第5章訪問控制列表5.1訪問控制列表介紹ACL訪問控制列表（AccessControlList），是用來限制網絡流量、提高網絡性能；提供對通信流量的控制手段；提供網絡訪問的基本安全手段。5.1.1基本原理ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息（如源地址、目的地址、協議口、端口號等），根據預先定義好的規則對包進行過濾，從而達到控制的目的。5.1.2主要功能網絡中的結點分為資源結點和用戶結點兩大類，其中資源結點提供服務或數據，而用戶結點訪問資源結點所提供的服務與數據。ACL的主要功能就是一方面保護資源結點，阻止非法用戶對資源結點的訪問；另一方面限制特定的用戶結點對資源結點的訪問權限。5.1.3ACL的訪問順序按照各語句在訪問列表的順序，順序查找，一旦找到了某一匹配條件，就結束匹配，不再檢查后面的語句。如果所有語句都沒有匹配，在默認情況下，雖然看不到最后一行，但最后總是拒絕全部流量的。5.2訪問控制列表的分類ACL分為兩種：標準IP訪問列表（編號范圍為1～99、1300～1999）和擴展IP訪問列表（編號范圍為100～199、2000～2699）；標準訪問列表（standardaccesslists）：只使用源IP地址來做過濾決定。標準訪問控制列表檢查數據包的源地址，從而允許或拒絕基于網絡、子網或主機的IP地址的所有通信流量通過路由器的出口。擴展訪問列表（extendedaccesslists）：使用源IP地址和目標IP地址，第三層的協議字段，第四層的端口號來做過濾決定。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。命名訪問控制列表（namedaccesslists）：命名訪問控制列表使用字母或數字組合的字符串來代替數字編號。使用命名訪問控制列表可以用來刪除某一條特定的條目，便于修改。在使用命名訪問控制列表時，要求路由器的IOS版本在11.2以上。使用ipaccess-list命令來創建命名訪問控制列表5.3高級訪問控制列表5.3.1動態ACL動態ACL是能夠自動創建動態訪問表項的訪問列表。傳統的標準訪問列表和擴展的訪問列表不能創建動態訪問表項。一旦在傳統訪問列表中加入了一個表項，除非手工刪除，該表項將一直產生作用。而在動態訪問表中，可以根據用戶認證過程來創建特定的、臨時的訪問表項，一旦某個表項超時，就會自動從路由器中刪除。5.3.2自反ACL自反ACL允許最近出站數據包的目的地發出的應答流量回到該出站數據包的源地址。這樣可以更加嚴格地控制哪些流量能進入您的網絡，并提升了擴展訪問列表的能力。網絡管理員使用自反ACL來允許從內部網絡發起的會話的IP流量，同時拒絕外部網絡發起的IP流量。此類ACL使路由器能動態管理會話流量。路由器檢查出站流量，當發現新的連接時，便會在臨時ACL中添加條目以允許應答流量進入。自反ACL僅包含臨時條目。當新的IP會話開始時（如數據包出站），這些條目會自動創建，并在會話結束時自動刪除。使用基于自反ACL實現：R2(config)#ipaccess-listextendedciscoR2(config-ext-nacl)#permitipanyanyreflectref//創建命名控制列表cisco，并且在cisco中創建一個反向映射表refR2(config-ext-nacl)#exitR2(config)#ipaccess-listextendedtestR2(config-ext-nacl)#evaluateref//創建命名控制列表test，并且在test中創建與ref的關聯R2(config-ext-nacl)#exitR2(config)#ints1/0R2(config-if)#ipaccess-groupciscooutR2(config-if)#ipaccess-grouptestin//將兩個控制列表都放置S1/0口所對應的方向。5.3.3基于時間的ACL公司可能會遇到這樣的情況，要求上班時間不能上QQ，平時不能訪問某網站只有到了周末可以。對于這種情況僅僅通過發布通知規定是不能徹底杜絕員工非法使用的問題的，這時基于時間的訪問控制列表應運而生。基于時間的訪問控制列表的格式：基于時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴展訪問控制列表定義規則。使用基于時間的ACL實現：RT1(config)#time-rangew//定義一個時間段RT1(config-time-range)#periodicweekdays9:00to12:00//重復時間周期RT1(config-time-range)#periodicweekdays14:00to18:00RT1(config-time-range)#exitRT1(config)#access-list106denyip192.168.1.00.0.0.255anytime-rangew//在ACL中調用該時間段RT1(config)#access-list106permitipanyany//其余時間允許任何互訪問RT1(config)#interfaceethernet3/0RT1(config-if)#ipaccess-group106out//ACL應用與E3/0的出接口RT1(config-if)#endRT1#showaccess-listExtendedIPaccesslist10610denyip192.168.1.00.0.0.255anytime-rangew(inactive)20permitipanyany5.3.4基于上下文的ACL在Cisco路由器上創建ACL(訪問控制列表)是管理員常用的數據過濾和網絡安全防護措施，但是ACL的局限性是非常明顯的，因為它只能檢測到網絡層和傳輸層的數據信息，而對于封裝在IP包中的惡意信息它是無能為力的。因此，ACL并不可靠，需要CBAC(基于上下文的訪問控制)的配合。CBAC指定了哪些協議及接口、接口方向(流入和流出)需要被檢查，