访问控制列表-课件（PPT演示稿）.ppt

Access Control List —访问控制列表?ACL ——访问控制列表?使用 ACL 的原因?创建 ACL ——顺序至关重要?使用 ACL ?ACL 是基于端口的,而且是有“方向”的? ACL 配置任务?为每一个 ACL 分配惟一的编号?使用通配符掩码位?标准访问控制列表?扩展访问控制列表?命名访问控制列表?放置 ACL ?限制虚拟终端访问?验证 ACL ?ACL ——访问控制列表?ACL 是一个连续的允许和拒绝语句的集合,关系到地址或上层协议?ACL 是应用在路由器的接口处的?这些列表告诉 router 哪些 packet 应该接收,哪些 packet 应该拒绝?ACL 的定义是基于每一种协议的( ),如果想控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的 ACL ?ACL 可以当作一种网络控制的有力工具来过滤流入、流出路由器接口的数据包. 使用 ACL 会消耗路由器的 CPU 资源?ACL 过滤依据??ACL ACL 检查数据包以及上层协议报头检查数据包以及上层协议报头?使用 ACL 的原因 A 限制网络流量,提高网络性能?ACL 可以限制符合某一条件的数据流入网络?比如有大量的外部的 ftp 流量流入内部网络占用带宽资源,你可以限制这一部分流量涌入,保护内部网络。 B 提供对通信流量的控制手段?通过配合使用 ACL ,甚至可以限制或简化路由更新的内容。 C 提供网络访问的基本安全手段。?你可以限制主机 a访问你的网络,主机 b不能访问你的网络,如果没有 ACL, 路由器是不会阻止任何信息通过的。 D 在路由器的接口处,决定哪种类型的通信流量被转发,哪种类型的通信流量被阻塞。?你可以允许止 ftp 的流量通过。拒绝不希望的访问连接,同时又要允许正常的访问。??创建创建 ACL ACL ————顺序至关重要顺序至关重要?ACL 中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时, router 按照各描述语句在ACL 中的顺序,根据描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句(从上到下,逐一检查,一条匹配,不再检查)。?当一个 ACL 被创建后,新的语句行被加在 ACL 的最后,无法删除列表中的单独一行,只能删除整个 ACL 列表。?用文本编辑器创建和修改 ACL ,用文件传输协议( TFTP )或超级终端的发送文本文件将其传入 router 。??按正确顺序创建按正确顺序创建 ACL ACL ?例如我想阻拦一台主机 访问任何网络,其它主机正常访问网络 ACL 如下 access-list 1 permit any (允许所有地址通过) access-list 1 deny host (禁止 通过) 的数据包到达 router 端口时, router 按照 ACL 的内容顺序对数据包进行检查。首先检查第一条 access-list 1 permit any ?这一条的含义是允许所有地址通过,显然 也属于“所有地址”的范畴?router 就允许来自 的数据包通过了,尽管下一个就是禁止 通过的条目,但是“一条匹配,不再检查”是ACL 的特点,所以这一个 ACL 起不到任何作用。?正确的 ACL 为 access-list 1 deny host access-list 1 permit any ??如果有一个数据包不符合如果有一个数据包不符合 ACL ACL 里的任何一个条目, 里的任何一个条目, ACL ACL 如何处理? 如何处理? ess-list 1 permit host access-list 1 permit host 这个 ACL 的内容为允许 发送的数据通过,现在有一个地址为 发送的信息要通过,不过 和列表中的任何一个地址都不匹配( ACL 没有条目指明对 的信息如何处理),在这种情况下 所发送的信息将被禁止通过,因为每一个 ACL 的最后一行都隐含着一个条目还是上面的 ACL access-list 1 permit host access-list 1 permit host (acce