扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:彭亮 来源:SohuIT 2008年8月4日
关键字:
作者: 彭亮, 出处:IT专家网, 责任编辑: 张宾, 2008-08-04 00:30
扩展访问控制列表比标准访问控制列表提供了更广阔的控制范围,其灵活性也比标准访问控制列表要高的多。在实际工作中,网络管理员基本上是采用扩展型的访问控制列表,来对通过路由器的部分数据流量进行过滤。
【IT专家网独家】
扩展访问控制列表比标准访问控制列表提供了更广阔的控制范围,其灵活性也比标准访问控制列表要高的多。在实际工作中,很少有网络管理员会简单的采用标准访问控制列表,而基本上是采用扩展型的访问控制列表,来对通过路由器的部分数据流量进行过滤。如我们有时候只允许来自于外部的EMAIL通信流量进入企业网络,而其他的通信流量,如FTP、WEB等等,路由器都要把他们挡在门外,此时,就可以通过扩展型的访问控制列表来实现。扩展访问控制列表提供了很多的控制关口,如源地址、目标地址、协议类型、端口号等等,这种扩展后所带来的功能,可以实现网络管理员对网络访问进行复杂控制的要求,而不再是简单的只根据IP地址进行控制。废话不说了,我们先来看一个扩展访问控制列表的实例,看看其到底有什么神秘的地方。
案例二:拒绝企业内部某个用户访问FTP服务器
假设现在企业内部有一台主机A,其IP地址为192.168.1.10。而路由器上有一台FTP服务器B,其IP地址为192.168.0.2。现在企业为了FTP服务器的安全,只有经过授权的用户才能够访问这台FTP服务器。一般来说,这台FTP服务器是为业务部门准备的,默认情况下,只要业务员可以访问这台FTP服务器。
针对这种情况,该如何配置访问控制列表呢?
Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21
Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255
要拒绝某个协议类型的数据流量,若依靠标准的访问控制列表是达到这个目标的。一般来说,标准的访问控制列表之能够简单的对IP地址进行数据流量的过滤,也就是说,其要么允许全部的数据包通过,要么就是拒绝所有的数据包。而现在若采用扩展的访问控制列表,则可以根据数据包的协议来类型来实现对部门数据包进行过滤,对部分数据包放行。
下面笔者对以上的访问控制列表条件语句作一些必要的说明
1、访问控制列表标号。在上面一篇文章中,笔者谈到,为了管理的方便,访问控制列表规定,用数字1到99来表示标准的访问控制列表;而100到199用来表示扩展的访问控制列表。而这边数字“101”就表示这个访问控制列表是一个扩展型的访问控制列表。
2、关键字deny与permit。这两个关键字,顾名思义,就是表示拒绝某个流量还是允许某个流量通过路由器。这里要注意一个书写的顺序。在一般情况下,都把拒绝的语句,而就是deny语句放在前头,而把拒绝的语句放在后面。因为访问控制列表示从头到脚对这些语句进行判断,若前面一条语句满足的话,则后续的将都不会被判断。所以,一般要把拒绝的条件语句放在前面。具体的例子在上篇文章中笔者已经详细介绍过,这里就不再过过多的叙述了。
3、tcp表示一种传输层的协议。若想要使用扩展型的访问控制列表,则一定要对传输层的各种访问协议有清晰的认识,否则的话,配置访问控制列表的时候,就有点束手束脚的了。
4、192.168.1.0 0.0.0.255,表示对那些IP地址进行这个拒绝操作。这两组数字是配套使用的。后面的0.0.0.255表示对IP地址的前三位进行检查,而对最后一位不进行检查。如此的话,结合前面的IP地址,也就表示IP地址前面三位为192.168.1的IP地址,后面不管是什么,从192.168.1.0到192.168.1.255,都会采用这条语句。也就是说,0表示检查,必须完全匹配,而255的话,就表示不进行检查。
5、172.168.0.2 0.0.0.0,表示目的地址。在采用访问控制列表中,一般源地址与目的地址是成对出现的。因为网络管理员虽然不允许内部用户访问企业内部的FTP服务器,但是,有可能其允许访问其他的FTP服务器。所以,最好能够指定目的IP地址,以防止把一些正常访问的流量拒绝掉。
6、eq 21,表示服务的端口好。我们都知道,在访问某个服务的时候,一般都是需要有协议类型与端口号才可以。如我们访问FTP服务器的时候,可能就是通过“FTP://192.168.0.2:21”进行访问。最后面的21就表示FTP服务器为这个服务所开的端口。所以,在配置扩展访问列表的时候,需要对各种服务的默认端口了如指掌。如端口23表示终端连接,25表示简单邮件传输协议,69表示普通文本传输协议等等。不过这些端口是系统默认的端口,而在实际工作中,有时会我们会为了安全方面的考虑,改变这些端口。如把FTP的端口21改为8000等等,这主要是为了让别人不能够破解FTP服务器。所以,针对这种情况的话,我们在配置访问控制列表的话,也需要注意。
这种拒绝某种通信流量的设置,我们一般会在路由器上普遍采用。如我们都知道,在知道路由器管理员用户名与密码的情况下,可以把一些路由器的配置文件,如访问控制列表,通过普通文本传输协议,放到路由器上。所以,有时会为了确保其他人员无法使用路由器的普通文本传输协议,我们就会利用访问控制列表,禁止除了管理员以外的IP地址利用这个普通文本传输协议向路由器传输相关的配置文件。
所以,Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21这条语句完整的意思就是,拒绝所有来自于192。168.1.0到192.168.01.255的IP地址访问192.168.0.2的FTP服务器。若FTP的服务器发生了变化的话,则这个访问列表的端口号也要进行相应的更改。不过,在上面文章中,我们谈到过对以标准访问控制列表来说,使不能直接在原有的访问控制列表中进行更改,而必须先把原有访问控制列表中的判断语句删除,然后重新建访问控制列表,并关联到相关的端口。这个规则,对于扩展访问控制列表来说,也是适用的。所以,对于配置扩展访问控制列表,我们也是建议现在管理员的主机上写好扩展访问控制列表,然后再通过简单文本传输协议把访问控制列表传到路由器上,再进行端口的关联动作。如此的话,可以提高访问控制列表配置的效率与准确性。
另外要注意最后一条语句,Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255,这表示来自于192.168.1.0到192.168.1.255的IP地址的主机通信流量,可以畅通无阻的进行访问。这跟前面那条语句结合起来,就表示路由器只是拒绝了对FTP服务器21端口的访问而已。也就是说,我们此时仍然可以利用PING命令PING通FTP服务器,或者通过网上邻居找到这台服务器,只是不能够通过FTP工具访问这个服务器而已。
在管理访问控制列表的时候,无论是标准型的访问控制列表,还是扩展型的访问控制列表,都需要注意一个问题就是即可以在路由器的进口,也可以在出口关联访问控制列表。不过,两者还是有一点区别。若在出口关联访问控制列表的时候,就意味着被允许的数据包将直接被发送出去,而被拒绝的数据包就会被阻塞。而若把访问控制列表关联到进口的话在,则被允许的数据包将进入路由器进行后续的处理,而被拒绝的数据包将直接被丢弃。这个进出口的差异,就引起了访问控制列表的另一个话题,就是该把访问控制列表放在进口好还是出口好。因为采用了访问控制列表之后,会让路由器多额外的开销,会对网络的性能造成一定的影响。而合理放置访问控制列表,可以把这个影响减少到最低。在后续的文章中,笔者将专门介绍如何来选择访问控制列表的放置问题。
另外,在前面笔者在配置访问控制列表的时候,都是用数字对访问控制列表进行命名。但是,这个数字的话,明显不能够反映这个访问控制列表的实际作用。如时间长了,或者是前任的网络管理员留下来的访问控制列表,我们只是接手,光看这个101三个数字,我们怎么知道他到底实现了什么控制呢?所以,在访问控制列表管理机制中,路由器还提供了一个命名的访问控制列表。命名访问控制列表不仅可以形象的描述访问控制列表的功能,而且,他还有一些标准或者扩展访问列表没有的功能。如通过命名访问控制列表,如可以让网络管理员删除某个访问控制列表中不需要的判断语句。我们上面文章中说过,若是标准型或者扩展型访问控制列表,是不能够按照语句序号删除某个不需要的条件语句。而若采用命名的访问控制列表的话,则可以达到这个目的。具体该如何操作,请关注我后面的文章,笔者会给大家详细讲述如何使用命名的访问控制列表,以及其跟其他两种访问控制列表的优点。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。