在通常的網絡治理中�����,我們都希望答應一些連接的訪問�����,而禁止另一些連接的訪問,但許多安全工具缺乏網絡治理所需的基本通信流量過濾的靈活性和特定的控制手段�����。三層交換機功能強大��,有多種治理網絡的手段��,它有內置的ACL(訪問控制列表)���,因此我們可利用ACL(訪問控制列表)控制Internet的通信流量����。以下是我們利用聯想的三層交換機3508GF來實現ACL功能的過程��。
利用標準ACL控制網絡訪問
當我們要想阻止來自某一網絡的所有通信流量�����,或者答應來自某一特定網絡的所有通信流量����,或者想要拒絕某一協議簇的所有通信流量時,可以使用標準訪問控制列表來實現這一目標����。標準訪問控制列表檢查數據包的源地址,從而答應或拒絕基于網絡�����、子網或主機ip地址的所有通信流量通過交換機的出口��。
標準ACL的配置語句為:
Switch#access-list access-list-number(1~99) {permitdeny}{anyAsource[source-wildcard-mask]}{anydestination[destination-mask]}
例1:答應192.168.3.0網絡上的主機進行訪問:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0網絡上的主機訪問:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:答應所有IP的訪問:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主機的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
上面的0.0.0.255和0.0.255.255等為32位的反掩碼���,0表示“檢查相應的位”�����,1表示“不檢查相應的位”�����。如表示33.0.0.0這個網段��,使用通配符掩碼應為0.255.255.255��。
利用擴展ACL控制網絡訪問
擴展訪問控制列表既檢查數據包的源地址,也檢查數據包的目的地址,還檢查數據包的特定協議類型�����、端口號等����。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址答應使用某些協議通信流量通過�����,而拒絕使用其它協議的流量通過���,可靈活多變的設計ACL的測試條件��。
擴展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) {permitdeny} PRotocol{anysource[source-mask]}{anydestination[destination-mask]}[port-number]
例1:拒絕交換機所連的子網192.168.3.0 ping通另一子網192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例2:阻止子網192.168.5.0 訪問Internet(www服務)而答應其它子網訪問:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
或寫為:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80
例3:答應從192.168.6.0通過交換機發送E-mail,而拒絕所有其它來源的通信:
Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
基于端口和VLAN的ACL訪問控制
標準訪問控制列表和擴展訪問控制列表的訪問控制規則都是基于交換機的����,假如僅對交換機的某一端口進行控制,則可把這個端口加入到上述規則中�����。
配置語句為:
Switch# acess-list port <port-id><groupid>
例:對交換機的端口4,拒絕來自192.168.3.0網段上的信息���,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到規則1中�。
基于VLAN的訪問控制列表是基于VLAN設置簡單的訪問規則����,也設置流量控制,來答應(permit)或拒絕(deny)交換機轉發一個VLAN的數據包��。
配置語句:
Switch#acess-list vlan <vlan-id> [denypermit]
例:拒絕轉發vlan2中的數據:
Switch# access-list vlan2 deny
另外�,我們也可通過顯示命令來檢查已建立的訪問控制列表,即
Switch# show access-list
例:
Switch# show access-list //顯示ACL列表;
ACL Status:Enable // ACL狀態 答應����;
Standard IP access list: //IP 訪問列表���;
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的網絡訪問����;
GroupId 2 permit any any Active //答應其它網絡訪問�。
若要取消已建立的訪問控制列表,可用如下命令格式:
Switch# no access-list access-list-number
例:取消訪問列表1:
Switch# no access-list 1
基于以上的ACL多種不同的設置方法�,我們實現了對網絡安全的一般控制方法���,使三層交換機作為網絡通信出入口的重要控制點���,發揮其應有的作用�����。而正確地配置ACL訪問控制列表實質將部分起到防火墻的作用�����,非凡對于來自內部網絡的攻擊防范上有著外部專用防火墻所無法實現的功能��,可大大提升局域網的安全性能�����。
新手入門
ACL是應用到交換機接口的指令列表����,這些指令列表用來告訴交換機哪些數據包可以接收��,哪些數據包要拒絕��。接收或拒絕的條件可以是源地址�����、目的地址�、端口號等指示條件來決定。它主要有三個方面的功能:
◆ 限制網絡流量��、提高網絡性能���。例如:ACL可以根據數據包的協議,指定這種類型的數據包的優先級�,同等情況下可與先被交換機處理。
◆ 提供網絡訪問的基本安全手段�����。例如���,ACL答應某一主機訪問您的資源����,而禁止另一主機訪問同樣的資源。
◆ 在交換機接口處�,決定那種類型的通信流量被轉發,那種通信類型的流量被阻塞���。例如�����,答應網絡的E-mail被通過,而阻止FTP通信�����。
建立訪問控制列表后�,可以限制網絡流量,提高網絡性能��,對通信流量起到控制的手段����,這也是對網絡訪問的基本安全手段。ACL的訪問規則主要用三種:
◆ 標準訪問控制列表��,可限制某些IP的訪問流量��。
◆ 擴展訪問控制列表�����,可控制某方面應用的訪問。
◆ 基于端口和VLAN的訪問控制列表,可對交換機的具體對應端口或整個VLAN進行訪問控制��。
