试验22NetSim－Cisco存取规则清单.PPT

第十一章－Cisco存取規則清單 實驗目的： 明瞭Cisco安全管理法則 建立ACLs－Standard、Extended 背景資料 Access List（存取規則清單）或Access Control List(ACL)是網路安全中的一項必要功能，當網路規模還很小時，常會使用密碼來允許使用者得到設備的權限，但如果網路規模愈來愈大時，網路管理者會開始面臨到存取上的管理問題，而Access List就是用來解決大中型網路上存取關係問題的方式。 當Access List功能啟動之後，如果有個封包進入路由器時，路由器所扮演的不再只是轉送的角色而已，而是要經過Access List的測試，才可以轉送出去，假若無法通過Access List中的存取規則，該封包就會被丟棄（drop）。 IP存取列表 IP網路環境中，我們使用IP存取列表有分成IP標準的存取列表（IP Standard Access Lists）及IP延伸的存取列表（IP extended Access Lists），範圍如下表所示。 標準的IP存取列表 標準的IP存取列表如圖示，只有比對封包的來源位址，然後進行允許(permit)或拒絕(deny)的限制動作。 標準的IP存取列表 標準的IP存取列表的語法，如下所示： access-list access-list-number {permit|deny} source [wildcard mask] access-list是主要的指令，而後面的參數說明如下： access-list-number：存取列表的號碼，標準的IP存取列表號碼是1~99。 permit|deny：指定這條規則是[允許|拒絕]。 source：要使用這條規則的來源IP位址。 wildcard mask：通配遮罩，0是進行檢查，1是不檢查。 通配遮罩 (wildcard mask) 範例一：source：192.192.73.120 Wildcard mask：0.0.0.0，代表每個位元都必需符合，此規則只針對192.192.73.120。 範例二：source：192.192.73.0 Wildcard mask：0.0.0.255，代表後面的256個位置會符合規則，也就是192.192.73.0~192.192.73.255都符合。 標準的IP存取列表 在訪問列表的最後有一條隱含聲明︰deny any，即使並沒有設定，所以每一條正確的訪問列表都至少應該有一條允許語句。 通配遮罩 通配遮罩用來設定個別的主機、網路區塊、或特定範圍的一個網路或多個網路，和子網路遮罩不同的是它並不需要連續的0再接上連續的1，其中0是進行檢查，1是不檢查，例如0.0.0.19，表示不檢查最後第5,2,1位元，不過除非是考試需要否則一般並不會如此設定，底下用一些實用範例來說明通配遮罩的設定。 通配遮罩 個別的主機 標準存取列表 Access-list 1 permit 192.168.1.1 0.0.0.0 Access-list 1 permit 192.168.1.1(標準存取列表預設值 0.0.0.0) Access-list 1 permit host 192.168.1.1 延伸存取列表 Access-list 101 permit ip 192.168.1.1 0.0.0.0 any Access-list 101 permit ip host 192.168.1.1 any 通配遮罩 通配遮罩 通配遮罩 通配遮罩 通配遮罩 啟動Access List 設定好存取列表的規則後，我們必需在指定的介面上啟動列表才算完成設定。啟動的語法如下所示： ip access-group access-list-number {in | out} ip access-group是主要指令，其後面的參數說明如下： access-list-number：是已設定好的存取列表編號。 in/out：in是進入介面，out是從介面輸出，預設是out。 路由器有ACL的封包處理流程 路由器待處理的封包數量眾多，所以增加ACL會增加路由器的負擔，有時會建議使用專用防火牆來過濾封包。 路由器有ACL的封包處理流程 路由器有ACL的封包處理流程 延伸的IP存取列表 IP延伸存取列表，顧名思義，就是IP標準存取列表的進階版本。IP延伸存取列表如圖示，可以使用較多的控制參數，比對封包的來源位址、目的位址、埠號和協定，然後進行允許(permit)或拒絕(deny)的限制動作。 延伸的IP存取列表 延伸的IP存取列表 延伸的IP存取列表的語法如下所示： access-list access-list-number {permit | deny} pro