IP擴展訪問控制列表的配置

2016-11-26 06:51:20

網(wǎng)絡(luò)安全和信息化 2016年10期

引言：本文討論利用IP擴展訪問控制列表來實現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制的配置，其過程采用Cisco設(shè)備來進行演示。包括擴展訪問控制列表的配置方法與配置命名的訪問控制列表。

本文討論利用IP擴展訪問控制列表來實現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制的配置方法（采用Cisco設(shè)備）。

擴展訪問控制列表配置方法

在全局模式下建立擴展訪問控制列表，配置如下：

Router(config)#access-list access-list-number{permit|deny}protocol source source-wildcard[operator port] destination destionation-wildcard[operator port]

以上中的“access-listnumber”對IP擴展訪問控制列表范圍是100-199和2000-2699.不同類型訪問控制列表列表號如圖1所示。

而“permit”或者“deny”關(guān)鍵字可以指定哪些匹配訪問控制列表語句的報文是允許通過接口或被拒絕通過。該選項所提供的功能與標(biāo)準(zhǔn)IP訪問控制列表相同。

圖1 列表類型和對應(yīng)的列表號

圖2 RGNOS支持協(xié)議列表

“portocol”即協(xié)議表項定義了需要被檢查的協(xié)議，例如 IP、TCP、UDP、ICMP等。協(xié)議選項是很重要的，因為在TCP/IP協(xié)議簇中的各種協(xié)議之間有密切關(guān)系。如IP數(shù)據(jù)包可用于TCP、UDP協(xié)議及各種路由協(xié)議的傳輸，如果指定IP協(xié)議，訪問控制列表將只檢查IP數(shù)據(jù)包進行匹配，而不再檢查IP數(shù)據(jù)包所承載的TCP、UDP等上層協(xié)議。如果根據(jù)特殊協(xié)議進行報文過濾，就要指定該協(xié)議。此外，應(yīng)將更具體的表項放在訪問控制列表靠前的位置。例如，如果允許IP地址的語句放在拒絕TCP地址的語句前，則后一個語句將不起作用。但如果將這兩條語句換位置，則允許改地址上其他協(xié)議的同時拒絕了該地址的TCP協(xié)議。RGNOS支持過濾的協(xié)議如圖2所示。

“source sourcewildcard”指源地址和通配符掩碼，源地址是主機或一組主機的點用十進制表示，必須與通配符掩碼配合使用，用來指定源地址比較操作時必須比較匹配的位數(shù)。通配符掩碼是一個32位二進制數(shù)，二進制“0”表示該位必須比較匹配，二進制“1”表示該位不需要比較匹配，可以忽略。例如通配符掩碼0.0.0.255，表示只比較IP地址中前24位，后8位IP地址忽略，通配符掩碼0.0.7.255表示只比較IP地址中前21位，后11位IP地址忽略，通配符掩碼0.0.255.255表示只比較IP地址中前16位，后16位IP地址忽略。有兩個特殊的通配符掩碼0.0.0.0和255.255.255.255，可以用關(guān)鍵字“host”和“any”表示。host表示一種精確的匹配，使用時放在IP地址前，如host 192.168.10.8的一臺主機。any表示任何IP地址，在進行比較操作時不對該IP地址進行比較。

這里的“operator”是指操作符，可以使用操作符“<、＞、=、≠”等，具體的操作符命令如圖3所示。

“port”指端口號，其范圍是0-65535，放在源IP地址后的端口號指源端口號；放在目的IP地址后的端口號指目的端口號。端口號0代表所有TCP端口或UDP端口。一些特殊的端口號可以直接用其對應(yīng)的協(xié)議名稱表示，如TCP端口號80可以用WWW表示，TCP端口號23可以用Telnet表示，TCP端口號21可以用FTP表示，UDP端口號53可以用Domain表示，UDP端口號520可用RIP表示。

目的地址和通配符掩碼的結(jié)構(gòu)與源地址和通配符掩碼的結(jié)構(gòu)相同，目的端口號的指定方法與源端口號的指定方法相同。