第八章訪問控制列表與端口安全

12/6/20251.本章課題8.1訪問控制列表簡介8.2編號訪問控制列表配置8.3命名訪問控制列表8.4基于時間訪問的控制列表8.5端口安全12/6/20252.網(wǎng)絡(luò)安全隱患（1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。12/6/20253.現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制12/6/20254.VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測12/6/20255.什么是訪問列表ISP√IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLIPACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾。12/6/20256.訪問控制列表主要包括二項(xiàng)內(nèi)容:匹配的條件:設(shè)定的過濾條件(源地址、目的地址、源端口、目的端口、協(xié)議）采取的動作（允許或禁止）：訪問控制列表應(yīng)用在路由器的接口上，通過匹配數(shù)據(jù)包信息與訪問列表參數(shù)來決定允許還是拒絕數(shù)據(jù)包通過某個接口。訪問列表的作用12/6/20257.訪問列表的作用訪問控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控制網(wǎng)絡(luò)通信流量等，同時ACL也是網(wǎng)絡(luò)訪問控制的基本安全手段。在路由器或交換機(jī)的接口上配置訪問控制列表后，可以對進(jìn)出接口及通過接口中繼的數(shù)據(jù)包進(jìn)行安全檢測。配置訪問控制列表的目的主要基于以下兩點(diǎn)。（1）限制路由更新：控制路由更新信息發(fā)往什么地方，同時希望在什么地方收到路由更新信息。（2）限制網(wǎng)絡(luò)訪問：限制用戶訪問一些服務(wù)（如WWW，Telnet等），或者僅允許在給定的時間段內(nèi)訪問，或只允許一些主機(jī)訪問網(wǎng)絡(luò)等。12/6/20258.訪問控制列表類型標(biāo)準(zhǔn)IP訪問控制列表編號的標(biāo)準(zhǔn)IP訪問控制列表（1-99）命名的標(biāo)準(zhǔn)IP訪問控制列表擴(kuò)展IP訪問控制列表編號的擴(kuò)展IP訪問控制列表（100-199）命名的擴(kuò)展IP訪問控制列表12/6/20259.標(biāo)準(zhǔn)訪問控制列表:只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過路由器的進(jìn)出口中。擴(kuò)展訪問控制列表：不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類型、源端口號、目的端口號等。訪問控制列表類型12/6/202510.

標(biāo)準(zhǔn)IP訪問控制列表的編號范圍為1-99擴(kuò)展IP訪問控制列表的編號范圍為100-199命名的訪問列表實(shí)現(xiàn)原理與編號的訪問控制列表相同,但它突破了編號訪問控制列表的數(shù)目限制,可以定義更多的訪問控制列表,同時可以根據(jù)實(shí)際情況來定義反映訪問控制列表功能的名字。訪問控制列表類型12/6/202511.ACL的一些相關(guān)特性（1）每一個接口可以在進(jìn)入（Inbound）和離開（Outbound）兩個方向上分別應(yīng)用一個ACL，且每個方向上只能應(yīng)用一個ACL。（2）ACL語句包括兩個動作，一個是拒絕（Deny），一個是允許（Permit）。（3）在路由器或交換機(jī)接口接收到報文時，應(yīng)用在接口進(jìn)入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準(zhǔn)備從某一個接口輸出報文時，應(yīng)用在接口離開方向的ACL（外向ACL）起作用。（5）每個ACL的結(jié)尾有一個隱含的denyall（拒絕的所有數(shù)據(jù)包）語句。因此，如果包不匹配ACL中的任何語句，將被拒絕。

12/6/202512.ACL的內(nèi)向匹配過程路由器取出內(nèi)向ACL的數(shù)據(jù)包進(jìn)入路由器數(shù)據(jù)包進(jìn)入路由器路由器取出內(nèi)向ACL的第一條語句允許還是拒絕？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較是否匹配匹配項(xiàng)與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL

下一條語句最后一條？允許進(jìn)行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束12/6/202513.ACL的外向匹配過程路由器取出外向ACL的第一條語句選擇離開接口是否匹配？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較取出外向ACL

下一條語句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開接口送出結(jié)束丟棄拒絕12/6/202514.通配符掩碼通配符掩碼掩碼的二進(jìn)制形式描述00000000.00000000.00000000.00000000整個lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配12/6/202515.IP地址與通配符掩碼的作用規(guī)則

IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對應(yīng)位必須匹配，通配符掩碼為1的位所對應(yīng)的IP地址位不必匹配，例如，IP地址 （相應(yīng)的二進(jìn)制為11000000101010000000000100000000）通配符掩碼 55 （相應(yīng)的二進(jìn)制為00000000000000000000000011111111）該通配符掩碼的前24位為0，對應(yīng)的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對應(yīng)的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說IP地址和通配符掩碼55匹配的結(jié)果是這個網(wǎng)段內(nèi)的所有主機(jī)。12/6/202516.兩個特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼的簡寫形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語句。access-list10permit0或access-list10permithost0Any：表示全部不進(jìn)行匹配，是通配符掩碼55的簡寫形式。例如，允許所有的IP地址的數(shù)據(jù)都通過，可使用以下兩種ACL語句。access-list10permit55或access-list10permitany12/6/202517.配置訪問控制列表的步驟第一步是配置訪問控制列表語句第二步是把配置好的訪問控制列表應(yīng)用到某個端口上，并申明是in還是out。12/6/202518.訪問控制列表配置的注意事項(xiàng)（1）注意訪問控制列表中語句的次序，盡量把作用范圍小的語句放在前面。（2）新的表項(xiàng)只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問控制列表，然后創(chuàng)建一個新訪問控制列表，將新訪問控制列表用到相應(yīng)的接口上。（3）標(biāo)準(zhǔn)的IP訪問控制列表只匹配源地址，一般都使用擴(kuò)展的IP訪問控制列表以達(dá)到精確的要求。（4）標(biāo)準(zhǔn)的訪問控制列表盡量靠近目的，擴(kuò)展的訪問控制列表盡量靠近過濾源的位置，以免訪問控制列表影響其他接口上的數(shù)據(jù)流。（5）在應(yīng)用訪問控制列表時，要特別注意過濾的方向。（6）在編號ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫全面。12/6/202519.配置標(biāo)準(zhǔn)IP訪問控制列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard-maskaccess-list-number的范圍是1~99訪問控制列表的動作：denylpermit12/6/202520.應(yīng)用訪問控制列表到接口Ipaccess-groupaccess-list-numberin|out訪問控制列表只有被應(yīng)用到某個接口才能達(dá)到報文過濾的目的。接口上通過的報文有兩個方向，一個是通過接口進(jìn)入路由器的報文，即in方向的報文，一個是通過接口離開路由器的報文，即out方向的報文，out也是訪問控制列表的默認(rèn)方向。12/6/202521.顯示訪問控制列表配置Showaccess-list[access-list-number]其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號的訪問控制列表配置細(xì)節(jié)，如果不指定則顯示所有訪問控制列表的配置細(xì)節(jié)。12/6/202522.例8-1請?jiān)谌鐖D8-3所示的路由器上配置ACL，實(shí)現(xiàn)PC1不能訪問網(wǎng)段，而PC2能訪問（假設(shè)各路由器各接口已配置好，并全網(wǎng)已連通）。

12/6/202523.routerAAccess-list1denyhostAccess-list1permitanyIntf0/1Ipaccess-group1out12/6/202524.擴(kuò)展IP訪問控制列表的配置access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcard-masksource-portdestination-addressdestination-wildcard-maskdestination-portlogoptions擴(kuò)展IP訪問控制列表的編號范圍為100～199訪問控制列表的動作：permit或deny協(xié)議：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號：端口號的范圍是0~6553512/6/202525.端口范圍運(yùn)算符運(yùn)算符及其語法描述例eqportnumber等于，用于指定單個的端口eq21或eqftpgtportnumber大于，用于指定大于某個端口的一個端口范圍gt1024ltportnumber小于，用于指定小于某個端口的一個端口范圍lt1024neqportnumber不等于，用于指定除了某個端口以外的所有端口neq21rangeportnumber1portnumber2指位于兩個端口號間的一個端口范圍range13514512/6/202526.例8-2請?jiān)谌鐖D8-3所示的路由器上配置ACL，PC1為WWW服務(wù)器,PC2為FTP服務(wù)器,現(xiàn)在配置ACL使網(wǎng)段內(nèi)的主機(jī)能訪問WWW服務(wù)，而不能訪問FTP服務(wù)（假設(shè)各路由器各接口已配置好，并全網(wǎng)已連通）。

12/6/202527.Access-list101permittcp55hosteq80Access-list101denytcp55hosteq20Access-list101denytcp55hosteq21Access-list101permitipanyanyIntf0/1Ipaccess-group101in12/6/202528.訪問控制列表類型標(biāo)準(zhǔn)IP訪問控制列表編號的標(biāo)準(zhǔn)IP訪問控制列表（1-99）命名的標(biāo)準(zhǔn)IP訪問控制列表擴(kuò)展IP訪問控制列表編號的擴(kuò)展IP訪問控制列表（100-199）命名的擴(kuò)展IP訪問控制列表12/6/202529.命名訪問控制列表的引入不管是標(biāo)準(zhǔn)IP訪問控制列表，還是擴(kuò)展的IP訪問控制列表，其編號的范圍都不超過100個，這樣，就可能出現(xiàn)編號不夠用的情況；還有就是僅用編號區(qū)分的訪問控制列表不便于網(wǎng)絡(luò)管理員對訪問控制列表作用的識別。命名IP訪問控制列表是通過一個名稱而不是一個編號來引用的。命名的訪問控制列表可用于標(biāo)準(zhǔn)的和擴(kuò)展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長度為100個字符。12/6/202530.編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別（1）名字能更直觀地反映出訪問控制列表完成的功能。(例:ipaccess-liststandarddenytcp)（2）命名訪問控制列表突破了99個標(biāo)準(zhǔn)訪問控制列表和100個擴(kuò)展訪問控制列表的數(shù)目限制，能夠定義更多的訪問控制列表。12/6/202531.（3）單個路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。（4）命名訪問控制列表是一個全局命令，它將使用者進(jìn)入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動作的相關(guān)語句。12/6/202532.（5）命名IP訪問控制列表允許刪除個別語句，當(dāng)一個命名訪問控制列表中的語句要被刪除時，只需將該語句刪除即可，而編號訪問控制列表中則需要將訪問控制列表中的所有語句刪除后再重新輸入。（6）命名訪問控制列表的命令為ipaccess-list，在命令中用standard和extended來區(qū)別標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表，而編號訪問控制列表的配置命令為access-list，并用編號來區(qū)別標(biāo)準(zhǔn)和擴(kuò)展。12/6/202533.例8-3在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的主機(jī)不能與VLAN30內(nèi)的主機(jī)進(jìn)行通信，能與VLAN20內(nèi)的主機(jī)進(jìn)行通信，而VLAN20可以和VLAN30的主機(jī)進(jìn)行通信。12/6/202534.創(chuàng)建標(biāo)準(zhǔn)命名IPACL的步驟（1）configureterminal進(jìn)入全局配置模式。（2）ipaccess-liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進(jìn)入access-list配置模式。例:ipaccess-liststandarddenyvlan10（3）deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定報文是轉(zhuǎn)發(fā)或還是丟棄。hostsource代表一臺源主機(jī)，any代表任意主機(jī)。例:deny55permitanyany12/6/202535.（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。(6)ipaccess-group[name]in/out把控制列表應(yīng)用于到接口下。例：intvlan30Ipaccess-groupdenyvlan10in12/6/202536.例8-3在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的主機(jī)能與其他VLAN主機(jī)進(jìn)行正常通信,但不能訪問FTP服務(wù)。假設(shè)FTP服務(wù)器的IP地址為00.12/6/202537.命名擴(kuò)展IP訪問控制列表配置（1）configureterminal進(jìn)入全局配置模式。（2）ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進(jìn)入access-list配置模式。例:ipaccess-listextendeddenyftp（3）{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定匹配條件的報文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。12/6/202538.操作符（operator）只能為eq。如果操作符在sourcesource-wildcard之后，則報文的源端口匹配指定值條件生效。如果操作符在destinationdestination-wildcard之后，則報文的目的端口匹配指定值條件生效。port為十進(jìn)制值，它代表TCP或UDP的端口號，值范圍為0～65535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。例:denytcp55host00eqftppermitipanyany（4）ipaccess-group{name}in/out把訪問列表應(yīng)用到接口例:intvlan30Ipaccess-groupdenyvlan10in12/6/202539.基于時間的訪問控制列表基于時間的訪問控制列表能夠應(yīng)用于編號訪問控制列表和命名訪問控制列表。為了實(shí)現(xiàn)基于時間的ACL功能，首先應(yīng)定義一個Time-range接口來指明日期時間范圍，與其他接口一樣，Time-range接口通過名稱來標(biāo)識。然后，將Time-range接口與對應(yīng)的ACL關(guān)聯(lián)起來，這是通過在ACL中用Time-range引用時間范圍實(shí)現(xiàn)的。12/6/202540.路由器時鐘設(shè)置路由器時鐘設(shè)置在特權(quán)模式下進(jìn)行，分為兩步：首先設(shè)置系統(tǒng)日期時間，然后用當(dāng)前系統(tǒng)時鐘更新路由器實(shí)時時鐘。配置命令為：Clocksethh:mm:ssdaymonthyear //設(shè)置系統(tǒng)日期時間Clockupdate-calender //更新路由器實(shí)時時鐘12/6/202541.定義Time-range接口time-rangetime-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為Time-range接口的名稱，接口名稱長度為1～32個字符，中間不能有空格。Time-range接口命名后，就進(jìn)入了時間定義模式，在此模式中還要使用absolute和periodic兩個命令定義具體的時間范圍。值得注意的是，一個時間范圍只能包括一個absolute絕對時間范圍和多個周期時間范圍。12/6/202542.定義絕對時間范圍Absolute[startstart-ttmestart-date][endend-timeend-date]star-time、end-time分別用于指定開始和結(jié)束時間，使用24小時表示，其格式為“小時：分鐘”，start-date和end-date分別用于指定開始的日期和結(jié)束的日期，使用日/月/年的時間格式，而不是通常采用的月/日/年格式，這一點(diǎn)必須注意。命令中的start和end關(guān)鍵字都是可選的。當(dāng)省略start及其后面的時間、日期時，表示與之相聯(lián)系的ACL語句立即生效，并一直作用到end處的時間、日期為止；當(dāng)省略end及其后面的時間，表示與之相聯(lián)系的ACL語句在start處表示的時間、日期開始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問控制列表刪除了的話就不會起作用了。12/6/202543.常用的時間定義形式時間定義描述Absolutestart17:00Absolutestart17:001december2000Absoluteend17:00Absoluteend17:00ldecember2000Absolutestart8:00end20:00Absolutestart17:001decemdber2000end5:0031decemdber2000從配置的當(dāng)天17:00開始直到永遠(yuǎn)從2000年12月1日17:00開始直到永遠(yuǎn)從配置時開始直到當(dāng)天的17:00結(jié)束從配置時開始直到2000年12月1日17:00結(jié)束從8點(diǎn)開始到20點(diǎn)結(jié)束從2000年12月1日17:00開始直到2000年12月31日5:00結(jié)束12/6/202544.定義周期、重復(fù)使用的時間范圍

Periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來定義時間范圍的一個命令。它可以使用大量的參數(shù)，其范圍可以是一個星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。12/6/202545.periodic中的參數(shù)參數(shù)描述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日12/6/202546.常用的時間范圍定義形式時間范圍定義描述Periodicweekend7:00to19:00Periodicweekday8:00to17:00Periodicdaily7:00to17:00Periodicstaturday17:00toMonday7:00PeriodicMondayFriday7:00to20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:0012/6/202547.應(yīng)用時間訪問控制列表的注意事項(xiàng)

由于使用帶時間范圍的訪問控制列表依賴于路由器的系統(tǒng)時鐘，所以要保證路由器時鐘設(shè)置的準(zhǔn)確性。在time-range范圍命令中同時使用absolute和periodic語句12/6/202548.例8-5要求從2008年1月1日起在每周工作時間段8:00到18:00內(nèi)禁止網(wǎng)段的主機(jī)訪問HTTP的數(shù)據(jù)流。12/6/202549.交換機(jī)端口安全端口安全功能是通過對交換機(jī)MAC地址表的配置，來實(shí)現(xiàn)在交換機(jī)某一端口只允許一臺或幾臺確定的設(shè)備訪問此交換機(jī)端口。從而減少交換機(jī)被黑客攻擊幾率，增強(qiáng)交換機(jī)的可靠性，提高局域網(wǎng)的安全性。12/6/202550.交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定12/6/202551.當(dāng)為安全端口配置了一些安全地址后，則除了源地址為這些安全地址的數(shù)據(jù)包外，這個端口將不轉(zhuǎn)發(fā)其他任何數(shù)據(jù)包。此外，還可以限制一個端口上能包含的安全地址最大個數(shù)。交換機(jī)端口安全12/6/202552.交換機(jī)端口安全如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個數(shù)后;如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。RestrictTrap：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap（違例）通知。Shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。12/6/202553.配置安全端口

注：1、端口安全功能只能在access端口上進(jìn)行配置。2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。12/6/202554.配置安全端口