第五讲 访问控制列表

第十章访问控制列表配置教学目的：1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点：1.访问列表2.包过滤3.流量控制4.通配掩码10.1 访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中，识别和过滤进入到网络或发出去的符合规定条件的数据流量，以决定是否允许发送或丢弃数据流量。

访问控制是控制流量的一种方法，是实现防火墙的重要手段。

二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。

2.在虚拟终端线路接口(vty)应用访问控制列表，实现对登录用户的控制。

3.还可以应用到队列技术、按需拨号、VPN、NA T等。

三、访问列表的工作流程1.进方向上的工作流程：2.出方向上的工作流程：四、访问列表的控制条件根据IP数据包中包含的信息，可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。

五、访问列表执行流程访问控制列表实际上是一些列判断语句，被过滤的数据包会一个个和这些条件语句进行比较，当符合条件则执行操作(permit或deny )；否则进行下一条件判断。

六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。

即每种协议(IP、IPX等)定义一个访问控制列表。

2.一个访问控制列表的配置是每协议、每接口、每方向的。

每种协议可以定义进出两个控制访问控制列表。

3.访问控制列表的顺序决定了对数据包控制顺序。

4.在访问控制列表最后，有一条隐含的“全部拒绝”命令，因此在控制列表里至少有一条“允许”语句。

5.访问控制列表只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数据包。

10.2 访问控制列表分类访问控制列表有两种类型：标准访问控制列表、扩展访问控制列表。

✓标准访问控制列表判断条件是数据包的源IP地址，只能过滤来自某个网络或主机的数据包。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

第五讲访问控制罗守山北京邮电大学计算机学院内容提要♦1. 概述♦2. 自主型安全（访问控制）模型♦3 强制访问控制模型♦4 基于角色的访问控制模型♦5 访问控制中的安全策略与信任机制♦访问控制是安全服务的一个重要组成部分。

–所谓访问控制，就是通过某种途径显式地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。

–国际标准化组织（ISO）在网络安全标准ISO7498-2中定义了5种层次型安全服务，即：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务，因此，访问控制是信息安全的一个重要组成部分。

1.概述访问控制系统一般包括：1)主体(Subject)：是可以对其它实体施加动作的主动实体，简记为S。

有时我们也称为用户（User）或访问者（被授权使用计算机的人员），记为U。

主体的含义是广泛的，可以是用户所在的组织（称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程；2)客体(Object)：被调用的程序或欲存取的数据访问,是接受其他实体访问的被动实体, 简记为O。

客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。

在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体；3)安全访问规则：用以确定一个主体是否对某个客体拥有访问权力。

是主体对客体的操作行为集和约束条件集, 简记为KS。

简单讲，控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束。

访问策略体现了一种授权行为，也就是客体对主体的权限允许，这种允许不超越规则集，由其给出。

访问控制系统三个要素之间的行为关系见下图。

♦可以使用三元组（S，O，P）来表示，其中S表示主体，O表示客体，P表示许可。

1、什么是访问控制列表？访问控制列表在Cisco IOS软件中是一个可选机制，可以配置成过滤器来控制数据包，以决定该数据包是继续向前传递到它的目的地还是丢弃。

2、为什么要使用访问控制列表？最初的网络只是连接有限的LAN和主机，随着路由器连接内部和外部的网络，加上互联网的普及，控制访问成为新的挑战，网络管理员面临两难的局面：如何拒绝不期望的访问而允许需要的访问？访问控制列表增加了在路由器接口上过滤数据包出入的灵活性，可以帮助管理员限制网络流量，也可以控制用户和设备对网络的使用，它根据网络中每个数据包所包含的信息内容决定是否允许该信息包通过接口。

3、访问控制列表有哪些类型？访问控制列表主要可以分为以下两种：A、标准访问控制列表：标准访问控制列表只能够检查可被路由的数据包的源地址，根据源网络、子网、主机IP地址来决定对数据包的拒绝或允许，使用的局限性大，其序列号范围是1-99。

B、扩展访问控制列表：扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址，同时还可以检查指定的协议、端口号和其他参数，具有配置灵活、精确控制的特点，其序列号的范围是100-199。

以上两种类型都可以基于序列号和命名来配置，我们建议使用命名来配置访问控制列表，这样在以后的修改中也是很方便的。

4、访问控制列表具有什么样的特点？A、它是判断语句，只有两种结果，要么是拒绝(deny),要么是允许(permit)；B、它按照由上而下的顺序处理列表中的语句；C、处理时，不匹配规则就一直向下查找，一旦找到匹配的语句就不再继续向下执行；D、在思科中默认隐藏有一条拒绝所有的语句，也就默认拒绝所有(any);由上面的特点可以总结出，访问控制列表中语句的顺序也是非常重要的，另外就是所配置的列表中必须有一条允许语句。

5、配置访问控制列表需要注意什么？A、访问控制列表只能过滤流经路由器的流量，对路由器自身发出的数据包不起作用。

B、一个访问控制列表中至少有一条允许语句。