第7章 访问列表 《网络设备管理》课件.ppt

网络设备管理 第7章 访问列表 7.1 访问控制列表简介 访问控制列表（Access Control List，ACL）是路由器端口的指令列表，用来控制端口进出的数据包。访问列表（Access List）是一系列运用网络地址或上层协议实现的允许或拒绝指令的集合，这些指令告诉路由器接受哪些数据包及拒绝哪些数据包。ACL使用户能够管理数据流，检测特定的数据包。ACL根据一定的配置参数，如源地址、目标地址、端口号等接受或拒绝数据包，路由器将根据ACL对经过路由器端口的数据包进行检查。 ACL基于相关的协议（如IP、IPX）对经过路由器的数据包进行过滤，具有灵活的基本数据流过滤能力和特定的控制能力。访问控制列表可以限制非法的网络访问，允许正常的网络访问。使用访问控制列表，可以在路由器端口处决定哪种类型的数据被转发，哪种类型的数据被阻塞。根据不同的协议，ACL可以指定路由器优先处理哪些数据包。ACL可以限定或减少路由更新的内容，保证网络访问的安全。 ACL的基本原理是使用包过滤技术在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、源端口、目的端口等），根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 ACL一方面保护资源节点，阻止非法用户对资源节点的访问；另一方面限制特定的用户节点所能具备的访问权限。 访问控制列表在使用时也有其局限性。由于ACL是通过包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这就造成了无法识别应用内部的权限级别。因此，要达到端到端的权限控制的目的，ACL需要与系统级及应用级的访问权限控制结合使用。 7.1.1 ACL的类型 1.标准ACL 标准ACL只检查源地址，允许或拒绝整个协议簇；可以提供数据流过滤控制，是基于源地址和通配掩码的访问控制列表；可以允许或禁止整套IP协议；使用的表号范围是1～99。 2.扩展ACL 扩展ACL检查源和目的地址以及TCP或UDP端口号，通常用于允许或拒绝特定的协议。它可以实现更加精确的数据流过滤，还可以指定扩展ACL针对特定的协议进行操作。扩展ACL使用的表号范围是100～199。 7.1.2 ACL的工作流程 一个数据包入站后，首先路由器或者防火墙检测这个数据包是否可被路由，如果允许路由，则进入路由选择表入口判断过程；否则，丢弃数据包。在判断路由选择表入口时，如果存在路由选择表入口，则进入选择接口过程；否则，将数据包丢弃。完成接口的选择后，进入ACL表项检查过程，如果不存在ACL控制表项，则数据包直接出站；如果存在ACL表项，则按照ACL设置的测试条件进行判定，如果数据包满足测试条件，则将数据包送出站，否则将数据包丢弃，并且通知发送端数据包被ACL过滤。ACL的工作流程如图7-1所示。 7.1.3 常见端口号 在网络服务中，通常需要通过对应的服务端口来实现通信，因此，在ACL设置中，必须开启相关的TCP或UDP服务端口。表7-1列出了常见的服务端口。 7.1.4 ACL的取值范围 在访问控制列表的配置中，ACL所使用的协议是由ACL的表号来标识的，表7-2指出了每种协议所允许的合法表号的取值范围。 7.1.5 ACL配置步骤 ACL配置的第一步是设置访问控制列表语句，第二步是把配置好的访问控制列表应用到某个端口上。要注意访问控制列表中语句的次序，尽量把作用范围小的语句放在前面。新的表项只能被添加到访问控制列表的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须要改变，只能先删除已存在的访问控制列表，接着创建一个新访问控制列表，然后将新访问控制列表应用到相应的端口上。 ACL的放置位置决定了它对通信流量的控制能力。标准访问控制列表只使用源地址实现控制，将其放置在靠近源端的位置会阻止报文流向其他端口，因此，配置中应尽量将其放在靠近目的端的位置（接收站设备位置）。为了实现精确访问控制，一般使用扩展访问控制列表。扩展访问控制列表应放置在靠近过滤源的位置上，以免影响其他端口上的数据流。 7.1.6 访问控制列表的配置和使用原则 1.最小特权原则 最小特权原则是指只赋予受控对象为完成任务而所必须具有的最小权限，控制的总规则是各个规则的交集，只满足部分条件的规则是不能被通过的。 2.最靠近受控对象原则 最靠近受控对象原则是指在检查规则时，采用自上而下的方法检查ACL表项，只要发现了符合条件的ACL表