用ACL構建防火牆體系

[psac]

_隨著Internet/Intranet的飛速發展，全國各企事業公司都在建設局域網並連入互聯網，但訊息網路安全一直是我們關心的問題，所以本文提出了在路由器下通過訪問控制列表(ACL)來構建電腦網路的防火牆體系結構。

一個組織全局的安全策略應根據安全分析和業務需求分析來決定，因為網路安全與防火牆關係緊密，所以我們要正確設置網路的安全策略，使防火牆發揮最大的作用。

目錄

訪問控制列表的作用
IP訪問控制列表的分類
通配符掩碼
實現方法
檢驗
總結

網路防火牆安全策略是指要明確定義哪些資料包允許或禁止通過並使用網路服務，以及這些服務的使用規則。


而且，網路防火牆安全策略中的每一條規定都應該在實際應用時得到實現。


下面我們就路由器下通過訪問控制列表實現安全策略，以達到防火牆的功能，並對其實現及應用進行詳細的敘述。

訪問控制列表的作用

訪問控制列表是應用在路由器連接頭的命令列表，這些命令列表用來告訴路由器哪些資料包可以接收、哪些資料包需要拒絕。


至於資料包是被接收還是被拒絕，可以由類似於源地址、目的地址、連接阜號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當作一種網路控制的有力工具，用來過濾流入和流出路由器連接頭的資料包。

建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。



在路由器的連接頭上配置訪問控制列表後，可以對入站連接頭、出站連接頭及通過路由器中繼的資料包進行安全檢測。

IP訪問控制列表的分類

標準IP訪問控制列表

當我們要想阻止來自某一網路的所有通信流量，或者充許來自某一特定網路的所有通信流量，或者想要拒絕某一協議簇的所有通信流量時，可以使用標準訪問控制列表來實現這一目標。標準訪問控制列表檢查路由的資料包的源地址，從而允許或拒絕基於網路、子網或主機的IP位址的所有通信流量通過路由器的出口。

擴展IP訪問控制列表

擴展訪問控制列表既檢查資料包的源地址，也檢查資料包的目的地址，還檢查資料包的特定協議類型、連接阜號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。

命名訪問控制列表

在標準與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數位組合的字元串來代替前面所使用的數位。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。

在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，並且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。

通配符掩碼

通配符掩碼是一個32比特位的數位字元串，它被用點號分成4個8位組，每組包含8比特位。在通配符掩碼位中，0表示「檢查相應的位」，1表示「不檢查相應的位」。通配符掩碼與IP位址是成對出現的，通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中，數位1和0用來決定是網路、子網，還是相應的主機的IP位址。如表示172.16.0.0這個網段，使用通配符掩碼應為0.0.255.255。

在通配符掩碼中，可以用255.255.255.255表示所有IP位址，因為全為1說明所有32位都不檢查相應的位，這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配，這樣只表示一個IP位址，可以用host表示。所以在訪問控制列表中，可以選擇其中一種表示方法來說明網路、子網或主機。

實現方法

首先在全局配置模式下定義訪問列表，然後將其應用到連接頭中，使通過該連接頭的資料包需要進行相應的匹配，然後決定被通過還是拒絕。並且訪問列表語句按順序、邏輯地處理，它們在列表中自上向下開始匹配資料包。如果一個資料包頭與訪問權限表的某一語句不匹配，則繼續檢測列表中的下一個語句。在執行到訪問列表的最後，還沒有與其相匹配的語句，資料包將被隱含的「拒絕」語句所拒絕。

標準IP訪問控制列表

在實現過程中應給每一條訪問控制列表加上相應的編號。標準IP訪問控制列表的編號為1至99，作用是阻止某一網路的所有通信流量，或允許某一網路的所有通信流量。語法為：

Router(config)#access-list access-list-number(1~99)
{deny|permit} source [source-wildcard]


如果沒有寫通配符掩碼，則預設值值會根據源地址自動進行匹配。下面舉例來說明：要阻止源主機為

192.168.0.45的一台主機通過E0，而允許其他的通訊流量通過E0連接阜。
Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0
或Router(config)#access-list 1 deny host 192.168.0.45
或Router(config)#access-list 1 deny 192.168.0.45
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 1 in


首先我們在全局配置模式下定義一條拒絕192.168.0.45主機通過的語句，通配符掩碼可以使用0.0.0.0或host，或使用預設值值來表示一台主機，然後將其訪問列表應用到連接頭中。如果現在又修改了電腦的IP位址，那麼這條訪問控制列表將對您不起作用。

擴展IP訪問控制列表

擴展IP訪問控制列表的編號為100至199，並且功能更加靈活。例如，要阻止192.168.0.45主機Telnet流量，而允許Ping流量。

Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 101 in


因為Ping命令使用網路層的ICMP協議，所以讓ICMP協議通過。而Telnet使用連接阜23，所以將連接阜號為23的資料包拒絕了，最終應用到某一連接頭，這樣就可以達到目的。

命名訪問控制列表

對於某一給定的協議，在同一路由器上有超過99條的標準ACL，或有超過100條的擴展ACL。想要通過一個字母數位串組成的名字來直觀地表示特定的ACL時，並且路由器的IOS版本在11.2及以上時，可以使用命名訪問控制列表，也就是用某些字元串來取代標準與擴展ACL的訪問列表號。命名訪問控制列表的語法格式為：

Router(config)#ip access-list {standard|extended} name


在ACL配置模式下，通過指定一個或多個允許或拒絕條件，來決定一個資料包是允許通過還是被丟棄。語法格式如下：

Router(config{std-|ext-}nacl)#{permit|deny} {source [source-wildcad]|any}


下面是一個配置實例：

ip access-list extended nyist
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny tcp any any
deny udp 172.16.0.0 0.0.255.255 any lt 1024
interface Ethernet 0
ip access-group nyist in


基於時間訪問列表的應用

隨著網路的發展和用戶要求的變化，從IOS 12.0開始，思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它，可以根據一天中的不同時間，或者根據一星期中的不同日期，或二者相結合來控制網路資料包的轉發。


這種基於時間的訪問列表，就是在原來的標準訪問列表和擴展訪問列表中，加入有效的時間範圍來更合理有效地控制網路。首先定義一個時間範圍，然後在原來的各種訪問列表的基礎上應用它。

基於時間訪問列表的設計中，用time-range 命令來指定時間範圍的名稱，然後用absolute命令，或者一個或多個periodic命令來具體定義時間範圍。IOS命令格式為：

time-range time-range-name absolute
[start time date] [end time date]
periodic days-of-the week hh:mm to [days-of-the week] hh:mm


下面分別來介紹一下每個命令和參數的詳細情況：

time-range 用來定義時間範圍的命令。

time-range-name 時間範圍名稱，用來標誌時間範圍，以便於在後面的訪問列表中引用。

absolute 該命令用來指定絕對時間範圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示，日期要按照日/月/年來表示。如果省略start及其後面的時間，則表示與之相聯繫的permit 或deny語句立即生效，並一直作用到end處的時間為止。如果省略end及其後面的時間，則表示與之相聯繫的permit 或deny語句在start處表示的時間開始生效，並且一直進行下去。

periodic 主要是以星期為參數來定義時間範圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是daily(每天)、weekday(週一至週五)，或者weekend(週末)。

下面我們來看一個實例：在一個網路中，路由器的以太網連接頭E0連接著202.102.240.0網路，還有一個串口S0連入Internet。



為了讓202.102.240.0網路內的公司員工在工作時間內不能進行WEB瀏覽，從2003年5月1日1時到2003年5月31日晚24時這一個月中，只有在週六早7時到週日晚10時才可以通過公司的網路訪問Internet。

我們通過基於時間的擴展訪問控制列表來實現這一功能：

Router# config t
Router(config)# interface Ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1
may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http


我們是在一個擴展訪問列表的基礎上，再加上時間控制就達到了目的。


因為是控制WEB訪問的協議，所以必須要用擴展列表，那麼編號需在100至199之間。我們定義了這個時間範圍的名稱是http，這樣，我們就在列表中的最後一句方便地引用了。

合理有效地利用基於時間的訪問控制列表，可以更有效、更安全、更方便地保護我們的內部網路，這樣您的網路才會更安全，網路管理人員也會更加輕鬆。

檢驗

在路由器中用show running-config命令檢查當前正在執行的配置檔案，用show ip access-list命令來檢視訪問控制列表，並在電腦的命令提示符下用Ping/Telnet命令進行測試。

總結

在網路安全體系中，最重要的安全要素—訪問控制的控制點在網路通信通道的出入口上。

內部網路通過路由器的廣域網連接頭與Internet相連，再通過此路由器的局域網連接頭接入內部網路，而正確地放置ACL訪問控制列表將起到防火牆的作用
。



了滿足與Internet間的訪問控制，以及滿足內部網路不同安全內容網路間的訪問控制要求，在路由器上配置防火牆，讓網路通信均通過它，以此控制網路通信及網路應用的訪問權限。

--------------------------------------------------------------------------------