如何访问控制的列表(ACL)一点心得.ppt

第7章 访问控制列表(ACL) 8.1 ACL概述 ACL的工作过程 8.2 ACL语句 应用ACL 通配符掩码 8.3 标准访问控制列表 标准ACL配置举例1 标准ACL配置举例2 标准ACL配置举例3 8.4 扩展访问控制列表 扩展ACL配置举例1 扩展ACL配置举例2 扩展ACL配置举例3 扩展ACL配置举例4 8.5 命名访问控制列表 命名ACL配置方法 例1 配置标准命名ACL 例2 配置扩展命名ACL 8.6 正确放置访问控制列表 R1 E0 R1是局域网和外网的边界路由器，1是一个有害的Web网站，禁止内网用户访问该网站。 S0 192.168.*.* /24 /24 R1(config)# access-list 100 deny tcp 55 host 1 eq 80 R1(config)# access-list 100 permit ip any any R1(config)# interface e0 R1(config-if)# ip access-group 100 in R1 E0 R1是局域网和外网的边界路由器，禁止对S0口的ping操作。 S0 192.168.*.* /24 /24 R1(config)# access-list 100 deny icmp any host R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 说明：ping命令使用的是ICMP协议，但ICMP除了具有网络探查功能外，还需要用它传输各种错误信息，所以在路由器上不应该禁止该协议。如果想要禁止ping，最好使用专用的防火墙。 命名ACL是新版路由器操作系统(11.2以后的版本)增加的一种定义ACL的方法。 命名ACL使用一个符号串作为ACL的名字，不再使用表号。 命名ACL也有标准ACL和扩展ACL两种，一个命名ACL只能是其中的一种。 Router(config)# ip access-list { standard | extended } name standard：定义标准命名ACL。 extended：定义扩展命名ACL。 name：ACL的名字，可自定义。 该命令执行后，提示符变为Router(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可输入ACL语句。 命名ACL语句格式：处理方式 条件。 它只比以前的ACL少了前面的“access-list 表号”部分，其它都相同。 * * 利用ACL可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。 访问控制列表(ACL)由一组规则组成，在规则中定义允许或拒绝通过路由器的条件。 ACL过滤的依据主要包括源地址、目的地址、上层协议等。 ACL有两种：标准访问控制列表、扩展访问控制列表。 ACL的基本用途是限制访问网络的用户，保护网络的安全。 ACL一般只在以下路由器上配置： 1、内部网和外部网的边界路由器。 2、两个功能网络交界的路由器。 限制的内容通常包括： 1、允许那些用户访问网络。（根据用户的IP地址进行限制） 2、允许用户访问的类型，如允许http和ftp的访问，但拒绝Telnet的访问。（根据用户使用的上层协议进行限制） 访问控制列表(ACL) 由多条判断语句组成。每条语句给出一个条件和处理方式（通过或拒绝）。 路由器对收到的数据包按照判断语句的书写次序进行检查，当遇到相匹配的条件时，就按照指定的处理方式进行处理。 ACL中各语句的书写次序非常重要，如果一个数据包和某判断语句的条件相匹配时，该数据包的匹配过程就结束了，剩下的条件语句被忽略。 一个访问控制列表(ACL)可由多条语句组成，每条ACL语句的形式为： Router(config)# access-list 表号 处理方式 条件 ACL表号：用于区分各访问控制列表。 一台路由器中可定义多个ACL，每个ACL使用一个表号。 其中针对IP数据报的ACL可使用的表号为： 标准访问控制列表：1~99。 扩展访问控制列表：100~199。 同一个ACL中各语句的表号相同。 处理方式：取值有permit（允许）和deny（拒绝）两种。当数据包与该语句的条件相匹配时，用给定的处理方式进行处理。 条件：每条ACL语句只能定义一个条件。 例： access-list 1 permit 55 access-list 1 deny 55 第1句表示允许地址为10.*.*.*的数据包通过。 第2句表示拒绝地址为20.*.*.*的数据包通过。 这里的地址指