第8章内网安全管理.pptVIP

8.4 访问控制列表 　　路由器（或第三层交换机）上的访问控制列表（Access Control List，ACL）功能可实现包过滤的功能。ACL选择路由器的端口作为控制点，检查每一个进出的数据包。ACL是基于网络层协议的，支持IP、IPX等多种协议。对于IP，ACL可检查IP包的源地址、目的地址、TCP和UDP、TCP和UDP上的端口号等深层信息，提供了良好的控制能力。 　　通过交换机上VLAN功能和路由器的ACL功能的有机结合，可分离用户中不同部门的不同应用，保证用户网的内部访问安全性。 第六十二页，共一百二十八页。 　　包过滤功能可以控制控制数据包在网络中的传输，通过包过滤可以限制网络流量以及增加网络安全性。包过滤功能对路由器本身产生的数据包不起作用。当数据包进入某个端口时，路由器首先检查该数据包是否可以通过路由或桥接方式送出去，如果不能，则路由器将丢掉该数据包，如果该数据包可以传送出去，则路由器将检查该数据包是否满足该端口中定义的包过滤规则，如果包过滤规则不允许该数据包通过，则路由器将丢掉该数据包。 第六十三页，共一百二十八页。 　　Cisco路由交换设备中有两种方式的包过滤规则： 　　（1）标准包过滤。该种包过滤只对数据包中的源地址进行检查，在要求控制级别较低的情况下使用。 　　（2）扩展包过滤。该种包过滤对数据包中的源地址、目的地址、协议及端口号都进行检查，常用在更加复杂的控制数据包的传输，它可以满足到端口级的要求。 第六十四页，共一百二十八页。 　　配置包过滤分为两个步骤，先定义包（标准或扩展）过滤规则，然后再引用包过滤规则。 　　1．定义标准包过滤规则 　　在全局配置状态下输入如下格式的命令。 　　access-list 标识号码 deny︱permit 源地址 通配符 　　2．定义扩展包过滤规则 　　在全局配置状态下输入如下格式的命令。 　　access-list 标识号码 deny︱permit 协议标识 源地址 通配符 目地地址 通配符 第六十五页，共一百二十八页。 　　Cisco路由交换设备中access-list规定的标识号码如下： 　　IP标准包过滤标识号码范围为1～99； 　　IP扩展包过滤标识号码范围为100～199； 　　可以在指定范围内任意选择一个标识号码定义相应的包过滤规则，deny参数表示禁止，permit表示允许。 第六十六页，共一百二十八页。 　　通配符也为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。 　　如果要检查的是一台主机，通配符可写为0.0.0.0。通配符在书写上也可看成是子网掩码的反码。在命令中地址和通配符的组合可使用any代表匹配所有地址，使用host ip地址代表一台主机，等同于ip地址 0.0.0.0。 第六十七页，共一百二十八页。 　　一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，Cisco路由交换设备默认最后一句为ACL中加入了deny any any，也就是丢弃所有不符合条件的数据包。 第六十八页，共一百二十八页。 　　3．引用包过滤规则 　　在需要包过滤功能的端口，输入如下格式的命令。 ip access-group 包过滤规则标识号 in︱out 　　其中in表示对进入该端口的数据包进行检查，out表示对要从该端口送出的数据包进行检查。 如果不进行步骤3的配置，则所定义的包过滤规则根本不会执行。 第六十九页，共一百二十八页。 　　例：标准包过滤配置 　　在全局配置模式下，定义标准包过滤规则 access-list 10 deny host 192.168.1.1（或access-list 10 deny 192.168.1.1） 　　上面这条命令是将所有来自192.168.1.1地址的数据包丢弃。 access-list 10 deny 192.168.2.0 0.0.0.255 　　上面这条命令是将来自192.168.2.0/24网段的所有计算机数据包进行过滤丢弃。 access-list 10 permit any 　　上面这条命令是允许其他任何地址的计算机进行通信。 第七十页，共一百二十八页。 　　引用包过滤规则 int vlan 1 ip access-group 10 out 　　在VLAN 1中引用10号包过滤规则，对从该端口送出的数据包进行检查。 第七十一页，共一百二十八页。 　　例：扩展包过滤配置 　　在全局配置模式下，定