第2部分-路由器配置与管理-4-园区网安全（ACL）修订版.ppt

石家庄学院 计算机系 网络教研室 2011-4修订 1、什么是访问列表 ? ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。 2、为什么要使用访问列表 3、访问列表的组成 ? 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口／ＶＬＡＮ上 ? 访问控制列表的分类： 1、标准ＡＣＬ 2、扩展ＡＣＬ 3、命名ＡＣＬ（标准／扩展） ? 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务 4、访问列表规则的应用 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out） 5、ACL的基本准则 ? 一切未被允许的就是禁止的。 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 ? 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ? 从头到尾，至顶向下的匹配方式 ? 匹配成功马上停止 ? 立刻使用该规则的“允许、拒绝……” 6、一个访问列表多个测试条件 ? 标准访问列表 根据数据包源IP地址进行规则定义 ? 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 IP标准访问列表（2） IP标准访问列表配置技术（4） 9、反掩码（通配符） IP扩展访问列表（1） IP扩展访问列表的配置（2） 1、定义扩展的ACL Router(config)# access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 2、应用ACL到接口 Router(config-if)#ip access-group 100-199 |{name} { in | out } IP扩展访问列表配置实例（3） 允许网络内所有主机访问HTTP服务器，拒绝其它主机使用网络。 Switch (config)# access-list 111 permit tcp 55 host eq www Switch # show access-lists 扩展访问列表的应用（4） 11、ACL分类（3）---命名访问控制列表（略） 1、定义命名的扩展ACL ? ip access-list extended name ? { deny | permit } protocol　source wildcard destination wildcard [ operator port ] 2、应用ACL到接口 Router(config-if)#ip access-group name { in | out } ?　访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 1-199 ?　访问列表的注意事项 1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。 2、所有访问列表默认规则是拒绝所有数据包 3、处理方式只有允许通过和拒绝通过 4、锐捷路由器只能编写编号方式的规则 5、锐捷交换机只能编写命名方式的规则 6、一个端口在某一方向只能应用一组访问列表 目的地址 源地址 协议 端口号 100-199号列表 TCP/UDP 数据 IP eg.HDLC 　　 access-list 115 deny udp any any eq 69 　　access-list 115 deny tcp any any eq 135 　　access-list 115 deny udp any any eq 135 　　access-list 115 deny udp any any eq 137 　　access-list 115 deny udp any any eq 138 　　access-list 115 deny tcp any any eq 139 　　access-list 115 deny udp any any eq 139 　　access-list 115 deny tcp any any eq 445 　　access-list 115 deny tcp any any eq 593 　　access-list 115 deny tcp any any eq 4444