ACL研究与验证毕业论文(中英文)

摘要

访问控制列表（Access Control List，ACL）技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。

ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。

关键词： ACL 路由器包过滤防火墙网络安全

Abstract

Access Control List (Access Control List, ACL) technology is widely adopted, it is a kind of based on the packet filtering flow Control technology. Standard access control list through the source address, the destination address and port as packet inspection elements, can stipulate meet the conditions of the packets are allowed to pass. ACL normally used in export control, can by implementing ACL, can effective deployment enterprise network out nets strategy. Along with the increase of internal network resources LAN, some companies have started to use ACL to control access to LAN internal resources, and to safeguard the ability of resources security.

ACL technology can be effective in three layers control network users access to network resources, it can be specific to two network equipment of network application between and also to segment the widespread access control management, for network application provides an effective security means.

Keywords: ACL router packets filtrating firewall Network security

第一章前言 (6)

第二章 ACL简介 (7)

2.1 访问列表概述 (7)

2.2 访问列表类型 (7)

2.3 ACL的相关特性 (7)

2.4 ACL转发的过程 (8)

2.5 IP地址与通配符掩码的作用规 (9)

2.6 通配符掩码掩码的两种特殊形式 (9)

2.7 访问列表配置步骤 (10)

2.8 访问列表注意事项 (10)

第三章标准IP访问列表 (12)

3.1 标准IP访问列表的配置命令 (12)

3.2 标准IP访问列表的配置验证 (13)

3.3 标准IP访问列表的配置验证配置 (13)

第四章扩展IP访问列表 (14)

4.1 扩展IP访问列表的配置命令 (14)

4.2 扩展IP访问列表配置验证 (15)

4.3 扩展IP访问列表配置验证配置 (15)

第五章编号与命名访问列表 (17)

5.1 命名IP访问列表 (17)

5.2 编号IP访问列表和命名IP访问列表的区别 (19)

5.3 编号与命名访问列表命令比较 (20)

5.4 命名访问列表配置验证一 (20)

5.5 命名访问列表配置验证一配置 (20)

5.6 命名访问列表配置验证二 (20)

5.7 命名访问列表配置验证二配置 (21)

5.8 命名访问列表删除语句 (22)

5.9 命名访问列表加入语句 (23)

第六章基于时间访问列表 (24)

6.1 基于时间访问列表概述 (24)

6.2 基于时间访问列表的配置命令 (24)

6.3 周期时间验证 (25)

6.4 基于时间访问列表的配置验证一 (25)

6.5 基于时间访问列表的配置验证一配置 (25)

6.6 基于时间访问列表的配置验证二 (26)

6.7 基于时间访问列表的配置验证二配置 (26)

6.8 ACL验证 (27)

第七章 TCP拦截 (29)

7.1 TCP三次握手 (29)

7.2 TCP拦截原理 (29)

7.3 TCP拦截的配置 (29)

7.4 TCP拦截配置验证 (31)

7.5 TCP拦截配置验证配置 (31)

第八章用ACL应对安全威胁 (33)

8.1 ACL安全相关简介 (33)

8.2 常见的路由器服务 (33)

8.3 控制对路由器服务的访问途径 (34)

8.4 ACL应对网络安全威胁常用方法和手段 (35)

结束语： (40)

参考文献 (41)

第一章前言

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。

ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

ACL对网络流量、数据、行为、病毒的传播具有重要的作用。了解和掌握ACL相关知识是十分必要的。

第二章ACL简介

2.1 访问列表概述

访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容。

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。

数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。

访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。

2.2 访问列表类型

访问列表可分为标准IP访问列表和扩展IP访问列表。

标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。2.3 ACL的相关特性

每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通

过，过滤掉数据包，一个是允许(permit)即允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的ACL（内向ACL）起作用。

在路由选择决定以后，应用在接口离开方向的ACL（内向ACL）起作用。

每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。

2.4 ACL转发的过程

当接口收到数据包时，锐捷 IOS首先确定ACL是否被应用到该接口。如果没有，锐捷 IOS正常地路由该数据包。如果有，则处理ACL。从第一条语句开始，将条件和数据包内容作比较。如果没有匹配，锐捷 IOS处理列表中的下一条语句。如果有匹配，则执行操作：允许或拒绝。如果锐捷 IOS查遍了整个ACL也没有找到匹配，则丢弃数据包。

对于输出ACL，过程是相似的。当锐捷 IOS接收到数据包时，首先将数据包路由到输出接口。然后锐捷 IOS检查在接口上是否有ACL输出，如果没有，锐捷 IOS将数据包排在队列中，发送出接口。否则，数据包通过与ACL条目进行比较被处理。如图1所示：

图1

2.5 IP 地址与通配符掩码的作用规

32位的IP 地址与32

位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP 地址的对应位必须匹配，通配符掩码为1的位所对应的IP 地址位不必匹配。如图2：

图2

2.6 通配符掩码掩码的两种特殊形式

一个是host 表示一种精确匹配，是通配符掩码掩码0.0.0.0的简写形式。

接

一个是any表示全部不进行匹配，是通配符掩码掩码255.255.255.255的简写形式。

2.7 访问列表配置步骤

第一步是配置访问列表语句。

第二步是把配置好的访问列表应用到某个端口上。

1.建立ACL

对想要过滤的每个协议，需要建立单独的ACL。每个ACL基本上是一组定义过滤规则的语句的组合，使用编号或者名称用来分组这些语句。如果使用编号，不可以任意选择随机的数字分配给ACL语句组。

标准IP－－1～99，1300～1999

扩展IP－－100～199，2000～2699

使用以下的命令来建立使用编号的ACL语句组，不同组用不同的编号来区分：

Router(config)#access-list ACL_# permit|deny conditions 2.激活ACL

可以使用下面的命令，在一个接口上激活ACL来实现过滤：Router(config-if)#ip access-group ACL_#_or_name in|out 2.8 访问列表注意事项

注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。

新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。

标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。

标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。在应用访问列表时，要特别注意过滤的方向。

第三章标准IP访问列表

3.1 标准IP访问列表的配置命令

配置标准访问列表

access-list access-list-number deny|permit source-address source-wildcard [log]

access-list-number：只能是1～99之间的一个数字同

deny|permit：deny表示匹配的数据包将被过滤掉；permit 表示允许匹配的数据包通过

source-address：表示单台或一个网段内的主机的IP地址

source-wildcard：通配符掩码

Log：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志

应用访问列表到接口

ip access-group access-list-number in|out

In：通过接口进入路由器的报文

Out：通过接口离开路由器的报文

显示所有协议的访问列表配置细节

show access-list [access-list-number]

显示IP访问列表

show ip access-list [access-list-number]

3.2 标准IP访问列表的配置验证

hostA不能访问服务器server1和server2，其它主机可以访问服务器server1和server2 。如图3：

图3

3.3 标准IP访问列表的配置验证配置

routerB# configure terminal

routerB(config)# access-list 1 deny host 192.168.1.1 routerB(config)# access-list 1 permit any

routerB(config)# interface Ethernet 0

routerB(config)# ip access-group 1 in

第四章扩展IP访问列表

4.1 扩展IP访问列表的配置命令

配置扩展访问列表

access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-numberL：编号范围为100～199。

Permit：通过；deny：禁止通过。

Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。

source-address ：源IP地址。

source-wildcard：源通配符掩码。

source-port：可以是单一的某个端口，也可以是一个端口范围，如图4：

图4

destination-address：目的IP地址。

destination-wildcard：目的地址通配符掩码。

destination-port：目的端口号，指定方法与源端口号的指定方法相同。

4.2 扩展IP访问列表配置验证

要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP、SMTP、POP3协议的通信。LAN2中的主机192.168.2.1向Internet提供WWW服务，主机192.168.2.2向Internet提供FTP 服务，主机192.168.2.3向Internet提供SMTP服务，其余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3。

4.3 扩展IP访问列表配置验证配置

router# configure terminal

router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq www

router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq ftp

router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq smtp

router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq pop3

router(config)#access-list 101 deny ip any

192.168.1.0 0.0.0.255

router(config)#access-list 102 permit tcp any host 192.168.2.1 eq www

router(config)#access-list 102 permit tcp any host 192.168.2.2 eq ftp

router(config)#access-list 102 permit tcp any host 192.168.2.3 eq smtp

router(config)# interface serial 1

router(config-if)# ip access-group 101 out

router(config-if)#interface ethernet 0

router(config-if)#ip access-group 102 out

第五章编号与命名访问列表

可以通过两种方式来为标准ACL语句分组：通过编号或者名称。

5.1 命名IP访问列表

使用以下命令来建立编号的标准ACL：

Router(config)#access-list ACL_# {permit|deny} source_IP_address [wildcard_mask] [log]

使用该命令时，必须指定ACL编号，范围可以是1到99，或者1300到1999。默认地，当在特定的列表中输入一条ACL命令时，它被添加到列表的底部。

ACL编号后面紧接着条件匹配时所要采取的操作。只能指定两种操作：允许或者拒绝。操作的后面跟着的是条件。使用标准ACL 时，只能指定源地址和通配符掩码。（如果在标准ACL中忽略通配符掩码，则默认时0.0.0.0。如果想匹配所有地址，则用关键字any来替换源地址和掩码）。

在建立了ACL之后，在路由器激活它。如果想在流量进入或者离开接口时过滤它们，使用以下配置：

Router(config)#interface type [slot_#/] port_#

router(config)#ip access-group ACL_#or_ACL_name {in|out}

使用ip access-group命令时，需要指定ACL的名称或者编

号，以及路由器过滤信息的方向:in或者out。

如果想要限制到路由器的Telnet或SSH连接，则使用以下配置激活ACL：

Router(config)#line type line_#

Router(config)#access-class ACL_#_or_ACL_name {in|out}

使用access-class命令来在线路上激活ACL。

命名IP访问列表通过一个名称而不是一个编号来引用的。

命名的访问列表可用于标准的和扩展的访问表中。

名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含[，]、{，}、_、-、+、/、\、.、&、$、#、@、!以及?等特殊字符名称的最大长度为100个字符。

使用以下配置，建立命名的标准IP ACL：

Router(config)#ip access-list standard name_of_ACL

Router(config-std-nacl)#deny {source [src_wildcard] any} [log]

Router(config-std-nacl)#permit {source [src_wildcard] any} [log]

Router(config-std-nacl)#exit

5.2 编号IP访问列表和命名IP访问列表的区别

名字能更直观地反映出访问列表完成的功能

命名访问列表突破了99个标准访问列表和100个扩展访问列表的数目限制，能够定义更多的访问列表。

命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表

单个路由器上命名访问列表的名称在所有协议和类型的命名访问列表中必须是唯一的，而不同路由器上的命名访问列表名称可以相同。

5.3 编号与命名访问列表命令比较

编号与命名访问列表命令比较如图5：

图5

5.4 命名访问列表配置验证一

hostA不能访问服务器server1和server2，其它主机可以访问服务器server1和server2 ，如图6：

图6

5.5 命名访问列表配置验证一配置

routerB# configure terminal

routerB(config)# ip access-list standard acl_hosta

routerB(config-std-nacl)#deny host 192.168.1.1

routerB(config-std-nacl)# permit any

routerB(config-std-nacl)#exit

routerB(config)# interface Ethernet 0

routerB(config)# ip access-group acl_hosta in

5.6 命名访问列表配置验证二