使用访问控制列表过滤流量

使用访问控制列表过滤流量
使用访问控制列表
流量过滤
企业网络的安全极为重要。

必须防止未经授权的用户访问网络和防御各种攻击（如DoS 攻击）。

未经授权的用户可能纂改、销毁或窃取服务器上的敏感数据。

DoS 攻击会阻止合法用户访问设备。

这两种情况都会令企业损失时间和资金。

管理员可以通过流量过滤来控制各个网段中的流量。

过滤是对数据包内容进行分析以决定是允许还是阻止该数据包的过程。

数据包的过滤可能很简单，也可能相当复杂，拒绝或允许流量通过的依据有：
源IP地址
目的IP地址
MAC 地址
协议
应用类型
数据包的过滤机制类似于垃圾邮件的过滤机制。

许多电子邮件应用程序允许用户调整配置，以便自动删除来自特定源地址的电子邮件。

数据包的过滤方法与此类似，即配置路由器使之识别不受欢迎的流量。

流量过滤可以改善网络的性能。

通过在源地址附近拒绝不受欢迎或限制访问的流量，可以阻止这些流量在网络上传播并消耗宝贵的资源。

最常用的流量过滤设备有：
集成路由器内置的防火墙
专用的安全设备
服务器
有些设备只过滤从内部网络发出的流量。

不过，大多数先进的安全设备都能识别和过滤外部发起的已知类型的攻击。

企业路由器能够识别有害流量并阻止它访问和破坏网络。

几乎所有的路由器都可根据数据包的源IP地址和目的IP地址来过滤流量。

它们还可根据特定的应用和协议（例如IP、TCP、HTTP、FTP 和Telnet）过滤流量。

访问控制列表
最常见的流量过滤方法之一是使用访问控制列表(ACL)。

ACL 可用于管理和过滤进出网络的流量。

ACL 的长短不一，短到只有一条语句，长到数百条语句，前者只能允许或拒绝来自某个源地址的流量，后者则可允许或拒绝来自多个源地址的数据包。

ACL 的主要用途是识别数据包的类型，以便决定是接受还是拒绝该数据包。

ACL 识别流量有多个用途，例如：
指定用于执行NA T 的内部主机
识别或分类流量以便实现QoS 和队列等高级功能
限制路由更新的内容
控制调试输出
控制虚拟终端对路由器的访问
使用ACL 可能会带来一些问题：
路由器对所有数据包进行检查会带来额外的开销，从而导致实际转发数据包的时间减少
设计欠佳的ACL 会给路由器带来更加沉重的负载，甚至可能导致网络中断。

位置不当的ACL 可能会阻止本应允许的流量却允许本应阻止的流量。

ACL的类型与用法
在创建访问控制列表时，网络管理员将面临几种选择。

需要哪种类型的ACL 取决于设计要求的复杂程度。

ACL 有三种类型：
标准ACL
标准ACL 是其中最简单的一类。

创建标准的IP ACL 时，ACL 根据数据包的源IP地址过滤数据包。

标准ACL 对流量的允许或拒绝是基于整个协议（例如IP）的。

因此，如果某台主机设备被标准ACL 拒绝访问，则该主机提供的所有服务也会被拒绝访问。

标准ACL 可用来允许来自某个特定用户或LAN 的所有服务访问路由器，同时拒绝其它IP地址访问路由器。

标准ACL 通过为其分配的编号进行标识。

对于允许或拒绝IP 流量的访问列表，标识号的范围是 1 到99 和1300 到1999。

扩展ACL
扩展ACL 不仅可以根据源IP 地址过滤，也可根据目的IP地址、协议和端口号过滤流量。

扩展ACL 的应用比标准ACL 更广泛，因为它们更具体，能够提供更精确的控制。

扩展ACL 的编号范围是100 到199 和2000 到2699。

命名ACL
命名ACL (NACL) 是通过描述性名称（而非数字）引用的访问列表，命名ACL 既可以是标准格式，也可以是扩展格式。

配置命名ACL 时，路由器的IOS 会使用NACL 子命令模式。

访问控制列表由一条或多条语句组成。

每条语句根据指定的参数允许或拒绝流量。

ACL 会将流量与列表中的每条语句逐一进行比较，直至找到匹配项或比较完所有语句为止。

ACL 的最后一条语句都是隐式拒绝语句。

每个ACL 的末尾都会自动插入隐含的deny 语句，尽管实际上ACL 中并不显示该语句。

隐含的deny 语句会阻止所有流量，以防不受欢迎的流量意外进入网络。

在创建访问控制列表之后，必须将其应用到某个接口才可开始生效。

ACL 控制的对象是进出接口的流量。

如果数据包与permit 语句匹配，则该数据包可以进出路由器。

如果数据包
与deny 语句匹配，则将停止传输。

如果ACL 中没有任何permit 语句，则会阻止所有流量。

这是因为每个ACL 的末尾都有一条隐含的deny 语句。

也正因此，ACL 会拒绝所有未明确允许的流量。

管理员对路由器接口应用入站或出站ACL。

所谓的入站或出站，总是相对路由器来说的。

进入路由器接口的流量称为入站流量，流出接口的则称为出站流量。

数据包到达接口时，路由器会检查以下参数：
是否有针对该接口的ACL？
该ACL 控制的是入站流量还是出站流量？
此流量是否符合允许或拒绝的条件？
应用到接口出站方向的ACL 不会影响该接口的入站流量。

路由器的每个接口的每个协议在每个方向（入站和出站）上都可设置一个ACL。

对于IP 协议，一个接口可以同时有一个入站ACL 和一个出站ACL。

对接口应用ACL 会加大流量的延迟。

一条冗长的ACL 便会大大影响路由器的性能。

使用通配符掩码
ACL通配符掩码的用途和结构
简单的ACL 仅指定一个要允许或拒绝的地址。

要阻止多个地址或某个范围的地址，需要使用多条语句或使用通配符掩码。

带有通配符掩码的IP网络地址大大提高了灵活性。

利用通配符，只需一条语句便可阻止某个范围的地址乃至整个网络。

通配符掩码使用0 表示IP地址中必须完全匹配的部分，用1 表示IP地址中不必与指定数字匹配的部分。

通配符掩码0.0.0.0 要求IP 地址的所有32 个比特位均应完全匹配。

此掩码相当于使用host 参数。

ACL 使用的通配符掩码与OSPF 路由协议中的通配符掩码虽然功能相似。

但其用途却并不相同。

在ACL 语句中，通配符掩码指定要允许或拒绝的主机或地址范围。

在创建ACL 语句时，IP 地址和通配符掩码将作为参照字段。

进出接口的所有数据包都要与ACL 的每条语句进行比较以确定是否匹配。

通配符掩码确定来访IP地址的多少比特位应与参照地址匹配。

举个例子，以下语句允许来自192.168.1.0 网络的所有主机并阻止其它所有主机：
access-list 1 permit 192.168.1.0 0.0.0.255
该通配符掩码指定只需前面三组二进制八位数匹配。

因此，如果传入数据包的前24 个比特位与参照字段的前24 个比特位相同，则允许传输该数据。

凡是源IP地址介于192.168.1.1 到192.168.1.255 之间的数据包都符合本例中的参照地址及掩码组合条件。

所有其它数据包均被ACL 隐含的deny any 语句拒绝。

分析通配符掩码的作用
在创建ACL 时，可以使用两个特殊参数代替通配符掩码，这两个参数分别是：host 和any。

host 参数
要过滤某个特定的主机，请在IP 地址后面使用通配符掩码0.0.0.0 或者在IP地址前面使用host 参数。

R1(config)#access-list 9 deny 192.168.15.99 0.0.0.0
相当于：
R1(config)#access-list 9 deny host 192.168.15.99
any 参数
要过滤所有主机，可将参数的所有位都设为1，即将通配符掩码配置为255.255.255.255。

使用通配符掩码255.255.255.255 时，所有比特位均视为匹配，因此，其IP地址通常表示为0.0.0.0。

另一种过滤所有主机的方法是使用any 参数。

R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255
相当于：
R1(config)#access-list 9 permit any
请看下例，该示例拒绝指定的主机并允许所有其它主机：
R1(config)#access-list 9 deny host 192.168.15.99
R1(config)#access-list 9 permit any
permit any 命令允许ACL 中未明确拒绝的所有流量。

配置该语句后，所有数据包都不会与ACL 末尾隐含的deny any 语句进行比较。

在使用分层IP编址方案的企业网络中，经常有必要过滤子网流量。

以192.168.77.0 网络为例，如果用 3 个比特位表示其子网，则子网掩码为255.255.255.224。

从掩码255.255.255.255 中减去上述子网掩码可得通配符掩码为0.0.0.31。

要允许192.168.77.32 子网上的主机，可使用以下ACL 语句：
access-list 44 permit 192.168.77.32 0.0.0.31
每个数据包的前27 个比特位必须与参照地址的前27 个比特位完全匹配。

因此，该语句允许的整个地址范围是192.168.77.33 到192.168.77.63，而这正是192.168.77.32 子网上的所有地址范围。

通过在ACL 语句中准确地使用通配符掩码可以精确地控制流量。

对初学者来说，过滤不同子网的流量算是最难的概念。

以192.168.77.0 网络为例，如果其子网掩码为255.255.255.192（或简写为/26），则该网络包含以下四个子网：
192.168.77.0/26
192.168.77.64/26
192.168.77.128/26
192.168.77.192/26
要创建过滤上述所有子网的ACL，可从掩码255.255.255.255 中减去子网掩码255.255.255.192，即得通配符掩码为0.0.0.63。

要允许前两个子网的流量，可使用两条ACL 语句：
access-list 55 permit 192.168.77.0 0.0.0.63
access-list 55 permit 192.168.77.64 0.0.0.63
前两个网络也可合并为192.168.77.0/25。

从掩码255.255.255.255 中减去合并后的子网掩码255.255.255.128，即得通配符掩码为0.0.0.127。

使用此掩码可将上述两个子网合并到一条ACL 语句中，而不必再使用两条语句。

access-list 5 permit 192.168.77.0 0.0.0.127
配置访问控制列表
标准和扩展ACL的放置
设计正确的访问控制列表对网络的性能和可用性有积极的影响。

在规划访问控制列表的设计和位置时应尽量扩大这种效果。

规划时的步骤如下：
1. 确定流量过滤需求
2. 确定哪种类型的ACL 最能满足要求
3. 确定要将ACL 应用到哪个路由器、哪个接口上
4. 确定要过滤哪个方向的流量
步骤1：确定流量过滤需求
从企业各个部门的利益主体处收集流量过滤需求。

这些需求因企业而异，取决于客户的要求、流量类型、流量负载以及所关注的安全问题。

步骤2：决定适合要求的ACL 类型
是采用标准ACL 还是采用扩展ACL，这取决于实际的过滤要求。

ACL 类型的选择会影响ACL 的灵活性以及路由器的性能和网络的链路带宽。

标准ACL 的编写和应用很简单。

但标准ACL 只能根据源地址过滤流量，不能根据流量的类型或目的地址过滤流量。

在多网络环境中，如果标准ACL 离源地址太近，则可能会意外
地阻止本应允许的流量。

因此，务必将标准ACL 尽量靠近目的地址。

如果过滤要求非常复杂，则应使用扩展ACL。

与标准ACL 相比，扩展ACL 通常能够提供更强大的控制功能。

扩展ACL 可以根据源地址和目的地址过滤流量。

如有必要，它们还可根据网络层协议、传输层协议和端口号过滤。

借助于更精确的过滤功能，网络管理员可以专门针对某个安全计划编写满足其特殊要求的ACL。

通过查找源地址和目的地址，ACL 会在数据包离开源路由器之前就阻止它流向指定的目的网络。

在数据包通过网络传输之前便对其进行过滤有助于节约带宽。

步骤3：确定要应用ACL 的路由器和接口
应将ACL 部署在接入层或分布层的路由器上。

网络管理员必须能够控制这些路由器并实施安全策略。

如果网络管理员不能访问路由器，则无法在该路由器上配置ACL。

接口的选择取决于过滤要求、ACL 类型和指定路由器的位置。

最好是在流量进入低带宽串行链路之前便予以过滤。

在选择路由器之后，接口的选择通常也就豁然明朗。

步骤4：确定要过滤的流量方向
在确定要对哪个方向的流量应用ACL 时，应从路由器的角度来看流量流。

入站流量是指从外部进入路由器接口的流量。

路由器会在路由表中查询目的网络之前先将传入数据包与ACL 进行比较。

此时丢弃数据包可以节约路由查询的开销。

因此，对路由器来说，入站访问控制列表的效率比出站访问列表更高。

出站流量系指路由器内部通过某个接口离开路由器的流量。

对于出站数据包，路由器已经完
成路由表查询并且已将数据包转发到正确的接口中。

因此，只需在数据包离开路由器之前将其与ACL 进行比较。

基本的ACL配置过程
在收集要求之后，规划访问控制列表，确定ACL 的位置并配置ACL。

每个ACL 都需要有一个唯一的标识符。

该标识符可以是一个数字，也可以是一个描述性名称。

在用数字标识的访问控制列表中，数字标识所建ACL 的类型：
标准IP ACL 的数字范围是 1 到99 和1300 到1999。

扩展IP ACL 的数字范围是100 到199 和2000 到2699。

也可以创建AppleTalk 和IPX 的ACL。

任何路由器接口都存在一个限制：每个方向每个协议只有一个ACL。

如果路由器只运行IP 协议，则每个接口最多可以处理两个ACL：一个入站ACL 和一个出站ACL。

由于每个ACL 都会对通过接口传输的每个数据包进行比较，因此ACL 会增加延时。

拒绝数据包之后，IP 访问列表会向发送方发送ICMP 主机无法访问的消息并丢弃该数据包。

出站流量过滤不会影响从本地路由器发出的流量。

所有访问列表的末尾都有一个隐含的deny any 语句（不显示在列表中）。

可以在文本编辑器中创建ACL，以便于编辑。

您可以将ACL 语句复制并粘贴到路由器中。

访问控制列表的配置分两步：创建和应用。

ACL 的创建
进入全局配置模式。

使用access-list 命令，输入访问控制列表语句。

以相同的ACL 编号输入所有语句直至访问控制列表完成为止。

标准ACL 语句的语法如下：
access-list [access-list-number] [deny|permit] [source address] [source-wildcard][log]
既然每个数据包都需要与每条ACL 语句进行比较直至找到匹配项，该语句在ACL 中的顺序自然会影响ACL 引起的延时。

因此，应当合理安排语句的顺序，以使ACL 中较常见的条件位于较不常见的条件之前。

例如，如果某个语句所查询的对象流量最高，则该语句应置于ACL 的开头。

但别忘了，一旦找到某个匹配项，该数据包将不会再与ACL 中的任何其它语句进行比较。

这意味着如果有一行语句允许某个数据包，而该ACL 中该语句的后面有一行拒绝此数据包，则最终会允许传输此数据包。

因此，ACL 的规划应确保较具体的要求排在较笼统的要求之前。

换而言之，拒绝某个网络的指定主机的语句应放在允许整个网络的其它主机的语句之前。

使用remark 命令记录ACL 中每段或每条语句的功能：
access-list [list number] remark [text]
要删除ACL，请使用以下命令：
no access-list [list number]
不能从标准ACL 或扩展ACL 中单独删除某一行，而需要将整个ACL 删除或者整个替换。

配置采用数字标号的标准ACL
ACL 在应用（或分配）到接口之前不会过滤流量。

ACL 的应用
将ACL 指派到一个或多个接口，指定是入站流量还是出站流量。

尽可能靠近目的地址应用标准ACL。

R2(config-if)#ip access-group access list number [in | out]
下列命令将access-list 5 应用于R2 Fa0/0 接口以过滤入站流量：
R2(config)#interface fastethernet 0/0
R2(config-if)#ip access-group 5 in
ACL 应用到接口上的默认方向是出站。

尽管出站是默认设置，但明确指定方向仍然很重要，这样可以避免引起混淆并确保流量过滤的方向正确。

要从接口中删除ACL 而不破坏ACL，请使用no ip access-group interface 命令。

有几条ACL 命令可以评估语句的语法、顺序以及语句在接口上的位置是否正确。

show ip interface
显示IP接口信息并显示任何已分配的ACL。

show access-lists [access list number]
显示路由器上所有ACL 的内容。

还可显示自应用ACL 之后每个permit 或deny 语句的匹配项数。

要查看特定的列表，可添加ACL 名称或编号作为此命令的选项。

show running-config
显示路由器上所有已配置的ACL，即使这些ACL 当前并没有应用到接口上。

如果使用数字编号的ACL，则在最初创建ACL 之后输入的语句将添加到ACL 的末尾。

这个顺序可能会导致不希望的结果。

要解决这个问题，请删除原始的ACL 并重新创建ACL。

通常建议在文本编辑器中创建ACL。

这样可以方便地编辑ACL 并将其粘贴到路由器配置中。

但请切记：在复制并粘贴ACL 时，务必先删除当前已应用的ACL，否则所有语句都将粘贴到ACL 的末尾。

配置命名ACL
Cisco IOS 11.2 版及更高版本可以创建命名ACL (NACL)。

在NACL 中，描述性名称代替了标准ACL 和扩展ACL 中所需的数字范围。

命名ACL 具备标准ACL 和扩展ACL 的全部功能和优势；只是其创建语法不同。

为ACL 分配的名称是唯一的。

在名称中使用大写字母可以方便在路由器命令输出和故障排除中识别。

创建命名ACL 的语法如下：
ip access-list {standard | extended} name
在调用此命令后，路由器会切换到NACL 配置子命令模式。

在最初的命名命令之后，一次性输入所有的permit 和deny 语句。

之后，NACL 使用以permit 或deny 语句开头的标准或扩展ACL 命令语法。

将命名ACL 应用到接口的方法与应用标准ACL 或扩展ACL 的方法相同。

可以采用与标准ACL 相同的命令帮助评估命名ACL 的语法、语句顺序及语句在接口上的位置是否正确。

如果使用早期版本的IOS 编辑ACL，则必须：
将ACL 复制到文本编辑器中。

从路由器中删除ACL。

重新创建并应用编辑后的版本。

问题在于：此过程会让所有流量在编辑时顺利通过接口，因而让网络向潜在的安全风险敞开怀抱。

利用最新版本的IOS，可以使用ip access-list 命令编辑数字编号式ACL 和命名ACL。

ACL 显示的行号为10、20、30，依此类推。

要查看行号，可使用以下命令：
show access-lists
要编辑现有的行，请执行以下操作：
使用no line number 命令删除该行
使用其行号重新添加该行。

要将新行插入到已有的行20 和行30 之间，请执行以下操作：
使用new ACL 语句，以介于两个现有行号之间的数字（例如25）开头
调用show access-lists 语句显示重新排序并按10 递增重新编号之后的行。

配置路由器VTY访问
网络管理员经常需要配置位于远程位置的路由器。

要登录到远程路由器，网络管理员需要使用Telnet 或安全外壳(SSH) 之类的客户端。

Telnet 会以纯文本格式传输用户名和口令，因此不是很安全。

SSH 则以加密格式传输用户名和密码信息。

当网络管理员使用Telnet 连接到远程路由器时，路由器会启动入站会话。

Telnet 和SSH 都是带内网络管理工具，需要IP协议支持和到路由器的网络连接。

限制VTY（虚拟网络电传终端）访问的目的是提高网络的安全性。

外部入侵者可能试图访问路由器。

若未将访问控制列表置于相应的路由器虚拟端口上，则任何知道Telnet 用户名和口令的用户都可以访问路由器。

如果ACL 应用到路由器中仅允许指定IP 地址访问的VTY端口，则任何试图通过telnet 从ACL 中未被允许的IP地址访问路由器的用户都将被拒绝访问。

但请切记：如果网络管理员必须从使用不同IP 地址的不同位置连接到路由器，那么上述做法会带来问题。

VTY访问控制列表的创建过程与接口的ACL 创建过程相同。

但是，将ACL 应用到VTY 线路所用的命令却并不相同。

此时不是使用ip access-group 命令，而是使用access-class 命令。

在对VTY线路配置访问列表时，请遵循以下原则：
对VTY线路要使用数字编号的ACL（而非命名ACL）。

对所有VTY线路应用相同的限制，因为无法控制用户会连接哪条线路。

VTY会话在Telnet 客户端软件和目的路由器之间建立。

网络管理员通过目的路由器建立会话，输入用户名和口令并更改配置。

配置ACL以便提供应用程序和端口过滤功能
扩展ACL 可根据源IP地址和目的IP地址过滤流量。

在根据更具体的数据包条件过滤流量时，扩展ACL 通常更令人称心如意。

OSI 第 3 层网络协议、第 4 层传输协议和应用端口都提供这一功能。

还可根据IP、TCP、UDP 和ICMP 等协议过滤流量。

扩展ACL 还会根据目的端口号进行过滤。

这些端口号描述数据包所需的应用程序或服务。

每个应用都分配有一个注册端口号。

要提取与ACL 进行比较所需的所有IP 地址和端口号信息，路由器必须分析以太网的数据帧。

除了输入端口号以外，在语句匹配之前还需指定条件。

最常用的缩写词有：
eq - 等于
gt - 大于
lt - 小于
请看下例：
R1(config)#access-list 122 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.89 eq 80
此ACL 语句允许源地址为192.168.1.0、请求使用端口80 进行HTTP 访问的流量。

如果用户试图通过telnet 或FTP访问主机192.168.2.89，则由于每个访问列表的末尾都有隐含的deny 语句，因此会被拒绝访问。

根据特定应用程序进行过滤需要了解该应用程序的端口号。

应用程序都有相关联的端口号和名称。

ACL 可以引用端口80，也可以引用HTTP。

如果既不知道应用程序的端口号，也不知道其名称，则可尝试执行以下步骤来查找此信息：
1. 在Web 上研究某个IP编址注册站点，例如/
2. 参阅软件文档。

3. 参阅应用程序供应商的网站。

4. 使用数据包嗅探器并从应用程序中收集数据。

5. 在access-list 命令中使用? 选项。

该列表包括TCP 协议的已知端口名称和端口号。

某些应用程序会使用多个端口号。

例如，FTP 数据传输使用端口20，但支持FTP的会话控制则使用端口21。

要拒绝所有FTP 流量，必须同时拒绝这两个端口。

为了支持多个端口号，Cisco IOS ACL 可以根据端口范围进行过滤。

可以在ACL 语句中使用gt、lt 或range 运算符完成上述操作。

例如，可以使用以下命令将两条FTP ACL 语句合二为一：
R1(config)#access-list 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21
配置ACL以便支持已建立的流量
创建ACL 的目的常常是希望阻止外部源访问内部网络。

但是，在保护内部网的同时，它还应允许内部用户访问所有资源。

在内部用户访问外部资源时，所请求的资源必须通过ACL。

例如，内部用户可能希望连接到外部Web 服务器，因此ACL 必须允许所请求的html 数据包。

由于ACL 会使用隐式拒绝，因此必须通过ACL 明确允许访问该资源。

如果为所有要请求的资源都创建一条permit 语句，那会导致ACL 非常冗长并留下安全漏洞。

要解决这个问题，可以请求创建一条语句，允许内部用户建立TCP 会话访问外部资源。

完成TCP三次握手并建立连接之后，将允许两个设备之间发送的所有数据包。

要实现上述功能，请使用关键字：established。

access-list 101 permit tcp any any established
使用此语句，所有外部tcp 数据包都将被允许，只要它们是对内部请求的响应。

允许对已建立的通信作出传入响应是状态包侦测(SPI) 的一种形式。

除了已建立的流量之外，内部用户可能还需要ping 外部设备。

但并不希望允许外部用户ping 或跟踪内部网络中的设备。

这种情况下，可以使用关键字echo-reply 和unreachable 编写一条语句来允许ping 响应和无法送达的消息。

但除非在另一条语句中明确允许，否则外部发起的ping 将被拒绝。

NA T和PA T对ACL位置的影响
实施NA T 和PA T 可能会给ACL 的规划带来问题。

网络管理员在创建ACL 并将ACL 应用到执行NA T 的接口上时需要考虑地址转换问题。

在同时使用NA T 和ACL 时，必须了解它们在路由器上会如何相互影响。

1. 如果数据包通过应用了NA T 的外部接口入站，则路由器将：
应用入站ACL
将目的地址从外部地址转换为内部地址或从全局地址转换为本地地址
路由数据包
2. 如果数据包通过NA T 外部接口出站，则路由器将：
将源地址从内部地址转换为外部地址或从本地地址转换为全局地址
应用出站ACL
规划ACL 时应使其根据与NA T 的关系过滤私有或公有地址。

如果流量是应用了NA T 的外部接口的入站或出站流量，则要过滤的地址是公有地址。