员利用QQ聊天,只要使用扩展访问控 制列表就可以做到。由于QQ采用的是UDP协议,因此只要 在工作时间禁止UDP数据包进入网络即可。要实现该目的, 可构造如下扩展访问控制列表:
access-list 102 deny udp any any
案例分析
若要限制工作人员访问无聊网站,只需要找到无聊站点 的IP地址即可。根据公司WEB服务器日志,得到地址 172.16.1.1/16为公司禁止访问的站点。这样可构造如下扩展 访问控制列表:
