路由器接口上的“防火墻”——訪問控制列表

路由器接口上的“防火墻”——訪問控制列表

眾所周知，無論在哪個系統上都有防火墻的存在，幫助計算機/服務器網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

而在路由器上同樣也有一種“防火墻”，被稱為——訪問控制列表。該列表應用于路由器接口，通過該列表來告訴路由哪些數據包需要過濾，哪些可以通過。下面我將詳細為大家進行講解。

ACL（access control list）：訪問控制列表

主要用于在路由、三層交換中建立包過濾防火墻。訪問控制列表基于TCP/IP協議中的三層（依靠IP地址）、四層（依靠端口與協議）進行過濾。同時還有一種專業的應用防火墻，基于七層進行過濾。

過濾的策略則是根據人為定義好的規則對數據包進行過濾，主要依靠 ：源地址、目的地址、源端口、目的端口，這四個元素。

主要分為以下幾個大類

標準型訪問控制列表

? 只能基于源IP 地址過濾

? 該種列表的訪問控制列表號為1~99

擴展訪問控制列表

? 基于源IP、目的IP、指定協議、端口、標志過濾數據

? 該種列表的訪問控制列表號為100~199

命名訪問控制列表——包含標準訪問和擴展訪問

? 該種列表允許在標準和擴展列表中使用“名稱代替表號”

標準IPX訪問

擴展IPX訪問

命名的IPX訪問

PS：本次博客將對前三個類型進行詳細的解釋。

ACL（訪問控制列表）的處理過程

對上面流程的具體解釋：

匹配規則： 自上而下、逐條匹配。最后一條默認隱含拒絕所有。

以上就是有關ACL（訪問控制列表）的理論相關，下面開始進行相關的配置命令的講解。

標準訪問控制列表配置命令

創建ACL

Router(config)#access-list access-list-number {permit | deny} source [source-wildcard]

access-list-number： 訪問控制列表表號

permit | deny：允許數據包通過 | 拒絕數據包通過

source [source-wildcard]：源IP + 子網掩碼反碼（any表示所有IP、host表示某個特定主機）

刪除ACL

Router(config)#no access-list access-list-number

將ACL應用于/取消應用接口

Router(config-if)#ip access-group access-list-number {in|out}   //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的應用

{ in | out }：表示ACL應用于限制方的數據流向在路由器的進口還是出口（通常放在里限制方近的一端 in口）

擴展訪問控制列表配置命令

創建ACL

Router(config)#access-list access-list-number {permit | deny} protocol { source source-wildcard destination destination-wildcard } [operator operan]

protocol：協議名稱（TCP、UDP、ICMP、IP......）

source source-wildcard：源IP + 子網掩碼反碼（any表示所有IP、host表示某個特定主機）

destination destination-wildcard：目標IP + 子網掩碼反碼

operator operan：端口號

刪除ACL

Router(config)#no access-list access-list-number

將ACL應用于/取消應用接口

Router(config-if)#ip access-group access-list-number {in|out}   //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的應用

命名訪問控制列表配置命令

創建ACL

Router(config)#ip access-list {standard|extended} access-list-name

配置標準命名ACL

Router(config-std-nacl)#[Sequence-Number]{permit|deny} source [source-wildcard]

配置擴展命名ACL

Router(config-std-nacl)#[Sequence-Number]{permit|deny} protocol {source source-wildcard destination destation-wildcard} [operator operan]

sequence-number：序列號

standard：標準命名ACL

extended：擴展命名ACL

刪除整組ACL

Router(config)#no ip access-list {standard|extended} access-list-name

刪除組中單一ACL語句

Router(config-std-nacl)#no Sequence-Number        //通過序列號刪除
Router(config-std-nacl)#no ACL語句                //通過整段ACL語句

將ACL應用于/取消應用接口

Router(config-if)#ip access-group access-list-number {in|out}   //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的應用

以上，就是全部的有關ACL的理論以及配置相關命令的詳解。未完待續。。。。。。