第九课访问控制列表ACL.PDFVIP

第九课 访问控制列表ACL 教学目标： 理解ACL 的概念及其分类 理解ACL 的工作过程 掌握三种不同类型的ACL 的配置方法 学会使用ACL 控制虚拟终端的访问 重点： 理解ACL 的工作过程 掌握三种不同类型的ACL 的配置方法 难点： ACL 的灵活运用 教学内容： 一．ACL 概述 一个访问列表实际上是一系列分类数据包的规则。访问列表在你需要 控制网络流量的时候很有帮助。 一个关于访问列表的最普通和最容易理解的功能就是当执行安全策 略时过滤掉不需要的数据包。你可以设置不同的条件来达到指定的要 求，例如，你可以只允许某台主机访问因特网上的 WWW 资源而禁 止其它的主机访问。通过正确地组合访问列表，管理员能够执行几乎 所有能够想象出来的安全策略。 访问列表能够在其它环境中使用而不仅仅是用来过滤数据包。例如， 你可以用访问列表来控制使用动态路由协议的网络的路由通告等。配 置访问列表基本是一样的，只不过你把应用到接口的对象换成了路由 协议而已。这种应用到协议上的访问列表被称为分布列表，需要注意 的是访问列表并不能禁止路由协议通告路由，它只是控制通告路由的 内容而已。你还能够用访问列表来为排序或者QOS 服务分类数据包， 以及控制能够激活价格昂贵的ISDN 连接的流量类型。 建立一个访问列表跟编程有许多类似的地方，访问列表使用了一系列 的 if-then 描述：如果符合一个给定的规则条件，那么就发生相应的 作用。如果没有符合一个特定的规则那么什么都不会发生，接着进行 下一条件的判断。自从访问列表被创建，那么可以把它应用到任何接 口的入站（inbound ）或者出站（outbound ）方向。应用访问列表到一 个接口促使路由器分析经过该接口指定方向的所有数据包并进行相 应的操作。 当用一个访问列表来比较数据包的时候，有一些重要的规则： ·通常都是顺序地比较访问列表的每一个规则的，举个例子：从第一 行开始比较，然后到第二行，第三行。 ·如果比较的时候符合了访问列表的某一规则，那么就进行相应操作， 而不再进行比较接下来的访问列表规则。 ·在每一个访问列表的最后都有一个隐含的deny 规则，这意味着如 果一个数据包没有符合访问列表的任何规则，那么这个数据包将被丢 弃。 这些规则对于访问列表过滤 IP 数据包起到很大的作用，所以建议你 牢牢记住它们。 有两种主要类型的访问列表： ·Standard access lists：标准访问列表只对IP 数据包的源ip 地址进行 检查！基于源 ip 地址来作出所有的决定。这意味着标准访问列表主 要允许（permit ）或拒绝（deny ）整个协议，而不能针对某些IP 类型 的数据流量如WWW ，telnet ，UDP 等。 ·Extended access lists ：扩展访问列表能够检查IP 数据包头里许多三 层或者四层的其它字段的内容。它能够检查源ip 地址和目标ip 地址， 网络层（三层）的协议字段，以及传输层（四层）的端口号码。这使 得扩展访问列表能够对数据流控制作出更多的选择。 ·Named access lists ：等一下，你不是说两种类型而已吗？怎么还有 第三种啊！好的，从技术角度上说的确只有两种，但是命名访问列表 可以是标准或者扩展访问列表，实际上并不是一种新类型访问列表。 这里我把它拿出来讲是因为创建命名访问列表跟上面的两种都不太 一样，不过它们的功能都是一样的。 当你创建了一个访问列表的时候，它实际上并没有起作用，直到你应 用它。是的，它们是已经存在于路由器里，但直到你告诉路由器该怎 么用它们前它们是无效的。使用一个访问列表进行数据包过滤，你需 要把它应用到路由器上某个你需要执行过滤功能的接口才行，并且你 需要指定一个方向给访问列表。这是因为：你可能希望企业有不同的 访问因特网的方式但不希望因特网访问你企业内部的资料。所以，通 过指定数据流的方向，你可以（也经常）使用不同的访问列表来控制 某个接口的数据流： Inbound access lists ：当在一个接口上应用访问列表到进站的数据包 时，这些数据包会在到达出站接口前被访问列表处理。被拒绝的数据 包将不能到达出口，因为它们在被访问列表处理的时候就被丢弃了。 Outbound access lists ：当在一个接口上应用访问列表到出站的数据包 时，这些数据包可以到达出站的接口，然后在发送这些数据包前访问 列表对其进行操作。 当创建和执行