項(xiàng)目9企業(yè)網(wǎng)絡(luò)訪問控制目錄01學(xué)習(xí)目標(biāo)02項(xiàng)目概述03思維導(dǎo)圖04知識準(zhǔn)備05項(xiàng)目實(shí)施06項(xiàng)目小結(jié)07拓展知識08知識鞏固知識目標(biāo)1．理解ACL（AccessControlList，訪問控制列表）的概念。2．掌握ACL訪問控制等信息安全措施的作用。3．掌握ACL訪問控制命令的語法及編寫步驟。技能目標(biāo)1．掌握基本ACL的配置方法。2．掌握高級ACL的配置方法。3．能夠根據(jù)網(wǎng)絡(luò)拓?fù)浼霸L問控制要求配置ACL。素養(yǎng)目標(biāo)1．逐步培養(yǎng)學(xué)生分析實(shí)際問題，將實(shí)際問題抽象化以及拆分的能力。2．逐步培養(yǎng)學(xué)生認(rèn)真負(fù)責(zé)、嚴(yán)謹(jǐn)細(xì)致“質(zhì)量第一，精益求精”的工匠精神以及團(tuán)隊(duì)協(xié)作意識。3．提升學(xué)生的網(wǎng)絡(luò)安全意識，樹立正確的網(wǎng)絡(luò)信息數(shù)據(jù)安全觀。1學(xué)習(xí)目標(biāo)2項(xiàng)目概述藍(lán)箭公司由于業(yè)務(wù)拓展，網(wǎng)絡(luò)流量極速提升，各種訪問應(yīng)用也水漲船高。伴隨著這些提升，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（QualityofService）的問題也日益突出。現(xiàn)在其有一個(gè)訪問需求，要求研發(fā)部門不能訪問財(cái)務(wù)部服務(wù)器而總裁辦公室可以，同時(shí)，外網(wǎng)不能方位內(nèi)部網(wǎng)絡(luò)。針對上述問題，如果可以制定一種策略，使某些數(shù)據(jù)可以通過路由器而另外的數(shù)據(jù)不能通過，這就可以實(shí)現(xiàn)訪問及流量的控制。像這種策略我們一般稱之為訪問控制。在計(jì)算機(jī)網(wǎng)絡(luò)中，典型的訪問控制是ACL。通過ACL可以實(shí)現(xiàn)對網(wǎng)絡(luò)中報(bào)文流的精確識別和控制，達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。它通過是用ACL可以為藍(lán)箭公司提供嚴(yán)格管控、可靠、可擴(kuò)展及動(dòng)態(tài)調(diào)整的訪問控制策略，從而滿足其信息安全及流量控制的需求。圖9-1流量限制示意圖3思維導(dǎo)圖本項(xiàng)目主要學(xué)習(xí)ACL訪問控制，其所含知識點(diǎn)如圖所示。圖9-2ACL訪問控制知識點(diǎn)4知識準(zhǔn)備隨著經(jīng)濟(jì)的發(fā)展，我們可以看到公路上的機(jī)動(dòng)車輛越來越多。如果沒有相應(yīng)的約束，那很多車輛可能在公路中隨意行駛。輕則影響交通，重則可能產(chǎn)生事故，甚至傷害自身或者他人的生命安全。因此，為了杜絕上述現(xiàn)象，交通管理部門會(huì)根據(jù)路段、日期、車輛類型等多因素，設(shè)置多種條件，約束或者限制機(jī)動(dòng)車輛的行駛，從而確保交通的暢通和安全。對我們將上述場景應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)中。隨著企業(yè)的發(fā)展，其網(wǎng)絡(luò)的規(guī)模會(huì)越來越大，網(wǎng)絡(luò)中的各種流量及訪問也會(huì)越來越多。如果不加以限制，則也會(huì)產(chǎn)生網(wǎng)絡(luò)擁堵、機(jī)密信息泄露，引發(fā)信息安全事故。針對信息安全，習(xí)總書記做過“沒有網(wǎng)絡(luò)安全就沒有國家安全”的重要指示。隨著信息化現(xiàn)代化的不斷推進(jìn)，安全已成為發(fā)展的前提，而發(fā)展又可以進(jìn)一步保障安全，安全與發(fā)展已成為密不可分的一體。對于我們從事計(jì)算機(jī)專業(yè)的人員來講，更要牢固網(wǎng)絡(luò)安全意識，建立正確的網(wǎng)絡(luò)安全觀，通過技術(shù)保障信息基礎(chǔ)設(shè)施的安全。圖9-3禁行標(biāo)志圖9-4網(wǎng)絡(luò)安全重要指示4知識準(zhǔn)備訪問控制列表（AccessControlList，ACL）是網(wǎng)絡(luò)安全和訪問管理中的一個(gè)重要概念。它是一種用于定義和管理對網(wǎng)絡(luò)資源訪問權(quán)限的機(jī)制。ACL可以應(yīng)用于各種網(wǎng)絡(luò)設(shè)備，如路由器、防火墻、交換機(jī)等，通過設(shè)置一系列的規(guī)則來控制誰可以訪問特定的網(wǎng)絡(luò)資源、在什么條件下可以訪問以及可以執(zhí)行哪些操作。簡單來說，ACL就像是一個(gè)網(wǎng)絡(luò)的“門禁系統(tǒng)”，它決定了哪些人（或設(shè)備）可以進(jìn)入特定的區(qū)域（或訪問特定的資源），以及他們可以在那里做什么。ACL與信息安全關(guān)系十分密切，其嚴(yán)格的控制了網(wǎng)絡(luò)中數(shù)據(jù)的流向。因此，配置合理、完備、高效的ACL，可以有效降低信息安全風(fēng)險(xiǎn)。本項(xiàng)目通過使用ACL來對藍(lán)箭公司的網(wǎng)路訪問流量控制進(jìn)行升級改造，學(xué)習(xí)ACL的基本概念，類型，特點(diǎn)，基本組成結(jié)構(gòu)，匹配順序及規(guī)則，并通過兩個(gè)項(xiàng)目進(jìn)一步掌握ACL的用法。4知識準(zhǔn)備ACL，也稱為訪問控制列表，是一種網(wǎng)絡(luò)安全工具，用于在網(wǎng)絡(luò)設(shè)備上對數(shù)據(jù)流進(jìn)行匹配和篩選。它可以控制數(shù)據(jù)包的流向，允許或拒絕數(shù)據(jù)包通過網(wǎng)絡(luò)接口，以實(shí)現(xiàn)網(wǎng)絡(luò)安全和資源管理。ACL是由permit或deny語句組成的一系列有順序的規(guī)則的集合；它通過匹配報(bào)文的相關(guān)字段實(shí)現(xiàn)對報(bào)文的分類。ACL是能夠匹配一個(gè)IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具；ACL還能夠用于匹配路由條目。通過ACL可以實(shí)現(xiàn)對網(wǎng)絡(luò)中報(bào)文流的精確識別和控制，達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。同時(shí)，傳統(tǒng)的報(bào)文過濾并不處理所有IP報(bào)文分片，而是只對第一個(gè)（首片）分片報(bào)文進(jìn)行匹配處理，后續(xù)分片一律放行。這樣，網(wǎng)絡(luò)攻擊者可能構(gòu)造后續(xù)的分片報(bào)文進(jìn)行流量攻擊，就帶來了安全隱患。在IPv4ACL的規(guī)則配置項(xiàng)中，通過關(guān)鍵字fragment來標(biāo)識該ACL規(guī)則僅對非首片分片報(bào)文有效，而對非分片報(bào)文和首片分片報(bào)文無效。不包含此關(guān)鍵字的規(guī)則項(xiàng)對非分片報(bào)文和分片報(bào)文均有效。4.1ACL的基本原理與作用4知識準(zhǔn)備ACL的工作原理主要涉及以下幾個(gè)步驟。定義規(guī)則：管理員根據(jù)安全策略和需求，定義一系列的訪問控制規(guī)則。這些規(guī)則通常包括源地址、目的地址、協(xié)議、端口等信息，以及允許或拒絕訪問的操作。匹配規(guī)則：當(dāng)有訪問請求發(fā)生時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)按照規(guī)則的順序依次檢查這些規(guī)則，看是否有匹配的規(guī)則。執(zhí)行操作：如果找到匹配的規(guī)則，網(wǎng)絡(luò)設(shè)備就會(huì)根據(jù)規(guī)則中指定的操作（允許或拒絕）來處理訪問請求。ACL的規(guī)則可以非常靈活，可以根據(jù)不同的需求進(jìn)行精細(xì)的設(shè)置。例如，可以設(shè)置只允許特定的用戶或設(shè)備在特定的時(shí)間段內(nèi)訪問特定的資源，或者只允許特定的協(xié)議和端口的訪問。4.1ACL的基本原理與作用4知識準(zhǔn)備ACL的作用主要包括訪問控制與流量控制。（1）訪問控制：通過ACL和數(shù)據(jù)包過濾結(jié)合使用，限制特定源或目標(biāo)的網(wǎng)絡(luò)訪問。基于ACL的包過濾的訪問控制是一種網(wǎng)絡(luò)安全措施，它對每個(gè)進(jìn)出網(wǎng)絡(luò)接口的數(shù)據(jù)包逐個(gè)進(jìn)行檢查，并根據(jù)ACL規(guī)則決定是否允許或丟棄數(shù)據(jù)包。這些規(guī)則必須配置在特定接口的某個(gè)方向上才能生效，每個(gè)接口的一個(gè)方向只能配置一個(gè)包過濾策略。AC包過濾可以配置在入方向與出方向。其中：入方向只對從外部進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾；出方向只對從內(nèi)部發(fā)出的數(shù)據(jù)包進(jìn)行過濾。通過一進(jìn)一出兩個(gè)方向，可以有效控制內(nèi)外部數(shù)據(jù)包，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問的控制。ACL包過濾的工作流程包括以下步驟。①當(dāng)數(shù)據(jù)包到達(dá)接口時(shí)，系統(tǒng)檢查是否應(yīng)用了ACL規(guī)則。如果有ACL規(guī)則，系統(tǒng)將開始匹配，否則數(shù)據(jù)包將被允許通過。②數(shù)據(jù)包將按照ACL編號匹配第一條規(guī)則。如果匹配成功，系統(tǒng)將繼續(xù)檢查該規(guī)則的動(dòng)作。③如果規(guī)則動(dòng)作是允許，系統(tǒng)將允許數(shù)據(jù)包通過；如果規(guī)則動(dòng)作是拒絕，系統(tǒng)將丟棄數(shù)據(jù)包。④如果第一條規(guī)則未匹配，系統(tǒng)將繼續(xù)匹配下一條規(guī)則，以此類推。⑤如果沒有規(guī)則匹配，系統(tǒng)將檢查默認(rèn)動(dòng)作：如果默認(rèn)動(dòng)作是允許，系統(tǒng)將允許數(shù)據(jù)包通過；如果默認(rèn)動(dòng)作是拒絕，系統(tǒng)將丟棄數(shù)據(jù)包。4.1ACL的基本原理與作用4知識準(zhǔn)備（2）流量控制：結(jié)合QoS（QualityofService）策略，ACL可以幫助管理流量的優(yōu)先級和帶寬分配。其匹配IP流量時(shí)，可以在Traffic-filter中被調(diào)用，在NAT（NetworkAddressTranslation）中被調(diào)用，在路由策略中被調(diào)用，在防火墻的策略部署中被調(diào)用，也可以在QoS中被調(diào)用。除此之外，ACL可以與路由策略結(jié)合，用于決定數(shù)據(jù)包的路由路徑，從而實(shí)現(xiàn)路由控制。4.1ACL的基本原理與作用4知識準(zhǔn)備ACL主要分為基本和高級兩種類型。（1）基本訪問控制列表（2000～2999）：這是最基本的ACL類型，它只能根據(jù)源IP地址來進(jìn)行過濾。標(biāo)準(zhǔn)ACL通常用于簡單的網(wǎng)絡(luò)環(huán)境中，對訪問進(jìn)行基本的限制。（2）高級訪問控制列表（3000～3999）：高級ACL不僅可以根據(jù)源IP地址，還可以根據(jù)目的IP地址、協(xié)議、端口等更多的信息來進(jìn)行過濾。擴(kuò)展ACL可以提供更精細(xì)的訪問控制，適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。除此之外，根據(jù)ACL所應(yīng)用的設(shè)備，也可以設(shè)置二層ACL（4000～4999，其根據(jù)源MAC，目的MAC，802.1q優(yōu)先級，二層協(xié)議等信息制定規(guī)則；也可以根據(jù)應(yīng)用場景需求設(shè)置基于時(shí)間的訪問控制列表或者基于用戶的訪問控制列表。ACL在網(wǎng)絡(luò)安全中有著廣泛的應(yīng)用。例如，在企業(yè)網(wǎng)絡(luò)中，可以通過ACL來限制員工對某些敏感資源的訪問，防止數(shù)據(jù)泄露和非法操作。在互聯(lián)網(wǎng)中，可以通過ACL來防止惡意攻擊和非法訪問，保護(hù)網(wǎng)絡(luò)的安全。4.2ACL的類型及特點(diǎn)4知識準(zhǔn)備ACL一般由以下幾部分構(gòu)成。（1）ACL編號：用于標(biāo)識ACL規(guī)則的序號。（2）ACL名稱：使用名稱標(biāo)識ACL規(guī)則。上述兩個(gè)組成部分，都用于表示設(shè)置的ACL規(guī)則，但編號更常使用，名稱經(jīng)常省略。（3）備注：可以為ACl添加注釋或詳細(xì)描述，一般省略。（4）ACL中的規(guī)則語句：拒絕或者允許流量通過的規(guī)則語句。后面會(huì)詳細(xì)講。（5）網(wǎng)絡(luò)協(xié)議：如IP、TCP、UDP、IPX等，可以根據(jù)這些網(wǎng)絡(luò)協(xié)議編寫規(guī)則，主要用于高級ACL。（6）源地址、目的地址：編寫的規(guī)則過濾數(shù)據(jù)包的源IP地址及目的IP地址。通過該部分對數(shù)據(jù)包進(jìn)行適配，也稱之為通配符。4.3ACL的基本組成結(jié)構(gòu)4知識準(zhǔn)備以下內(nèi)容為一個(gè)基本的ACL語句。4.3ACL的基本組成結(jié)構(gòu)4知識準(zhǔn)備4.3ACL的基本組成結(jié)構(gòu)1.第一個(gè)語句acl用于聲明其為配置ACL訪問控制列表，number2001代表是該訪問控制列表的編號為2001。在配置任何一個(gè)acl訪問控制列表時(shí)，首先必須使用該語句聲明其對應(yīng)的編號。2.第二個(gè)語句編號2001這個(gè)訪問控制列表中的第一個(gè)規(guī)則。其中，rule用于聲明一個(gè)規(guī)則，10代表規(guī)則的編號。ACL中的規(guī)則語句由若干條permit或deny語句組成。每條語句就是該ACL的一條規(guī)則，每條語句中的permit或deny就是與這條規(guī)則相對應(yīng)的處理動(dòng)作，permit代表允許，deny代表拒絕。source192.168.10.200.0為匹配項(xiàng)，也就是上文提到報(bào)文中的匹配字段，通過使用匹配字段對報(bào)文進(jìn)行過濾。source代表源，192.168.10.200代表源對應(yīng)的IP地址，0代表通配符，后面會(huì)詳細(xì)介紹什么是通配符。在這個(gè)配置中使用的是源地址作為匹配字段，也就是來自192.168.10.200的數(shù)據(jù)包，拒絕通過。3.第三個(gè)語句與第二個(gè)語句類似，定義了一個(gè)15號規(guī)則，但是其動(dòng)作為permit，允許，匹配項(xiàng)為source192.168.10.1000.0.0.255。ACL定義了極其豐富的匹配項(xiàng)。除了例子中的源地址，ACL還支持很多其他規(guī)則匹配項(xiàng)。例如，二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）、三層報(bào)文信息（如目的地址、協(xié)議類型）以及四層報(bào)文信息（如TCP/UDP端口號）等。4知識準(zhǔn)備4.4ACL的規(guī)則編號在上述ACL訪問控制列表語句中，每定義一個(gè)rule規(guī)則，都必須有一個(gè)編號。這個(gè)編號用來標(biāo)識ACL的規(guī)則，其可以自定義，也可以由系統(tǒng)自動(dòng)分配。如果由系統(tǒng)自動(dòng)分配，那么系統(tǒng)默認(rèn)會(huì)為每個(gè)相鄰規(guī)則編號之間設(shè)置一個(gè)差值，這個(gè)差值稱為“步長”，缺省步長為5。步長可以根據(jù)需求進(jìn)行配置調(diào)整。例如，如果將步長改為4，系統(tǒng)則會(huì)自動(dòng)從當(dāng)前步長值開始重新排列規(guī)則編號，規(guī)則編號就變成4、8、12…系統(tǒng)為ACL中首條未手工指定編號的規(guī)則分配編號時(shí)，使用步長值（例如步長=5，首條規(guī)則編號為5）作為該規(guī)則的起始編號；為后續(xù)規(guī)則分配編號時(shí)，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)作為規(guī)則編號。例如，當(dāng)前ACL的內(nèi)最大的規(guī)則編號是25，那么為明確定義編號的規(guī)則，系統(tǒng)會(huì)自動(dòng)將其編號設(shè)置為30。4知識準(zhǔn)備4.4ACL的規(guī)則編號我們都知道，編號一般按照順序依次設(shè)置，如1,2,3,4···那為什么在ACL中要在規(guī)則編號之間設(shè)置步長，從而使編號有一定的間隔呢？我們來思考一個(gè)問題：如果希望在已有的兩條規(guī)則之間新增加一條規(guī)則，該如何處理？我們可以通過在間隔中選取一個(gè)序號作為新增加規(guī)則的編號即可，而不需要改變已有規(guī)則的編號。例如，想在上面的規(guī)則中新增加一個(gè)編號為28的規(guī)則，那么只需要在rule25和rule30之間，定義一個(gè)rule28即可。因此，通過上述問題可以看出，設(shè)置一定長度的步長，可以方便后續(xù)在舊規(guī)則之間插入新的規(guī)則，而不需要對舊的規(guī)則進(jìn)行修改。4知識準(zhǔn)備4.5ACL的通配符上文我們學(xué)習(xí)到了，在上述ACL配置中，rule10最后的0以及rule15最后的0.0.0.255叫做通配符。當(dāng)進(jìn)行IP地址匹配的時(shí)候，在IP地址后面會(huì)跟著32位掩碼位，這32位稱為通配符。通配符也是點(diǎn)分十進(jìn)制格式，換算成二進(jìn)制后，“0”表示“匹配”，“1”表示“不關(guān)心”。怎么理解0代表匹配，1代表不關(guān)心呢？我們針對上面兩條規(guī)則rule10和rule15分別來討論。4知識準(zhǔn)備4.5ACL的通配符rule10拒絕源IP地址為192.168.10.200的報(bào)文通過——因?yàn)橥ㄅ浞麨槿?，所以每一位都要嚴(yán)格匹配，因此匹配的是主機(jī)IP地址192.168.10.200。rule15允許源IP地址為192.168.10.0/24網(wǎng)段地址的報(bào)文通過——因?yàn)橥ㄅ浞?.0.0.11111111，后8位為1，表示不關(guān)心，因此192.168.10.xxxxxxxx的后8位可以為任意值，所以匹配的是192.168.10/24網(wǎng)段。也就是說，通配符用于指示IP地址中，哪些比特位需要嚴(yán)格匹配，哪些比特位無需匹配。0代表是一一對應(yīng)，必須嚴(yán)格匹配，1代表任意，無需匹配。雖然其與子網(wǎng)掩碼類似，也采用點(diǎn)分十進(jìn)制，但是其含義卻與子網(wǎng)掩碼完全不同。4知識準(zhǔn)備4.5ACL的通配符如果想精確匹配192.168.20.0/24網(wǎng)段中的奇數(shù)IP地址，通配符該怎么寫呢？首先，奇數(shù)IP地址為192.168.20.1,192.168.20.3······我們將這些IP地址的主機(jī)號轉(zhuǎn)換為二進(jìn)制。通過二進(jìn)制表示的IP地址可以看出，在這個(gè)網(wǎng)段中，所有的奇數(shù)IP地址，其對應(yīng)的主機(jī)號，最低位固定為1，其他7位為任意值。因此，我們想嚴(yán)格匹配所有的奇數(shù)IP地址，就必須嚴(yán)格匹配主機(jī)號最后一位為1。因此，通配符的最后一位應(yīng)為0。由此可以得出，其對應(yīng)的通配符對應(yīng)的點(diǎn)分十進(jìn)制表示法為0.0.0.2544知識準(zhǔn)備4.5ACL的通配符如果想精確匹配192.168.20.0/24網(wǎng)段中的奇數(shù)IP地址，通配符該怎么寫呢？首先，奇數(shù)IP地址為192.168.20.1,192.168.20.3······我們將這些IP地址的主機(jī)號轉(zhuǎn)換為二進(jìn)制。通過二進(jìn)制表示的IP地址可以看出，在這個(gè)網(wǎng)段中，所有的奇數(shù)IP地址，其對應(yīng)的主機(jī)號，最低位固定為1，其他7位為任意值。因此，我們想嚴(yán)格匹配所有的奇數(shù)IP地址，就必須嚴(yán)格匹配主機(jī)號最后一位為1。因此，通配符的最后一位應(yīng)為0。由此可以得出，其對應(yīng)的通配符對應(yīng)的點(diǎn)分十進(jìn)制表示法為0.0.0.254同樣，我們進(jìn)一步擴(kuò)展。如果要精確匹配192.168.20.0/24網(wǎng)段中的所有偶數(shù)IP地址，那么其通配符應(yīng)該為多少呢？4知識準(zhǔn)備4.5ACL的通配符由上述例子，我們可以對于通配符的確定做如下總結(jié)。（1）根據(jù)需求，將對應(yīng)的IP地址轉(zhuǎn)換為二進(jìn)制表示。（2）分析轉(zhuǎn)換為二進(jìn)制后的IP地址，找到其規(guī)律或共性。（3）根據(jù)規(guī)律或共性，確定通配符的每一位是0還是1。（4）確定完通配符的每一位后，將其轉(zhuǎn)化為淀粉十幾只表示法，就得到了ACL中應(yīng)用的通配符。并且通配符中的1或者0是可以不連續(xù)的。除此之外，還有兩個(gè)特殊的通配符，需要大家注意。當(dāng)通配符全為0來匹配IP地址時(shí)，表示精確匹配某個(gè)IP地址；例如上文例子中的當(dāng)通配符全為1來匹配0.0.0.0地址時(shí)，表示匹配了所有IP地址。4知識準(zhǔn)備4.6ACL的匹配順序ACL的匹配順序，主要采用“從上到下，逐條匹配的，直到命中”這個(gè)過程。也就是配置ACL的設(shè)備，其接口接收到相應(yīng)的報(bào)文后會(huì)將該報(bào)文與該設(shè)備接口中配置的第一個(gè)ACL規(guī)則逐條進(jìn)行匹配，如果第一條規(guī)則不匹配，則會(huì)將報(bào)文繼續(xù)向下匹配，也就是匹配第二條規(guī)則。如果第二條還不匹配，再往下匹配第三條，依次類推。一旦匹配上，則設(shè)備會(huì)對該報(bào)文執(zhí)行這條規(guī)則中定義的處理動(dòng)作，并且不再繼續(xù)嘗試與后續(xù)規(guī)則匹配。圖9-5

ACL匹配流程4知識準(zhǔn)備4.6ACL的匹配順序其匹配流程如下。（1）ACL自檢測：檢測設(shè)備接口是否配置了ACL。如果ACL不存在，則返回ACL匹配結(jié)果為：不匹配。（2）規(guī)則自檢測：如果設(shè)備上配置了ACL，則進(jìn)一步檢測設(shè)備是否配置了ACL規(guī)則。如果規(guī)則不存在，則返回ACL匹配結(jié)果為：不匹配。（3）規(guī)則匹配：如果設(shè)備上存在ACL及相應(yīng)的規(guī)則，則系統(tǒng)會(huì)從ACL中編號最小的規(guī)則開始查找，與數(shù)據(jù)包進(jìn)行匹配過濾，此時(shí)又分三種情況。第一種：如果數(shù)據(jù)包與當(dāng)前的規(guī)則匹配，并且為permit，那么系統(tǒng)停止向下查找規(guī)則，并返回ACL的匹配結(jié)果為：允許第二種：如果數(shù)據(jù)包與當(dāng)前的規(guī)則匹配，并且為deny，那么系統(tǒng)停止向下查找規(guī)則，并返回ACL匹配結(jié)果為：拒絕。第三種：如果當(dāng)前的規(guī)則未匹配，則繼續(xù)查找下一條規(guī)則，以此循環(huán)。（4）缺省匹配：設(shè)備默認(rèn)的ACL指令機(jī)制中，每組ACL都在末尾隱含一條deny所有報(bào)文的指令。也就是說，當(dāng)接收到的數(shù)據(jù)包和ACL所有的明細(xì)條目都不匹配的時(shí)候，則就會(huì)觸發(fā)這條隱藏的指令，直接將報(bào)文丟棄。4知識準(zhǔn)備4.6ACL的匹配順序以華為設(shè)備為例，華為設(shè)備支持兩種匹配順序：自動(dòng)排序（auto模式）和配置順序（config模式），后者也是默認(rèn)的匹配順序。自動(dòng)排序，是指系統(tǒng)使用“深度優(yōu)先”的原則，將規(guī)則按照精確度從高到低進(jìn)行排序，并按照精確度從高到低的順序進(jìn)行報(bào)文匹配。配置順序，系統(tǒng)按照ACL規(guī)則編號從小到大的順序進(jìn)行報(bào)文匹配，規(guī)則編號越小越容易被匹配。如果后面又添加了一條規(guī)則，則這條規(guī)則會(huì)被加入到相應(yīng)的位置，報(bào)文仍然會(huì)按照從小到大的順序進(jìn)行匹配。以如下的ACL配置為例：4知識準(zhǔn)備4.6ACL的匹配順序首先理解ACL2002的含義。rule10：拒絕源IP地址為192.168.10.200的報(bào)文rule15：允許源IP地址為192.168.10.100的報(bào)文rule25：拒絕源IP地址為192.168.10.150的報(bào)文rule30：允許192.168.10.0/24這個(gè)網(wǎng)絡(luò)的IP地址的報(bào)文假設(shè)現(xiàn)在有如下四個(gè)數(shù)據(jù)包要通過配置了上述ACL的設(shè)備，每個(gè)數(shù)據(jù)包的源IP地址如下。192.168.10.200/24192.168.10.100/24192.168.10.150/24192.168.10.30/244知識準(zhǔn)備4.6ACL的匹配順序?qū)τ诘谝粋€(gè)數(shù)據(jù)包，其匹配rule10，動(dòng)作為拒絕，因此該數(shù)據(jù)包不允許通過，且后續(xù)規(guī)則不在匹配。對于第二個(gè)數(shù)據(jù)包，其不匹配rule10，接著向下匹配，匹配rule15，動(dòng)作為允許，因此該數(shù)據(jù)包通過，后續(xù)規(guī)則不再匹配。對于第三個(gè)數(shù)據(jù)包，其不匹配rule10，向下匹配，也不匹配rule15，再向下匹配，匹配rule25，動(dòng)作為拒絕，因此該數(shù)據(jù)包不允許通過，后續(xù)規(guī)則也不再匹配。對于第四個(gè)數(shù)據(jù)包，rule10，rule15，以及rule25都不匹配，其匹配rule30，因此允許通過。從上述例子中可以看出，rule30允許192.168.10.0/24整個(gè)網(wǎng)段的主機(jī)都通過，但是其與前面的rule10，以及rule25存在沖突。由于其在rule10以及rule15之后，因此源地址為192.168.10.200以及192.168.10.100數(shù)據(jù)包匹配了rule10或者rule15，則不再匹配rule30。4知識準(zhǔn)備4.6ACL的匹配順序如果將上述ACL的規(guī)則順序，換成如下的寫法，請各位思考在這種情況下，上述四個(gè)數(shù)據(jù)包匹配哪個(gè)規(guī)則，對應(yīng)的動(dòng)作是什么？4知識準(zhǔn)備4.7基本型ACL配置語法基本型ACL是最簡單的一種ACL，僅使用報(bào)文的源IP地址、分片信息和生效時(shí)間段信息來定義規(guī)則，通常使用編號范圍為2000-2999的ACL規(guī)則，適用于IPv4版本。我們前面使用的樣例，都是基本型ACL。在基本ACL視圖下，通過如下的過程進(jìn)行配置。（1）創(chuàng)建ACL（2）創(chuàng)建規(guī)則當(dāng)然，也可以使用名稱配置一個(gè)ACL，其配置如下。4知識準(zhǔn)備4.8高級型ACL配置語法高級ACL可以對數(shù)據(jù)包的五元組進(jìn)行匹配，包括源IP、目標(biāo)IP、源端口、目標(biāo)端口和協(xié)議，其也就是，其可以根據(jù)源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。其配置過程如下。（1）創(chuàng)建ACL（2）配置ACL規(guī)則根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級ACL規(guī)則。對于不同的協(xié)議類型，有不同的參數(shù)組合。①當(dāng)參數(shù)protocol為IP時(shí)，高級ACL的命令格式如下。4知識準(zhǔn)備4.8高級型ACL配置語法其中，各參數(shù)含義如下。ip：指定ACL規(guī)則匹配報(bào)文的協(xié)議類型為IP。destination{destination-addressdestination-wildcard|any}：指定ACL規(guī)則匹配報(bào)文的目的地址信息。如果不配置，表示報(bào)文的任何目的地址都匹配。dscpdscp：指定ACL規(guī)則匹配報(bào)文時(shí)，區(qū)分服務(wù)代碼點(diǎn)（DifferentiatedServicesCodePoint），取值為：0～63。tostos：指定ACL規(guī)則匹配報(bào)文時(shí)，依據(jù)服務(wù)類型字段進(jìn)行過濾，取值為：0～15。precedenceprecedence：指定ACL規(guī)則匹配報(bào)文時(shí)，依據(jù)優(yōu)先級字段進(jìn)行過濾。precedence表示優(yōu)先級字段值，取值為：0～7。4知識準(zhǔn)備4.8高級型ACL配置語法（2）配置ACL規(guī)則②當(dāng)參數(shù)protocol為TCP時(shí)，高級ACL的命令格式為其中，各參數(shù)含義如下。protocol-number|tcp：指定ACL規(guī)則匹配報(bào)文的協(xié)議類型為TCP。可以采用數(shù)值6表示指定TCP協(xié)議。destination-port{eqport|gtport|ltport|rangeport-startport-end}：指定ACL規(guī)則匹配報(bào)文的UDP或者TCP報(bào)文的目的端口，僅在報(bào)文協(xié)議是TCP或者UDP時(shí)有效。如果不指定，表示TCP/UDP報(bào)文的任何目的端口都匹配。其類型包括如下：eqport：指定等于目的端口；gtport：指定大于目的端口；ltport：指定小于目的端口；rangeport-startport-end：指定源端口的范圍。tcp-flag：指定ACL規(guī)則匹配報(bào)文的TCP報(bào)文頭中SYNFlag。4知識準(zhǔn)備4.9入站及出站對于任何一臺網(wǎng)絡(luò)設(shè)備來講，其處理的數(shù)據(jù)包有兩個(gè)方向。一個(gè)叫做入方向，又稱之為入站，是指數(shù)據(jù)包進(jìn)入設(shè)備的方向，另一個(gè)叫做出方向，又稱之為出站，其是設(shè)備將數(shù)據(jù)包轉(zhuǎn)發(fā)出去的方向。如果一個(gè)設(shè)備配置了ACL，則其在這兩個(gè)方向上對數(shù)據(jù)包的ACL匹配過程是不同的。如圖所示。圖9-6數(shù)據(jù)入站與出站4知識準(zhǔn)備4.9入站及出站1.入站當(dāng)ACL應(yīng)用于設(shè)備的入站方向時(shí)，入站的數(shù)據(jù)包先根據(jù)應(yīng)用在接口上的ACL條件進(jìn)行匹配，如果允許則根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)，如果拒絕則直接丟棄。簡單來講就是“先匹配，后路由。”其過程如圖所示。圖9-7入站匹配過程4知識準(zhǔn)備4.9入站及出站1.出站對于出站方向，當(dāng)ACL應(yīng)用在設(shè)備接口出方向報(bào)文先經(jīng)過路由表路由后轉(zhuǎn)至出接口，根據(jù)接口上應(yīng)用的出方向ACL條件進(jìn)行匹配，是允許permit還是拒絕deny，如果是允許，就根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù)，如果是拒絕就直接將數(shù)據(jù)包丟棄了。簡單來講就是“先路由，后匹配”。其過程如圖所示。圖9-8出站匹配過程4知識準(zhǔn)備4.9入站及出站具體到上文講到的基本型ACL與高級ACL，對于這兩種ACL，基本型ACL盡量應(yīng)用于靠近目的地，也就是出站的方向使用基本型ACL居多，而高級ACL盡量應(yīng)用于靠近源的地方，也就是入站的方向使用高級ACL居多，因?yàn)橥ㄟ^使用高級ACL，可以通過其規(guī)則中匹配的網(wǎng)絡(luò)協(xié)議有效的保護(hù)帶寬以及其他資源的使用。4知識準(zhǔn)備4.10ACL在設(shè)備中的配置過程前面我們學(xué)習(xí)完了ACL的基本概念及語法，本節(jié)我們來看一下如何在設(shè)備中配置ACL。以華為路由器為例，在其上配置基本型ACL時(shí)，進(jìn)入設(shè)備配置控制臺，然后在其中定義一個(gè)ACL，例如acl2000，然后，編寫基本規(guī)則。基本規(guī)則主要包括允許訪問以及禁止訪問，允許就是allow，禁止就是deny。ACL編寫完畢后，因?yàn)閿?shù)據(jù)都是通過設(shè)備接口傳輸?shù)模珹CL也是在入站或者出站接口上匹配，因此，我們需要將編寫好的ACL“綁定”到對應(yīng)的入站或者出站接口中。具體配置過程包括如下兩個(gè)步驟。（1）定義ACL（2）綁定接口5項(xiàng)目實(shí)施1．任務(wù)描述藍(lán)箭公司想對公司員工上網(wǎng)進(jìn)行訪問控制。訪問控制需求為，通過在路由器上部署基本ACL，從而實(shí)現(xiàn)禁止192.168.1.0/24網(wǎng)段的員工訪問路由器右側(cè)的服務(wù)器，而對其他任何網(wǎng)段的數(shù)據(jù)不做訪問控制。為了讓實(shí)驗(yàn)結(jié)果更加直觀，本次實(shí)驗(yàn)可在模擬器中完成。任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制圖9-9基本型ACL網(wǎng)絡(luò)拓?fù)銰E0/0/1ip:192.168.1.1/24gw:192.168.1.254/24Ip:192.168.2.1/24gw:192.168.2.254/24ip:10.1.1.1/24gw:10.1.1.254/24GE0/0/25項(xiàng)目實(shí)施2．實(shí)施步驟為了在路由器上配置ACL，首先要進(jìn)入系統(tǒng)視圖，接著執(zhí)行以下命令來定義一個(gè)ACLacl[number]acl-number[match-orderconfig]該然后使用以下定義規(guī)則，對數(shù)據(jù)包進(jìn)行拒絕或允許操作：rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-rangetime-name]

最后，使用以下命令進(jìn)入路由器接口模式：interfaceGigabitEthernet，再使用以下命令將ACL綁定接口：traffic-filterinbound/outbound任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制5項(xiàng)目實(shí)施2．實(shí)施步驟具體配置命令如下：任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制5項(xiàng)目實(shí)施3.測試分析通過上述配置，我們在路由器的1號接口設(shè)置了相應(yīng)的ACL，從拓?fù)浼芭渲妹羁梢钥闯觯揂CL是對入站方向的數(shù)據(jù)包進(jìn)行進(jìn)行匹配，并且采用的是源地址作為匹配項(xiàng)，其拒絕的是192.168.1.0/24這個(gè)網(wǎng)段的數(shù)據(jù)包。現(xiàn)在我們來測試配置的ACL是否可用。使用ping命令，分別在相應(yīng)的PC中ping服務(wù)器，可以得到如圖所示的結(jié)果。可以看出，來自192.168.10.0/24網(wǎng)段的數(shù)據(jù)包，無法通過路由器，ping不通，而非這個(gè)網(wǎng)段的數(shù)據(jù)包都可以通過路由器，能夠ping通。任務(wù)5.1利用基本ACL實(shí)現(xiàn)小型網(wǎng)絡(luò)的訪問控制圖9-10基本型ACL測試結(jié)果5項(xiàng)目實(shí)施1．任務(wù)描述藍(lán)箭公司通過Router實(shí)現(xiàn)各部門之間的互連。為方便管理網(wǎng)絡(luò)，管理員為公司的財(cái)務(wù)部和法務(wù)部規(guī)劃了兩個(gè)網(wǎng)段的IP地址。現(xiàn)要求Router能夠限制兩個(gè)網(wǎng)段之間互訪，防止公司機(jī)密泄露。其拓?fù)淙鐖D9-10所示。5.2利用高級ACL實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的訪問控制GE0/0/110.1.1.1/24ip:10.1.1.10/24gw:10.1.1.1/24ip：10.1.2.10/24gw:10.1.1.2.1/24GE0/0/210.1.2.1/24圖9-10高級型ACL網(wǎng)絡(luò)拓?fù)?項(xiàng)目實(shí)施2．實(shí)施步驟配置高級ACL和流量過濾，使路由器可以對財(cái)務(wù)部與法務(wù)部之間通信的報(bào)文進(jìn)行過濾。需要分創(chuàng)建高級ACL，實(shí)現(xiàn)拒絕財(cái)務(wù)部訪問法務(wù)部的報(bào)文通過，以及拒絕法務(wù)部訪問財(cái)務(wù)部的報(bào)文通過，并綁定在對應(yīng)的接口GE0/0/1和GE0/0/2，且為入站方向：5.2利用高級ACL實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的訪問控制5項(xiàng)目實(shí)施3．測試分析如圖9-10所示，使用ping命令，在10.1.1.1的PC上ping10.1.2.1的PC，可以發(fā)現(xiàn)不能通過。反之亦然。5.2利用高級ACL實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的訪問控制圖9-11高級型型ACL測試結(jié)果5項(xiàng)目實(shí)施5.3真機(jī)設(shè)備的配置上述練習(xí)均在ENSP模擬器中完成。但是在實(shí)際工作中，一定是在真機(jī)設(shè)備中進(jìn)行配置。對于真機(jī)設(shè)備，配置方法有兩種，一種為命令行方式，另一種為Web應(yīng)用程序。對于命令行方式使用console控制口連接設(shè)備，可以使用登入MobaXterm1_CHS1軟件登入設(shè)備的控制臺，如圖9-11所示。然后編寫ACL及其對應(yīng)的規(guī)則。ALC編寫完畢后，把它應(yīng)用到網(wǎng)口中，依然是使用traffic-filter命令進(jìn)行綁定。完成后退出，就實(shí)現(xiàn)了使用命令行的方式在真機(jī)設(shè)備中配置訪問控制。圖9-12使用console控制口編寫真機(jī)設(shè)備ACL5項(xiàng)目實(shí)施5.3真機(jī)設(shè)備的配置使用web應(yīng)用程序?qū)φ鏅C(jī)設(shè)備進(jìn)行配置，其操作與配置家用無線路由器類似。用網(wǎng)線連接設(shè)備的任一個(gè)接口，然后配置計(jì)算機(jī)和設(shè)備為同一個(gè)網(wǎng)段。在瀏覽器中輸入配置網(wǎng)址，就可以進(jìn)入配置主頁面，如圖9-12所示。在主頁面最左邊的菜單欄，有一項(xiàng)安全業(yè)務(wù)管理菜單。單擊該菜單，然后再單擊ACL配置。右側(cè)的配置詳情頁面還有相應(yīng)的配置信息，需要在其中填寫ACL訪問控制的接口和訪問規(guī)則。填寫完畢或，就實(shí)現(xiàn)了使用Web應(yīng)用程序配置ACL。圖9-12使用web頁面配置真機(jī)設(shè)備ACL6項(xiàng)目小結(jié)本次項(xiàng)目主要學(xué)習(xí)ACL訪問控制的相關(guān)概念、分類、配置方法，并通過兩個(gè)小項(xiàng)目進(jìn)一步練習(xí)其使用方法。訪問控制列表（ACL）是網(wǎng)絡(luò)安全的關(guān)鍵機(jī)制，用于定義和管理網(wǎng)絡(luò)資源的訪問權(quán)限。ACL工作原理包括定義規(guī)則、匹配規(guī)則和執(zhí)行操作。標(biāo)準(zhǔn)ACL基于源IP過濾，擴(kuò)展ACL則提供更多篩選條件。時(shí)間及用戶基礎(chǔ)的ACL提供更細(xì)化的控制。優(yōu)點(diǎn)在于增強(qiáng)安全性和精細(xì)管理，但管理復(fù)雜性和性能影響也是挑戰(zhàn)。通過使用ACL，可以限制對網(wǎng)絡(luò)資源的訪問，可以有效地防止未經(jīng)授權(quán)的訪問和攻擊，提高網(wǎng)絡(luò)