路由器訪問控制列表詳解

　　對于許多網管員來說，配置路由器的訪問控制列表是一件經常性的工作，可以說，路由器的訪問控制列表是網絡安全保障的第一道關卡。訪問列表提供了一種機制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流，以制定公司內部網絡的相關策略。這些策略可以描述安全功能，并且反映流量的優先級別。例如，某個組織可能希望允許或拒絕Inte.net對內部 Web服務器的訪問，或者允許內部局域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形，以及其他的一些功能都可以通過訪問表來達到目的。

　　訪問列表的種類劃分

　　目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。

　　基本訪問表控制基于網絡地址的信息流，且只允許過濾源地址。

　　擴展訪問表通過網絡地址和傳輸中的數據類型進行信息流控制，允許過濾源地址、目的地址和上層應用數據。

　　表1列出了路由器所支持的不同訪問表的號碼范圍。

　　標準IP訪問表

　　標準IP訪問表的基本格式為:

　　access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]

　　下面對標準IP訪問表基本格式中的各項參數進行解釋:

　　1.list number---表號范圍

　　標準IP訪問表的表號標識是從1到99。

　　2.permit/deny----允許或拒絕

　　關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。permit表示允許報文通過接口，而deny表示匹配標準IP訪問表源地址的報文要被丟棄掉。

　　3.source address----源地址

　　對于標準的IP訪問表，源地址是主機或一組主機的點分十進制表示，如:198.78.46.8。

　　4.host/any----主機匹配

　　host和any分別用于指定單個主機和所有主機。host表示一種精確的匹配，其屏蔽碼為0.0.0.0。例如，假定我們希望允許從198.78.46.8來的報文，則使用標準的訪問控制列表語句如下:

　　access-list 1 permit 198.78.46.8 0.0.0.0

　　如果采用關鍵字host，則也可以用下面的語句來代替:

　　access-list 1 permit　host 198.78.46.8

　　也就是說，host是0.0.0.O通配符屏蔽碼的簡寫。

　　與此相對照，any是源地證/目標地址0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源地址198.78.46.8來的報文，并且要允許從其他源地址來的報文，標準的IP訪問表可以使用下面的語句達到這個目的:

　　access-list 1 deny host 198.78.46.8

　　access-list 1 permit any

　　注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒，將permit語句放在deny語句的前面，則我們將不能過濾來自主機地址198.78.46.8的報文，因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網絡中產生安全漏洞，或者使得用戶不能很好地利用公司的網絡策略。

　　5.wi1dcardmask------通配符屏蔽碼

　　Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的，也就是說，二進制的O表示一個"匹配"條件，二進制的1表示一個"不關心"條件。假設組織機構擁有一個C類網絡198.78.46.0，若不使用子網，則當配置網絡中的每一個工作站時，使用于網屏蔽碼255.255.255.O。在這種情況下，1表示一個 "匹配"，而0表示一個"不關心"的條件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的，所以匹配源網絡地址198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。

　　6.Log----日志記錄

　　log關鍵字只在IOS版本11.3中存在。如果該關鍵字用于訪問表中，則對那些能夠匹配訪問表中的permit和deny語句的報文進行日志記錄。日志信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鐘間隔內的報文數目。使用log關鍵字，會使控制臺日志提供測試和報警兩種功能。系統管理員可以使用日志來觀察不同活動下的報文匹配情況，從而可以測試不同訪問表的設計情況。當其用于報警時，管理員可以察看顯示結果，以定位那些多次嘗試活動被拒絕的訪問表語句。執行一個訪問表語句的多次嘗試活動被拒絕，很可能表明有潛在的黑客攻擊活動。

　　擴展的IP訪問控制列表

　　顧名思義，擴展的IP訪問表用于擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文:源和目的地址、協議、源和目的端口以及在特定報文字段中允許進行特殊位比較等等。一個擴展的IP訪問表的一般語法格或　　　下面簡要介紹各個關鍵字的功能:

　　1.list number----表號范圍

　　擴展IP訪問表的表號標識從l00到199。

　　2.protocol-----協議

　　協議項定義了需要被過濾的協議，例如IP、TCP、UDP、1CMP等等。協議選項是很重要的，因為在TCP/IP協議棧中的各種協議之間有很密切的關系，如果管理員希望根據特殊協議進行報文過濾，就要指定該協議。

　　另外，管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中，允許IP地址的語句放在拒絕TCP地址的語句前面，則后一個語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該地址上的其他協議的同時，拒絕了TCP協議。

[1]    

原文轉自：http://www.kjueaiud.com