《网络互联技术》第08讲：访问控制列表

主讲教师：李锡炼第七章访问控制列表•【教学目的】：通过本章的学习，让学生知道访问控制列表的功能和实现机制、访问控制列表的分类、命名访问控制列表的配置和应用、基于时间的访问控制列表的使用；掌握访问控制列表的定义和应用、标准访问控制列表的配置、扩展访问控制列表的配置、访问控制列表的工作过程。能为简单的网络根据用户的要求设置访问控制列表来实现公司网络的内部管理、流量控制和安全控制。•【重点难点】–重点：标准访问控制列表的配置和应用；扩展访问控制列表的配置和应用。–难点：基于时间的访问控制列表的理解和配置第七章：访问控制列表•【教学内容】–访问控制列表定义–访问控制列表功能–访问控制列表实现机制–访问控制列表的工作过程分析–访问控制列表的分类–标准访问控制列表的配置和应用–扩展访问控制列表的配置和应用–命名访问控制列表的配置和应用–基于时间的访问控制列瑶的配置和应用第七章：访问控制列表•【教学方法】–教学方式：多媒体教学–教学方法：案例分析+视频教学•通过对比分析让学生彻底掌握标准访问控制列表和扩展访问控制列表的区别。•利用视频教学资料，使学生在任何时间和地点能重温教学内容，尽一步掌握标准（扩展）访问控制列表的配置和实际应用。•通过上机实验让学生在boson模拟器的支持下完成标准访问控制列表和扩展访问控制列表的配置和应用。第七章：访问控制列表第一部分：访问控制列表概述一、数据包过滤技术数据包过滤是指路由器对需要转发的数据包，先获取报头信息，然后将其和设定的规则进行比较，根据比较的结果对数据包进行转发或丢弃。实现包过滤的核心技术是访问控制列表(AccessControlList,简称ACL)。Internet内部网络外部网络第一部分：访问控制列表概述二、访问控制列表的定义访问控制列表（AccessControlList，ACL）是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制，这种机制允许用户使用访问控制列表来管理信息流，以制作公司内部网络的相关策略。ACL根据指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。通过灵活地增加访问控制列表,可以把ACL当作一种网络控制的有利工具,用来过滤流入、流出路由器接口的数据包。第一部分：访问控制列表概述三、访问控制列表的实现机制（1）首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。（2）然后再将其应用在路由器的不同接口的不同方向上。（3）如果指定接口（该接口已应用指定的访问控制列表）指定方向（该方向上已应用指定的访问控制列表）上有数据包通过时，路由器将根据设定的访问控制列表的规则（逐条进行匹配，如果规则中上一条语句匹配，则下面所有的语句将被忽略）对数据包进行过滤，从而确定哪些数据包可以接收，哪些数据包需要拒绝。第一部分：访问控制列表概述四、访问控制列表的功能（1）、数据包过滤（2）、限制网络流量（3）、提高网络性能（4）、提高网络安全由于ACL访问控制列表是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。第一部分：访问控制列表概述五、访问控制列表的分类：主要分为标准访问控制列表和扩展访问控制列表。第一部分：访问控制列表概述六、访问控制列表工作过程分析第二部分：标准访问控制列表一、定义标准IP访问控制列表（1）语法：Router(config)#access-list[listnumber][permit|deny][host/any][source][source-wildcardmask][Log]（2）功能：只能根据数据帧的源地址进行过滤，而不能根据数据帧的目的地址进行数据过滤；只能拒绝或允许整个协议族的数据包，而不能根据具体的协议对数据包进行过滤。（3）位置：由于不能根据数据帧的目标地址进行过滤，而只能根据数据帧的源地址进行过滤，因此最好将标准访问控制列表放置离目标主机（或目标网络）最近的位置。第二部分：标准访问控制列表（4）参数说明：•定义访问控制列表必须在路由器的全局配置模式下进行•listnumber：访问控制列表号的范围，标准IP访问控制列表的列表号标识是从1到99。•permit/deny：关键字permit和deny用来表示满足访问列表项的报文是允许通过接口，还是要过滤掉。•permit表示允许“满足访问列表项”的报文通过接口•deny表示禁止“满足访问列表项”的报文通过接口•source：源地址，对于标准的IP访问控制列表，源地址可以是：host、any、具体主机IP地址或具体网络地址•host用于指定某个具体主机。•any用于指定所有主机。•source-wi1dcardmask：源地址通配符屏蔽码第二部分：标准访问控制列表二、host参数讲解host表示一种精确的匹配，其屏蔽码为0.0.0.0（host是0.0.0.O通配符屏蔽码的简写）。例如，假定我们希望允许从192.168.5.25来的报文，则应该制定如下标准IP访问控制列表语句：access-list44permit192.168.5.250.0.0.0如果采用关键字host，则也可以用下面的语句来代替：access-list44permithost192.168.5.25第二部分：标准访问控制列表三、any参数讲解any是源地证通配符屏蔽码“0.O.O.O255.255.255.255”的简写。假定我们要拒绝从源地址192.168.5.25来的报文，并且要允许从其他源地址来的报文，则应制定如下标准IP访问控制列表语句：access-list55denyhost192.168.5.25access-list55permit0.0.0.0255.255.255.255上述命令可以进行如下简写：access-list55denyhost192.168.5.25access-list55permitany第二部分：标准访问控制列表四、标准访问控制列表常见错误分析（1）、标准访问控制列表中语句顺序错误：access-list66permitanyaccess-list66denyhost192.168.5.25（2）、标准访问控制列表中列表号错误access-list166denyhost192.168.5.25access-list166permitany（3）不需要在标准访问控制列表的最后添加“denyany”语句access-list66permithost192.168.5.25access-list66denyany（4）、忘记在标准访问控制列表的最后添加“permitany”语句access-list66denyhost192.168.5.25第二部分：标准访问控制列表五、permit和deny应用的规则（1）最终目标是尽量让访问控制中的条目少一些。另外，访问控制列表是自上而下逐条对比，所以一定要把条件严格的列表项语句放在上面，然后再将条件稍严格的列表选项放在其下面，最后放置条件宽松的列表选项，还要注意，一般情况下，拒绝应放在允许上面。（2）如果拒绝的条目少一些，这样可以用DENY，但一定要在最后一条加上允许其它通过，否则所有的数据包将不能通过。（3）如果允许的条目少一些，这样可以用PERMIT，后面不用加拒绝其它（系统默认会添加denyany）。（4）最后，用户可以根据实际情况，灵活应用deny和permit语句。总之，当访问控制列表中有拒绝条目时，在最后面一定要有允许，因为ACL中系统默认最后一条是拒绝所有。第二部分：标准访问控制列表六、应用标准访问控制列表在定义了访问控制列表后，还必须将访问控制列表应用到路由器的某一个接口中。（1）语法格式Router(config-if)#ipaccess-groupaccess-list-number{in|out}（2）参数说明•必须先进入路由器的某一个接口，再使用“ipaccess-group”命令，将指定的访问控制列表应用到当前路由器接口中。•参数in和out表示访问控制列表作用在接口上的方向。（这里的in和out是以当前路由器本身为参照点的，控制数据包由外向内进入当前路由器指定接口为“in”；控制数据包由内向外流出当前路由器指定接口为“out”）。第二部分：标准访问控制列表七、标准访问控制列表例题一：in方向控制•Router(config)#access-list66denyhost192.168.5.25•Router(config)#access-list66permitany•Router(config)#interfaceethernet0/0•Router(config-if)#ipaccess-group66in第二部分：标准访问控制列表八、标准访问控制列表例题二：out方向控制•Router(config)#access-list77denyhost192.168.5.25•Router(config)#access-list77deny192.168.3.00.0.0.255•Router(config)#access-list77permitany•Router(config)#interfaceethernet0/1•Router(config-if)#ipaccess-group77out第二部分：标准访问控制列表九、下面图示中，谁可以与主机A通信？第二部分：标准访问控制列表十、虚拟终端访问控制标准访问列表和控制访问列表不会拒绝来自路由器虚拟终端的访问，基于安全考虑，对路由器虚拟终端的访问和来自路由器虚拟终端的访问都应该被拒绝，以下设置：只允许192.168.5.0网段内的主机访问路由器的虚拟端口。第三部分：扩展访问控制列表一、扩展访问控制列表简介顾名思义，扩展的IP访问控制列表用于扩展报文过滤能力。一个扩展的IP访问控制列表允许用户根据如下内容过滤报文:源地址、目的地址、协议类型、源端口、目的端口以及在特定报文字段中允许进行特殊位比较等等。例如，通过扩展IP访问控制列表用户可以实现：允许外部WEB通信量通过，而拒绝外来的FTP和Telnet通信量。扩展ACL既检查数据包的源地址，也检查数据包的目的地址。此外，还可以检查数据包特定的协议类型、端口号等。这种扩展后的特性给管理员带来了更大的灵活性，可以灵活多变地设置ACL的测试条件。数据包是否被允许通过出口，既可以基于它的源地址，也可以基于它的目的地址。第三部分：扩展访问控制列表二、扩展访问控制列表的定义（1）语法格式：Router(config)#access-listaccess-list-number|permit|deny|protocolsource[source-wildcardmaskdestinationdesitination-wildcardmask][operatorport]（2）参数说明•listnumber：扩展IP访问控制列表的表号标识从l00到199。•protocol：定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP.•源端口号和目的端口号：源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web的超文本传输协议。目的端口号的指定方法与源端口号的指定方法相同。第三部分：扩展访问控制列表三、常用的服务端口号•文件传输服务（FTP）使用的默认端口号为20、21（其中数据传输使用端口20、控制命令的传输使用端口21）•Telnet远程登录服务使用的默认端口号为23•简单邮件服务（SMTP）使用的默认端口号为25•简单文件传输服务（TFTP）使用的默认端口号为69•域名服务（DNS）使用的默认端口号为53•WEB服务（HTTP）使用的默