6 访问控制列表和地址转换.ppt

1 6 访问控制列表和地址转换 ISSUE 4.0 学习目标 理解访问控制列表的基本原理 掌握标准和扩展访问控制列表的配置方法 掌握地址转换的基本原理和配置方法 课程内容 包过滤技术概念 包过滤：由路由器对需要转发的数据包进行区分，保证合法的数据包通过（保证合法访问），拒绝非法的数据包通过（拒绝非法访问）。 包过滤技术是在路由器上实现防火墙的一种主要方式，而实现包过滤的核心技术是访问控制列表。 IP包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。 访问控制列表的作用 访问控制列表具有“区分数据包”的功能。它可以控制“什么样的数据包”可以做“什么样的事情”。 访问控制列表应用于防火墙，可以在保证合法用户访问的同时拒绝非法用户的访问；也可以允许某种服务（如Telnet等）通过，而拒绝另一种服务（如DNS等）； 访问控制列表可以用于QoS（Quality of Service），对数据流量进行控制，数据处理的优先级控制等； 在DCC(拨号控制中心)中，访问控制列表可以规定触发拨号的条件； 访问控制列表可以用来规定哪些数据包需要进行地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 访问控制列表 IP数据包具有一定的特征。例如： TCP数据包：都包含有源地址、目的地址、协议号、源端口、目的端口。 利用这5个元素就可以描述出一个数据包的特征，即该数据包来自哪里、去往哪里、使用何种协议等。 访问控制列表利用IP数据包的特征来定义规则，以便区分不同的数据包，路由器将在使能访问控制列表的接口上，对所有的数据包进行规则的匹配检查。 例如：所有源地址是地址段的数据包、所有使用Telnet访问的数据包等，描述了一类数据包的共性。 访问控制列表举例（1） 例1：允许/16网段的主机使用协议HTTP访问。 acl 101 扩展访问列表：根据源及目的地址等区分数据包 rule permit tcp source 55 destination destination-port equal www 例2：禁止从/16网段发出的所有访问。 acl 1 标准访问列表：只根据源地址区分数据包 rule deny source 55 例3：拒绝任何主机使用Telnet登录。 acl 101 rule deny tcp source any destination-port equal telnet 访问控制列表举例（2） 例4：主机/16被允许通过协议SMTP将邮件发给我们，但是其他主机禁止该功能。 acl 101 rule permit tcp source 55 destination any destination-port equal smtp rule deny tcp source any destination-port equal smtp 注意： “用户名” 和“文件”不是访问控制列表所能辩认的信息，因此，以下说法是错误的： 某用户可以从外部远程登录，但其他用户不可以等； 某用户可以发送某些文件，而不能发送另一些文件等。 如何标识访问控制列表？ 利用数字唯一标识一条访问控制列表 利用数字范围标识访问控制列表的种类： 标准访问控制列表或扩展访问控制列表。 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 下图表示：路由器R允许来自/24网段的数据包通过，拒绝来自/24网段的数据包通过。 标准访问控制列表的配置（1） 配置标准访问列表的命令格式如下： acl acl-number [ match-order auto | config ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 标准访问控制列表的配置（2） 说明： 该命令表示：允许或拒绝来自指定网络的数据包，指定网络由IP地址和反掩码指定。 normal和special表示该规则是在普通时间段中有效还是在特殊时间段中有效，缺省为normal。 acl-number为规则序号，标准访问列表的规则序号范围为1-99。 permit和deny表示如果满足条件则允许或拒绝来自该网络的数据包通过。 source-address和source-wildcard分别为指定网络的IP地址和反掩码。 举 例 右图表示：路由器R允许来自/24网段的数据包通过，拒绝来自/24