ACL访问控制列表

ACL访问控制列表访问控制列表（ACL）ACL是一系列permit或deny语句组成的顺序列表，应用于地址或上层协议。ACL在控制进出网络的流量方面相当有用。数据包过滤数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问。数据包过滤路由器根据源和目的IP地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。ACLACL中的语句从上到下一行一行进行比对，以便发现符合该传入数据包的模式。下面是一些使用ACL的指导原则：在位于内部网络和外部网络（例如Internet）交界处的防火墙路由器上使用ACL。在位于网络两个部分交界处的路由器上使用ACL，以控制进出内部网络特定部分的流量。在位于网络边界的边界路由器上配置ACL。这样可以在内外部网络之间，或网络中受控度较低的区域与敏感区域之间起到基本的缓冲作用。为边界路由器接口上配置的每种网络协议配置ACL。您可以在接口上配置ACL来过滤入站流量、出站流量或两者。3P原则每种协议一个ACL要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL一个ACL只能控制一个接口（例如快速以太网0/0）上的流量。（ACL数目=协议*方向*接口数）ACL执行以下任务：限制网络流量以提高网络性能。提供流量控制提供基本的网络访问安全性。决定在路由器接口上转发或阻止哪些类型的流量。控制客户端可以访问网络中的哪些区域。屏蔽主机以允许或拒绝对网络服务的访问。ACL工作原理ACL出站流程ACL及路由器上的路由和ACL过程ACL的分类CiscoACL有两种类型：标准ACL和扩展ACL。标准ACL标准ACL根据源IP地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。扩展ACL扩展ACL根据多种属性（例如，协议类型、源和IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）过滤IP数据包，并可依据协议类型信息（可选）进行更为精确的控制。使用ACL时主要涉及以下两项任务：步骤1.通过指定访问列表编号或名称以及访问条件来创建访问列表。步骤2.将ACL应用到接口或终端线路。编号ACL和命名ACL根据要过滤的协议分配编号：（1到99）以及（1300到1999）：标准IPACL（100到199）以及（2000到2699）：扩展IPACL为ACL指定名称：名称中可以包含字母数字字符。建议名称以大写字母书写。名称中不能包含空格或标点，而且必须以字母开头。您可以添加或删除ACL中的条目。ACL的放置位置在适当的位置放置ACL可以过滤掉不必要的流量，使网络更加高效。每个ACL都应该放置在最能发挥作用的位置。基本的规则是：将扩展ACL尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉。因为标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地。ACL的最佳做法配置标准ACLRemark—在IP访问列表中添加备注，增强列表的可读性。Log—（可选）对匹配条目的数据包生成信息性日志消息，该消息将随后发送到控制台。（控制台采用哪种级别记录该消息取决于loggingconsole命令。）消息内容包括ACL号、数据包是被允许还是拒绝、源地址以及数据包数目。此消息在出现与条件匹配的第一个数据包时生成，随后每五分钟生成一次，其中会包含在过去的五分钟内允许或拒绝的数据包的数量。ACL通配符掩码(在通配符掩码中的“0”就等于子网掩码中的“255”)通配符掩码和子网掩码之间的差异在于它们匹配二进制1和0的方式。通配符掩码使用以下规则匹配二进制1和0：通配符掩码位0—匹配地址中对应位的值通配符掩码位1—忽略地址中对应位的值扩展ACL扩展ACL可以根据源IP地址、目的地址、源端口号、目的端口号和关键字来匹配数据包是否能通过转发，您可以使用逻辑运算，例如等于(eq)、不等于(neq)、大于(gt)和小于(lt)。established（可选）仅用于TCP协议：指示已建立的连接。复杂ACL动态ACL（锁和钥匙）：除非使用Telnet连接路由器并通过身份验证，否则要求通过路由器的用户都会遭到拒绝自反ACL:允许出站流量，而入站流量只能是对路由器内部发起的会话的响应基于时间的ACL:允许根据一周以及一天内的时间来控制访动态ACL：使用动态ACL的一些常见原因如下：您希望特定远程用户或用户组可以通过Internet从远程主机访问您网络中的主机。“锁和钥匙”将对用户进行身份验证，然后允许特定主机或子网在有限时间段内通过防火墙路由器进行有限访问。您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机。此时可利用“锁和钥匙”，仅为有此需要的本地主机组启用对远程主机的访问。“锁和钥匙”要求在允许用户从其主机访问远程主机之前，通过AAA、TACACS+服务器或其它安全服务器进行身份验证。动态ACL的优点：与标准ACL和静态扩展ACL相比，动态ACL在安全方面具有以下优点：使用询问机制对每个用户进行身份验证简化大型网际网络的管理在许多情况下，可以减少与ACL有关的路由器处理工作降低黑客闯入网络的机会通过防火墙动态创建用户访问，而不会影响其它所配置的安全限制配置实例：自反ACL自反ACL允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。但目的还是不能主动访问源。自反ACL具有以下优点：帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。提供一定级别的安全性，防御欺骗攻击和某些DoS攻击。自反ACL方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。例如，源和目的地址及端口号都会检查到，而不只是ACK和RST位。此类ACL使用简单。与基本ACL相比，它可对进入网络的数据包实施更强的控制。配置实例：基于时间的ACL顾名思义就是说，在一定时间范围内你可以访问Internet，在这个时间范围以外拒绝访问。基于时间的ACL具有许多优点，例如：在允许或拒绝资源访问方面为网络管理员提供了更多的控制权。允许网络管理员控制日志消息。ACL条目可在每天定时记录流量，而不是一直记录流量。因此，管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问。配置实例