论文内容板块.docVIP

网络安全概述 访问控制列表的原理 访问控制列表的类型 访问控制列表的特性和特征 使用访问控制列表阻止未经授权的访问 访问控制列表的配置原则 访问控制列表的实际应用（学校网络拓扑） 第二章 访问控制列表的原理 访问控制列表是由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或拒绝）两个部分。访问控制列表应用在路由器的接口上，通过匹配数据包信息和访问控制列表参数来决定允许还是拒绝数据包通过某个接口。访问控制列表可以分为进站访问控制列表和出站访问控制列表两部分，它们分别对进、出路由器的数据包进行控制，具体有以下三个步骤 ： (1) 当路由器的接口接收到一个数据包时，它首先检查是否有进站访问控制列表与接口相关联，如果没有，则进入正常的路由选择进程；如果有，则执行访问控制列表的允许或拒绝操作，被拒绝的数据包将会被丢弃，被允许的数据包将进入路由选择状态。 (2) 路由器对通过进站访问控制列表的数据包执行路由选择，如果其路由表中没有到达目标网络的路由，它将丢弃数据包；如果路由表中存在到达目标网络的路由条目，它会将数据包发往合适的出口。 (3) 数据包到达路由器的出口时，路由器检查是否有出站访问控制列表与此接口相关联，如果没有，它直接将数据包发送出去；如果有，它会执行访问控制列表的允许或拒绝操作，被拒绝的数据包将会被丢弃，被允许的数据包将被发送出去。 第三章 访问控制列表的类型 IP ACL根据功能主要分为两类： 标准访问 扩展访问 访问列表可分为标准访问列表和扩展访问控制列表。标准访问控制列表只检查数据包的源地址，功能较为单一。扩展IP访问列表不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等，因此，扩展访问控制列表具有更大的灵活性和可扩充性。 例1-1显示了一个标准访问控制列表的例子 例1-1 标准ACL Access-list 10 deny 55 这个访问控制列表拒绝源IP地址包含在子网/24中的流量。Access-list命末尾制定的掩码是通配符掩码，这就意味着它与通常用在IP地址中掩码相反。通配符掩码中的0制定了IP地址中的相应位；对于根据这一访问控制列表来得到匹配，通配符掩码中1所指定IP地址中的相应位不是重要的。 图1-1显示了怎样在路由器接口上处理标准ACL。为了限制通过接口的流量，在特殊的方向将一个访问组应用到一个接口上，这对于以这种方式打开或者关闭ACL处理来说就是拨动开关。在给定方向只有一个ACL可以应用到一个接口上。 图1-1使用标准ACL来限制通过路由器接口的流量 例1-2显示了一个扩展的访问控制列表。在这个例子中，允许主机访问端口80（HTTP）的上的Web服务器。但所有其他的流量都遭到拒绝。扩展访问控制列表中掩码的使用方法与标准访问控制列表中的一样。 例1-2 扩展ACL Access-list 100 permit tcp host host eq 80 Access-list 100 deny ip host host 使用代表性的host关键字来代替通配符掩码 扩展访问控制列表使用100到199之间的数字，而标准访问控制列表使用1到99之间的数字。 图1-2显示了怎样在路由器接口上处理扩展ACL。（插图） 第四章 访问控制列表的特性和特征 这一节描述的是思科路由器上ACLde一些主要特性和特征。ACE和ACL是这些特性的大部分组成。 基于匹配必要性的ACE顺序 以自顶向下的方式对ACL进行处理。当发现一个匹配表向时就停止处理过程。因此，首先进行指定主机（host-specific）表项的匹配，接下来进行子网匹配，然后是分类网络匹配，最后是ACE的“任意”匹配，以这种方式建立ACE很重要。如果ACL允许子网的一台特殊主机而不允许该子网的其他主机，并且在该特殊主机表项前已经配置了ACE，那么就首先匹配子网表项并且不处理更多的ACE。子网ACE应用到一台特殊主机，根据下一个ACE（它永远不会得到处理）该主机将得到允许。 基于匹配可能性的ACE顺序 ACL以一种自顶向下的方式得到处理，这意味着列在访问控制列表顶端的表项首先得到处理，就像路由器配置中所显示的那样。如果第一个表项没有与正在受检查的流量相匹配，那就接着处理剩余的表项。当发现一个匹配时就停止对访问控制列表的处理。由于ACL具有这一特性，所以对访问控制列表顶端那些更可能得到匹配的表项进行配置是非常有用的。然而在做这一项工作时一定要记住“基于匹配必要性的ACE顺序”中所描述的内容。这可以节省一些CPU的开销。作为头号规则，扩展访问控制列表的性能影响随着访问控制列表中的表项的增加而线性增加。 隐式拒绝ACE 任何定义好的访问控制列表在ACL配置表项的末尾都有一个隐式的deny all。这意味着如果访