TCPIP安全：ACL訪問控制列表

一、ACL概述1。1 Access Control List

（訪問控制列表）

重要級別：高！

1。2 ACL的作用

ACL是一種包過濾技術！

1。3 ACL應用場景

路由器上、防火牆上

路由器上就叫ACL！

防火牆上一般稱為策略！策略就是升級版的ACL，策略可以基於IP、埠、協議、應用層資料進行各種過濾

二、ACL怎麼過濾？

ACL是基於資料包中的IP地址、埠號來對資料包進行過濾！

三、ACL的分類3。1 標準ACL

標準——-Standard

表號：1-99或1300-1999

特點：只能基於源IP地址對包進行過濾！

3。2 擴充套件ACL

擴充套件——-Extended

表號：100-199或2000-2699

特點：可以基於源IP地址、目標IP地址、目標埠號、協議等對包進行過濾！

四、ACL的過濾原理4。1 飛哥配置ACL的小技巧

1）先判斷要控制的資料流源和目標，並畫出控制資料流的方向！進而判斷ACL可以寫在哪些路由器上！

2）開啟那臺路由器，開始編寫ACL過濾規則！

3）最後將ACL表應用到某個介面的某個方向才能生效！

4。2 ACL的原理

1）ACL表配置完畢後，必須應用到介面的in或out方向上，才能生效！

2）一個介面的一個方向上只能應用一張表。

3）在所有ACL表的最後都有一條隱藏的拒絕所有條目（大boss） ！

4）在匹配ACL時，是嚴格自上而下的匹配每一條的！ 匹配成功，則完成動作，沒匹配成功，則繼續匹配下一條，如全部不匹配，則直接丟棄拒絕透過！（一定要注意書寫的先後順序！！）

5）標準ACL因為只能基於源IP對包進行過濾，so建議寫在靠近目標端的地方！

6） 一個ACL編寫完成後，預設情況下，不能刪除某一條，也不能往中間插入新的條目，只能繼續往最後追加新的條目！

4。3 ACL講解原理過程圖

五、ACL命令5。1 標準ACL命令

conf t

access-list 表號 permit/deny 條件

表號：1-99

條件：源IP+反子網掩碼

反子網掩碼：0。0。0。255 0代表嚴格匹配 255代表不需要匹配！

例如：

access-list 1 deny 192。168。1。0 0。0。0。255 # 拒絕源IP為192。168。1。0網段的流量

access-list 1 permit 0。0。0。0 255。255。255。255 # 允許所有網段

access-list 1 deny 192。168。2。1 0。0。0。0 # 拒絕一臺主機/拒絕一個人

簡化：

0。0。0。0 255。255。255。255 == any

192。168。2。1 0。0。0。0 == host 192。168。2。1

簡化後：

access-list 1 deny 192。168。1。0 0。0。0。255 # 拒絕源IP為192。168。1。0網段的流量

access-list 1 permit any # 允許所有網段

access-list 1 deny host 192。168。2。1 # 拒絕一臺主機/拒絕一個人

5。2 擴充套件ACL命令

conf t

access-list 表號 permit/deny 協議 源IP 反掩碼 目標IP 反掩碼 ［eq 埠號］

表號：100-199

協議：TCP/UDP/IP/ICMP （當寫了埠號，只能寫tcp或udp）

註釋：ICMP協議就是ping命令所使用的協議，ICMP協議是網路探測協議，ping別人，就是生成ICMP探測包發給對方，然後對方給我回應一個ICMP探測包，代表ping通了！

［ ］：代表可選

以下案例：

conf taccess-list 101 permit tcp 192。168。1。0 0。0。0。255 192。168。6。1 0。0。0。0 eq 80access-list 101 deny ip 192。168。1。0 0。0。0。255 192。168。6。0 0。0。0。255access-list 101 permit ip any any

另外一個案例：

access-list 102 deny icmp 192。168。1。0 0。0。0。255 192。168。6。0 0。0。0。255

access-list 102 permit ip any any

再來一個案例：

acc 103 deny tcp 192。168。1。0 0。0。0。255 host 192。168。6。1 eq 23

acc 103 permit ip 192。168。1。0 0。0。0。255 host 192。168。6。1

acc 103 deny ip any any

再來一個案例：

acc 104 deny ip host 192。168。1。1 any

acc 104 permit ip any any

5。3 將ACL表應用到介面上

int f0/1

ip access-group 102 in/out

exit

5。4 檢視列出所有ACL表

show ip access-list

六、命名ACL6。1 用命名acl建立表的方法

conf t

ip access-list extended 表名

開始從permit/deny編輯每一條即可

編寫完exit退出即可！

6。2 命名ACL的好處

使用命名ACL格式可以任意刪除某一條，也可以插入某一條！

例如：

R1（config）#do sh ip acce

Extended IP access list 120

10 deny icmp any any

20 deny udp 192。168。1。0 0。0。0。255 any eq domain

30 permit ip any any

可以刪除某一條，如需要刪除第二條，做如下操作：

R1（config）#ip access-list extended 120

R1（config-ext-nacl）#no 20

R1（config-ext-nacl）#exit

結果如下：

R1（config）#do sh ip acce

Extended IP access list 120

10 deny icmp any any

30 permit ip any any

R1（config）#

註釋：如需要插入某一條，需要在條目前加數字即可！