訪問控制列表acl實驗報告

㈠ 訪問控制列表的基本定義

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
訪問控制列表（Access Control Lists,ACL）是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕，可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表不但可以起到控制網路流量、流向的作用，而且在很大程度上起到保護網路設備、伺服器的關鍵作用。作為外網進入企業內網的第一道關卡，路由器上的訪問控制列表成為保護內網安全的有效手段。
此外，在路由器的許多其他配置任務中都需要使用訪問控制列表，如網路地址轉換（Network Address Translation，NAT）、按需撥號路由（Dial on Demand Routing，DDR）、路由重分布（Routing Redistribution）、策略路由（Policy-Based Routing，PBR）等很多場合都需要訪問控制列表。
訪問控制列表從概念上來講並不復雜，復雜的是對它的配置和使用，許多初學者往往在使用訪問控制列表時出現錯誤。

㈡ ACL(訪問控制列表)的分類和作用

IP訪問控制列表的分類

標准IP訪問控制列表

當我們要想阻止來自某一網路的所有通信流量，或者充許來自某一特定網路的所有通信流量，或者想要拒絕某一協議簇的所有通信流量時，可以使用標准訪問控制列表來實現這一目標。賀巧標准訪問控制列表檢查路由的數據包的源地址，從而允許或拒絕基於網者御絡、子網或主機的IP地址的所有通信流量通過路由器的出口。

擴展IP訪問控制列表

擴展訪問控制列表既檢查數據包的源地址，也檢查數據首拍岩包的目的地址，還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。

命名訪問控制列表

在標准與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。

在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，並且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。

㈢ 華為 ACL訪問控制列表 （高級ACL為例）

Access Control List訪問控制列表–ACL

ACL是由一個或多個用於報文過濾的規則組成的規則集合，通過在不同功能上的應用 可 達到不同的應用效果。
路由器和交換機介面的指令列表，用來控制埠進出的數據包，配合各種應用（NAT、route police 前綴列表等）實現對應的效果。

匹配特定數據，實現對數據的控制（deny–拒絕，permit–放行）
實現網路訪問控制，Qos留策略，路由信息過濾，策略路由等諸多方面。

（1）：按照ACL過濾的報文類型和功能劃分

基本acl（2000-2999）：只能匹配源ip地址。
高級acl（3000-3999）：可以匹配源ip、目標ip、源埠、目標埠等三層和四層的欄位。

① 介面ACL（編號1000-----19999）
② 基本ACL（編號2000-----2999）
③ 高級ACL（編號3000-----3999）
④ 二層ACL（編號4000-----4999）
⑤ 自定義ACL（編號5000----5999）

（2）：按照命名方式劃分

① 數字型ACL（創建ACL是編號）
② 命名型ACL（給所創建的ACL賦予一個名稱）

定義ACL語句--------》介面/應用掛載-------》介面收到流量匹配ACL語句----------》數據命中ACL後執行語句動作。

（1）：一個ACL可以由多條「deny | permit」語句組成，每一條語句描述了一條規則
permit–放行，允許，抓取/匹配
deny----拒絕，過濾。

（2）：設備收到數據流量後，會逐條匹配ACL規則，看其是否匹配。
如果不匹配，則匹配下一條。一旦找到一條匹配的規則，則執行規則中定義的動作（permit或者deny）並且不再匹配後續的語句。
如果找不到匹配的規則，則設備不對報文進行任何處理（即默認執行prmit any any，放行所有）

注意： ACL中定義的這些規則可能存在重復或矛盾的地方。規則的匹配順序決定了規則的優先順序，ACL通過設置規則的優先順序來處理規則之間重復或矛盾的情形

配置順序和自動排序

（1）配置順序：

配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。
設備會在創建ACL的過程中自動為每一條規則分配一個編號（rule-id），規則編號決定了規則被匹配的順序(ARG3系列路由器默認規則編號的步長是5)。

（2）自動排序：

自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序，匹配條件（如協議類型，源目的IP地址范圍等）限制越嚴格越精確。
若「深度優先」的順序相同，則匹配該規則時按照規則編號從小到大排列。

rule

（1） 一個ACL內可以有一條或者多條規則，每條規則都有自己的編號，在一個ACL每條語句的規則編號時唯一的，每條編號代表一個ACL語句和動作。
（2） ACL的規則編號（rule id）默認自動生成，也可以手動指定，一般我們通過手動插入新的rule 來調整ACL的匹配規則。
（3）默認每條規則號的從0開始，增長規則為步進5（通過step命令修改步進號）

㈣ ACL（訪問控制列表）詳解

訪問控制列表(ACL)是應用在 路由器 介面的指令列表(即規則)。這些指令列表用來告訴路由器，那些數據包可以接受，那些數據包需要拒絕。

ACL使用包過濾技術，在路由器上讀取OSI七層模型的第3層和第4層包頭中的信息。如源地址，目標地址，源埠，目標埠等，根據預先定義好的規則，對包進行過濾，從而達到訪問控制的目的。

ACl是一組規則的集合，它應用在路由器的某個介面上。對路由器介面而言，訪問控制列表有兩個方向。

出：已經通過路由器的處理，正離開路由器的數據包。

入：已到達路由器介面的數據包。將被路由器處理。

————————————————

1、Access Contral List

2、ACL是一種包過濾技術。

3、ACL基於 IP包頭的IP地址 、 四層TCP／UDP頭部的埠號; 基於三層和四層過濾

4、ACL在路由器上配置，也可以在防火牆上配置（一般稱為策略）

5、ACL主要分為2大類：

標准 ACL
表號是 1-99 特點；

只能基於 源IP地址 對包進行過濾

擴展 ACL
表號：100-199

特點：可以基於源IP、目標IP、埠號、協議對包進行過濾

————————————————

ACL原理

1）ACL表必須應用到介面的進或出方向生效

2） 一個介面的一個方向 只能應用一張表

3）進還是出方向應用？取決於流量控制總方向

4）ACL表是嚴格自上而下檢查每一條，所以要注意書寫順序

5）每一條是有條件和動作組成，當流量不滿足某條件，則繼續檢查；當流量完全 滿足某條件，不再往後檢查 直接執行動作。

6）標准ACL盡量寫在靠近目標的地方

————————————————

將ACL應用到介面：

———————

注釋：反子網掩碼：將正子網掩碼0和1倒置

反子網掩碼：用來匹配，與0對應的嚴格匹配，與1對應的忽略匹配。

———————

例如：access-list 1 deny 10.1.1.1 0.255.255.255

解釋：該條目用來拒絕所有源IP為10開頭的

access-list 1 deny 10.1.1.1 0.0.0.0

簡寫：access-list 1 deny host 10.1.1.1

解釋：該條目用來拒絕所有源IP為10.1.1.1的主機

access-list 1 deny 0.0.0.0 255.255.255.255

簡寫：access-list 1 deny any

解釋：該條目用來拒絕所有人

————————————————

————————————————

1）做流量控制，首先要先判斷ACL寫的位置（那個路由器？那個介面的哪個方向？）

2）再考慮怎麼寫ACL

首先要判斷最終要 允許所有還是拒絕所有

將 【詳細的嚴格的控制】 寫在最前面

3）一般情況下，標准或擴展ACL一旦編寫，無法修改某一條，也無法刪除某一條，也無法往中間插入新的條目，只能一直在最後添加新的條目

如想修改插入或刪除，只能刪除整張表，重新寫！

conf t

no access-list 表號
查看ACL表：

show ip access-list [表ID]

————————————————

擴展ACL：

表號：100-199

特點：可以基於源IP、目標IP、埠號、協議對包進行過濾

命令：

acc 100 permint/deny 協議 源IP或源網段 反子網掩碼 目標IP 或源網段 反子網掩碼 [eq埠號]

注釋：協議：tcp/udp/icmp/ip

案例：

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80

acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255

————————————————

命名ACL：

作用：可以對標准或擴展ACL進行自定義命名

優點：

自定義命名更容易辨認，也便於記憶！

可以任意修改某一條，或刪除某一條，也可以往中間插入某一條

conf t

ip access-list standard/extended 自定義表名

開始從deny或permit編寫ACL條目

exit

刪除某一條：

ip access-list standard/extended 自定義表名

no 條目ID

exit

插入某一條：

IP access-list standard/extended 自定義表名

條目ID 動作 條件

————————————————

以上是以思科命令為例。