访问控制列表ACL,,访问控制列表,配置任务列表: 创建一个命名标准IP 访问列表(最后隐含默认是允许): 配置包过滤功能: (1)全局打开包过滤功能 (2)配置默认动作(default action) 将accessl-list 绑定到特定端口的特定方向;,ACL配置,ACL介绍 ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机Access-list,Access-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)每条rule包括了过滤信息及匹配此rule时应采取的动作Rule包含的信息可以包括源IP、目的IP、IP协议号、tcp端口等条件的有效组合根据不同的标准,access-list可以有如下分类: 根据过滤信息: ip access-list(三层以上信息) mac access-list(二层信息) mac-ip access-list(二层以上信息) 当前只支持ip access-list,其余两种将在以后提供。
根据配置的复杂程度: 标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息 根据命名方式: 数字(numbered)和命名(named) 对一条ACL的说明应当从这三个方面加以描述Access-group,当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)Access-list动作及全局默认动作,Access-list动作及默认动作分为两种:允许通过(permit)或拒绝通过(deny)具体有如下: 在一个access-list内,可以有多条规则(rule)对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配 全局默认动作只对端口入口方向的IP包有效对入口的非IP数据包以及出口的所有数据包,其默认转发动作均为允许通过(permit)。
只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作ACL配置任务序列,1. 配置access-list (1) 配置数字标准IP 访问列表 (2) 配置数字扩展IP 访问列表 (3) 配置命名标准IP 访问列表 a) 创建一个命名标准IP 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出访问表配置模式 (4) 配置命名扩展IP 访问列表 a) 创建一个命名扩展IP 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出访问表配置模式 (5) 配置数字标准MAC 访问列表 (6) 配置数字扩展MAC 访问列表 (7) 配置命名扩展MAC 访问列表 a) 创建一个命名扩展MAC 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出MAC 访问表配置模式 (8) 配置数字扩展MAC-IP 访问列表 (9) 配置命名扩展MAC-IP 访问列表 a) 创建一个命名扩展MAC-IP 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出MAC-IP 访问表配置模式,ACL配置任务序列,2. 配置包过滤功能 (1)全局打开包过滤功能 (2)配置默认动作(default action) 3. 配置时间范围功能 (1) 创建时间范围名称 (2) 配置周期性时段 (3) 配置绝对性时段 4. 将accessl-list 绑定到特定端口的特定方向 5. 清空指定接口的包过滤统计信息,配置数字标准IP访问列表,access-list {deny | permit} {{ } | any-source | {host-source }} no access-list ,配置数字扩展IP访问列表,配置命名标准IP访问列表,创建一个命名标准IP访问列表 ip access standard no ip access standard 指定多条permit或deny规则 [no] {deny | permit} {{ } | any-source | {host-source }} 退出命名标准IP访问列表配置模式 Exit,创建一个命名扩展IP访问列表,创建一个命名扩展IP访问列表 ip access extended no ip access extended 指定多条permit或deny 规则 见下页 退出命名扩展IP访问列表配置模式 Exit,指定多条permit或deny 规则,开启访问控制列表功能,firewall enable 命令:firewall { enable | disable} 功能:允许防火墙起作用或禁止防火墙起作用。
参数: enable 表示允许防火墙起作用; disable 表示禁止防火墙起作用 缺省情况:缺省为防火墙不起作用 命令模式:全局配置模式 使用指南:在允许和禁止防火墙时,都可以设置访问规则但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上使防火墙不起作用后将删除端口上绑定的所有ACL配置默认动作,firewall default permit 命令:firewall default {permit | deny} 功能:设置防火墙默认动作 参数: permit 表示允许数据包通过; deny 表示拒绝数据包通过 命令模式:全局配置模式 缺省情况:缺省动作为permit 使用指南:此命令只影响端口入口方向的IP 包,其余情况下数据包均可通过交换机,将accessl-list绑定到特定端口的特定方向,ip access-group {in|out } no ip access-group {in|out},访问控制列表,,,,vlan 2,,,,vlan 3,vlan 4,,禁止VLAN2的ICMP数据报通过,并过滤掉80、53端口,Switch,交换机基础配置,Vlan 2 Interface ethernet 0/0/1-5 Vlan 3 Interface ethernet 0/0/6-10 Vlan 4 Interface ethernet 0/0/11-15 Interface vlan 2 Ip address 192.168.1.1 255.255.255.0 Interface vlan 3 Ip address 192.168.2.1 255.255.255.0 Interface vlan 4 Ip address 192.168.3.1 255.255.255.0,访问控制列表配置,建立访问控制列表: Switch(Config)# ip access-list extended test1 deny icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 53 配置包过滤功能 Switch(Config)#firewall enable 注:此命令允许防火墙起作用。
在允许和禁止防火墙时,都可以设置访问规则,但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上 Switch(Config)#firewall default permit 注:此命令设置防火墙默认动作,缺省动作为permit 绑定ACL到端口 Switch(Config)#interface ethernet 0/0/1-5 Switch(Config-Ethernet0/0/1)#ip access-group test1 in,10.0.0.0/24,访问控制列表,配置需求:交换机的1端口连接10.0.0.0/24网段,管理员不希望用户使用ftp,也不允许外网ping此网段的任何一台主机ftp,,ping,访问控制列表,创建相应的ACL Switch(Config)#access-list 110 deny tcp 10.0.0.0 255.255.255.0 any-destination d-port 21 Switch(config)#access-list 120 deny icmp any-source 10.0.0.0 0.0.0.255 配置包过滤功能 Switch(Config)#firewall enable 注:此命令允许防火墙起作用。
在允许和禁止防火墙时,都可以设置访问规则,但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上 Switch(Config)#firewall default permit 注:此命令设置防火墙默认动作,缺省动作为permit 绑定ACL到端口 Switch(Config)#interface ethernet 0/0/1 Switch(Config-Ethernet0/0/1)#ip access-group 110 in Switch(Config-Ethernet0/0/1)#ip access-group 120 out,使用ACL过滤特定病毒报文,冲击波、震荡波曾经给网络带来很沉重的打击,到目前为止,整个internet中还有这种病毒以及病毒的变种,他们无孔不入,伺机发作因此我们在配置网络设备的时候,采用ACL进行过滤,把这些病毒拒之门,保证网络的稳定运行 常用的端口号为: 冲击波及冲击波变种:关闭 TCP 端口 135、139、445 和 593,关闭 UDP 端口 69 (TFTP)、135、137 和 138,以及关闭用于远程命令外壳程序的 TCP 端口 4444。
TCP 135、139、445、4444 ,UDP 69 (TFTP)、135、137 和 138; 震荡波:TCP 5554 445 9996; SQL蠕虫病毒:TCP1433,UDP1434;,防病毒ACL实验拓扑,,方案一,创建防病毒访问控制列表 access-list 110 deny tcp any any d-port 445 access-list 110 deny tcp any any d-port 4444 access-list 110 deny tcp any any d-port 5554 access-list 110 deny tcp any any d-port 9996 access-list 110 deny tcp any any d-port 1433 access-list 110 deny tcp any any d-port 1434 开启ACL功能 firewall enable #/配置访问控制列表功能开启 firewall default permit #/默认动作为全部允许通过 绑。