實(shí)現(xiàn)方法
首先在全局配置模式下定義訪問列表,然后將其應(yīng)用到接口中,使通過該接口的數(shù)據(jù)包需要進(jìn)行相應(yīng)的匹配,然后決定被通過還是拒絕。并且訪問列表語句按順序、邏輯地處理,它們?cè)诹斜碇凶陨舷蛳麻_始匹配數(shù)據(jù)包。如果一個(gè)數(shù)據(jù)包頭與訪問權(quán)限表的某一語句不匹配,則繼續(xù)檢測(cè)列表中的下一個(gè)語句。在執(zhí)行到訪問列表的最后,還沒有與其相匹配的語句,數(shù)據(jù)包將被隱含的“拒絕”語句所拒絕。
標(biāo)準(zhǔn)IP訪問控制列表
在實(shí)現(xiàn)過程中應(yīng)給每一條訪問控制列表加上相應(yīng)的編號(hào)。標(biāo)準(zhǔn)IP訪問控制列表的編號(hào)為1至99,作用是阻止某一網(wǎng)絡(luò)的所有通信流量,或允許某一網(wǎng)絡(luò)的所有通信流量。語法為: Router(config)#access-list access-list-number(1~99) {deny permit} source [source-wildcard] 如果沒有寫通配符掩碼,則默認(rèn)值會(huì)根據(jù)源地址自動(dòng)進(jìn)行匹配。下面舉例來說明:要阻止源主機(jī)為 192.168.0.45的一臺(tái)主機(jī)通過E0,而允許其他的通訊流量通過E0端口。Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0或Router(config)#access-list 1 deny host 192.168.0.45或Router(config)#access-list 1 deny 192.168.0.45Router(config)#access-list 1 permit anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 1 in 首先我們?cè)谌峙渲媚J较露x一條拒絕192.168.0.45主機(jī)通過的語句,通配符掩碼可以使用0.0.0.0或host,或使用缺省值來表示一臺(tái)主機(jī),然后將其訪問列表應(yīng)用到接口中。如果現(xiàn)在又修改了計(jì)算機(jī)的IP地址,那么這條訪問控制列表將對(duì)您不起作用。
擴(kuò)展IP訪問控制列表
擴(kuò)展IP訪問控制列表的編號(hào)為100至199,并且功能更加靈活。例如,要阻止192.168.0.45主機(jī)Telnet流量,而允許Ping流量。 Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 anyRouter(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 in
因?yàn)镻ing命令使用網(wǎng)絡(luò)層的ICMP協(xié)議,所以讓ICMP協(xié)議通過。而Telnet使用端口23,所以將端口號(hào)為23的數(shù)據(jù)包拒絕了,最終應(yīng)用到某一接口,這樣就可以達(dá)到目的。
命名訪問控制列表
對(duì)于某一給定的協(xié)議,在同一路由器上有超過99條的標(biāo)準(zhǔn)ACL,或有超過100條的擴(kuò)展ACL。想要通過一個(gè)字母數(shù)字串組成的名字來直觀地表示特定的ACL時(shí),并且路由器的IOS版本在11.2及以上時(shí),可以使用命名訪問控制列表,也就是用某些字符串來取代標(biāo)準(zhǔn)與擴(kuò)展ACL的訪問列表號(hào)。命名訪問控制列表的語法格式為: Router(config)#ip access-list {standard extended} name 在ACL配置模式下,通過指定一個(gè)或多個(gè)允許或拒絕條件,來決定一個(gè)數(shù)據(jù)包是允許通過還是被丟棄。語法格式如下: Router(config{std- ext-}nacl)#{permit deny} {source [source-wildcad] any}
下面是一個(gè)配置實(shí)例: ip access-list extended nyistpermit tcp 172.16.0.0 0.0.255.255 any eq 23deny tcp any anydeny udp 172.16.0.0 0.0.255.255 any lt 1024interface Ethernet 0ip access-group nyist in
基于時(shí)間訪問列表的應(yīng)用
隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基于時(shí)間的訪問列表。通過它,可以根據(jù)一天中的不同時(shí)間,或者根據(jù)一星期中的不同日期,或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問列表,就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中,加入有效的時(shí)間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個(gè)時(shí)間范圍,然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。
基于時(shí)間訪問列表的設(shè)計(jì)中,用time-range 命令來指定時(shí)間范圍的名稱,然后用absolute命令,或者一個(gè)或多個(gè)periodic命令來具體定義時(shí)間范圍。IOS命令格式為: time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下面分別來介紹一下每個(gè)命令和參數(shù)的詳細(xì)情況: time-range 用來定義時(shí)間范圍的命令。 time-range-name 時(shí)間范圍名稱,用來標(biāo)識(shí)時(shí)間范圍,以便于在后面的訪問列表中引用。 absolute 該命令用來指定絕對(duì)時(shí)間范圍。它后面緊跟著start和end兩個(gè)關(guān)鍵字。在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24小時(shí)制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其后面的時(shí)間,則表示與之相聯(lián)系的permit 或deny語句立即生效,并一直作用到end處的時(shí)間為止。如果省略end及其后面的時(shí)間,則表示與之相聯(lián)系的permit 或deny語句在start處表示的時(shí)間開始生效,并且一直進(jìn)行下去。 periodic 主要是以星期為參數(shù)來定義時(shí)間范圍的一個(gè)命令。它的參數(shù)主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個(gè)或者幾個(gè)的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。 下面我們來看一個(gè)實(shí)例:在一個(gè)網(wǎng)絡(luò)中,路由器的以太網(wǎng)接口E0連接著202.102.240.0網(wǎng)絡(luò),還有一個(gè)串口S0連入Internet。為了讓202.102.240.0網(wǎng)絡(luò)內(nèi)的公司員工在工作時(shí)間內(nèi)不能進(jìn)行WEB瀏覽,從2003年5月1日1時(shí)到2003年5月31日晚24時(shí)這一個(gè)月中,只有在周六早7時(shí)到周日晚10時(shí)才可以通過公司的網(wǎng)絡(luò)訪問Internet。
我們通過基于時(shí)間的擴(kuò)展訪問控制列表來實(shí)現(xiàn)這一功能: Router# config tRouter(config)# interface Ethernet 0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1:00 1 may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 我們是在一個(gè)擴(kuò)展訪問列表的基礎(chǔ)上,再加上時(shí)間控制就達(dá)到了目的。因?yàn)槭强刂芖EB訪問的協(xié)議,所以必須要用擴(kuò)展列表,那么編號(hào)需在100至199之間。我們定義了這個(gè)時(shí)間范圍的名稱是http,這樣,我們就在列表中的最后一句方便地引用了。
合理有效地利用基于時(shí)間的訪問控制列表,可以更有效、更安全、更方便地保護(hù)我們的內(nèi)部網(wǎng)絡(luò),這樣您的網(wǎng)絡(luò)才會(huì)更安全,網(wǎng)絡(luò)管理人員也會(huì)更加輕松。
檢驗(yàn)
在路由器中用show running-config命令檢查當(dāng)前正在運(yùn)行的配置文件,用show ip access-list命令來查看訪問控制列表,并在計(jì)算機(jī)的命令提示符下用Ping/Telnet命令進(jìn)行測(cè)試。
總結(jié)
在網(wǎng)絡(luò)安全體系中,最重要的安全要素—訪問控制的控制點(diǎn)在網(wǎng)絡(luò)通信通道的出入口上。內(nèi)部網(wǎng)絡(luò)通過路由器的廣域網(wǎng)接口與Internet相連,再通過此路由器的局域網(wǎng)接口接入內(nèi)部網(wǎng)絡(luò),而正確地放置ACL訪問控制列表將起到防火墻的作用。為了滿足與Internet間的訪問控制,以及滿足內(nèi)部網(wǎng)絡(luò)不同安全屬性網(wǎng)絡(luò)間的訪問控制要求,在路由器上配置防火墻,讓網(wǎng)絡(luò)通信均通過它,以此控制網(wǎng)絡(luò)通信及網(wǎng)絡(luò)應(yīng)用的訪問權(quán)限。
