55ACL访问控制列表.ppt

ACL概述 ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的 ACL可以应用于诸多方面 包过滤防火墙功能 NAT（Network Address Translation，网络地址转换） QoS（Quality of Service，服务质量）的数据分类 路由策略和过滤 按需拨号 访问列表概述 访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容 访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定 访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许(permit)即允许数据包通过，不过滤数据包。 在路由选择进行以前，应用在接口进入方向的ACL（内向ACL）起作用。 在路由选择决定以后，应用在接口离开方向的ACL（内向ACL）起作用 每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句 ACL转发的过程 基于ACL的包过滤技术 对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤 入站包过滤工作流程 出站包过滤工作流程 IP地址与通配符掩码的作用规则 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 通配符掩码掩码的两种特殊形式 一个是host表示一种精确匹配，是通配符掩码0.0.0.0的简写形式 一个是any表示全部不进行匹配，是通配符掩码255.255.255.255的简写形式 参见P.231 通配符掩码 通配符掩码和IP地址结合使用以描述一个地址范围 通配符掩码和子网掩码相似，但含义不同 0表示对应位须比较 1表示对应位不比较 通配符掩码的应用示例 ACL的标识 基本ACL 基本访问控制列表只根据报文的源IP地址信息制定规则 高级ACL 高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则 二层ACL与用户自定义ACL 二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则 用户自定义ACL可以根据任意位置的任意字串制定匹配规则 报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。 访问列表配置步骤 第一步是配置访问列表语句 第二步是把配置好的访问列表应用到某个端口上 访问列表注意事项 注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。 标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。 标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。 在应用访问列表时，要特别注意过滤的方向 ACL包过滤配置任务 启动包过滤防火墙功能，设置默认的过滤规则 根据需要选择合适的ACL分类 创建正确的规则 设置匹配条件 设置合适的动作（Permit/Deny) 在路由器的接口上应用ACL，并指明过滤报文的方向（入站/出站） 启动包过滤防火墙功能 配置基本ACL 配置基本ACL，并指定ACL序号 基本IPv4 ACL的序号取值范围为2000～2999 配置高级ACL 配置二层ACL 在接口上应用ACL 将ACL应用到接口上，配置的ACL包过滤才能生效 指明在接口上应用的方向是Outbound还是Inbound ACL