交换与路由技术课件 第8章 访问控制列表.pptx

第八章访问控制列表

01访问控制列表的工作原理和配置功能02基本访问控制列表03高级访问控制列表CONTENT目录04项目实验

访问控制列表的

工作原理和配置功能01

问题引入随着网络规模的不断扩展和网络连接的不断增多，尤其是当今的Internet并不是十分安全，网络管理的一个重要任务是保证网络的畅通和安全，有时候必须拒绝一些有害的流量，同时允许合适的访问。

8.1.1ACL定义访问控制列表（ACL）的概念最早可以追溯到20世纪60年代。当时，为了保护操作系统中的文件和资源，研究人员开始研究访问控制技术。其中，一种名为“访问控制矩阵”（AccessControlMatrix）的技术被提出，用于管理和控制对系统资源的访问权限。访问控制矩阵是一种二维表格，其中行表示用户，列表示资源，表格中的每个元素表示用户对资源的访问权限。访问控制矩阵是ACL的前身，为后来的ACL技术的发展奠定了基础。

8.1.1ACL定义访问控制列表（AccessControlList,简称ACL）是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。ACL用来对分组进行过滤或检测，以决定将分组转发到目的地还是丢弃它。

8.1.1ACL定义ACL用来对分组进行过滤或检测，以决定将分组转发到目的地还是丢弃它。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。我们常见的包过滤型防火墙可以通过在路由器上配置访问列表来实现。

8.1.2ACL工作原理如图8-1所示，网关RTA允许/24中的主机可以访问外网，也就是Internet；而/24中的主机则被禁止访问Internet。对于服务器A而言，情况则相反。网关允许/24中的主机访问服务器A，但却禁止/24中的主机访问服务器A。网关设备还可以依据ACL中定义的条件（例如源IP地址）来匹配入方向的数据，并对匹配了条件的数据执行相应的动作。

8.1.2ACL工作原理读取第三层及第四层包头中的信息，根据预先定义好的规则对包进行过滤

8.1.2ACL工作原理实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表

8.1.2ACL工作原理通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则

8.1.2ACL工作原理在ACL中，定义了一系列规则，称为访问控制条目（AccessControlEntries），每个条目都包含一个源地址、目标地址、协议类型以及允许或拒绝的操作。这些条目按照一定的顺序排列，形成一个列表。当数据包到达网络时，路由器会根据其目的地址与访问控制列表中的规则进行匹配。如果数据包的目的地址与某个条目的源地址相匹配，且该条目允许相应的操作（如读取、写入等），则路由器会允许数据包通过；否则，路由器会拒绝数据包的传输。

8.1.2ACL工作原理入站ACL

8.1.2ACL工作原理出站ACL

8.1.2ACL工作原理图8-1ACL应用示意图

8.1.2ACL工作原理如图8-1所示，网关RTA允许/24中的主机可以访问外网，也就是Internet；而/24中的主机则被禁止访问Internet。对于服务器A而言，情况则相反。网关允许/24中的主机访问服务器A，但却禁止/24中的主机访问服务器A。网关设备还可以依据ACL中定义的条件（例如源IP地址）来匹配入方向的数据，并对匹配了条件的数据执行相应的动作。

8.1.3ACL的基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；

8.1.3ACL的基本规则、准则和限制一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出