網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)ACL詳解(1)

2019-11-04 22:39:29

字體：大中小

供稿：網(wǎng)友

　　技術(shù)從來(lái)都是一把雙刃劍，網(wǎng)絡(luò)應(yīng)用與互聯(lián)網(wǎng)的普及在大幅提高企業(yè)的生產(chǎn)經(jīng)營(yíng)效率的同時(shí)，也帶來(lái)了諸如數(shù)據(jù)的安全性，員工利用互聯(lián)網(wǎng)做與工作不相干事等負(fù)面影響。如何將一個(gè)網(wǎng)絡(luò)有效的治理起來(lái)，盡可能的降低網(wǎng)絡(luò)所帶來(lái)的負(fù)面影響就成了擺在網(wǎng)絡(luò)治理員面前的一個(gè)重要課題。
　　
　　A公司的某位可憐的網(wǎng)管目前就面臨了一堆這樣的問(wèn)題。A公司建設(shè)了一個(gè)企業(yè)網(wǎng)，并通過(guò)一臺(tái)路由器接入到互聯(lián)網(wǎng)。在網(wǎng)絡(luò)核心使用一臺(tái)基于IOS的多層交換機(jī)，所有的二層交換機(jī)也為可治理的基于IOS的交換機(jī)，在公司內(nèi)部使用了VLAN技術(shù)，按照功能的不同分為了6個(gè)VLAN。分別是網(wǎng)絡(luò)設(shè)備與網(wǎng)管(VLAN1，10.1.1.0/24)、內(nèi)部服務(wù)器(VLAN2)、Internet連接(VLAN3)、財(cái)務(wù)部（VLAN4）、市場(chǎng)部(VLAN5)、研發(fā)部門（VLAN6），出口路由器上Fa0/0接公司內(nèi)部網(wǎng)，通過(guò)s0/0連接到Internet。每個(gè)網(wǎng)段的三層設(shè)備（也就是客戶機(jī)上的缺省網(wǎng)關(guān)）地址都從高位向下分配，所有的其它節(jié)點(diǎn)地址均從低位向上分配。該網(wǎng)絡(luò)的拓樸如下圖所示：
　　網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)ACL詳解(1)

網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)ACL詳解(1)

　　
　　
　　自從網(wǎng)絡(luò)建成后麻煩就一直沒(méi)斷過(guò)，一會(huì)兒有人試圖登錄網(wǎng)絡(luò)設(shè)備要搗亂；一會(huì)兒領(lǐng)導(dǎo)又在抱怨說(shuō)互聯(lián)網(wǎng)開(kāi)通后，員工成天就知道泡網(wǎng)；一會(huì)兒財(cái)務(wù)的人又說(shuō)研發(fā)部門的員工看了不該看的數(shù)據(jù)。這些抱怨都找這位可憐的網(wǎng)管，搞得他頭都大了。那有什么辦法能夠解決這些問(wèn)題呢？答案就是使用網(wǎng)絡(luò)層的訪問(wèn)限制控制技術(shù)――訪問(wèn)控制列表（下文簡(jiǎn)稱ACL）。
　　
　　那么，什么是ACL呢？ACL是種什么樣的技術(shù)，它能做什么，又存在一些什么樣的局限性呢？
　　ACL的基本原理、功能與局限性
　　
　　網(wǎng)絡(luò)中常說(shuō)的ACL是Cisco IOS所提供的一種訪問(wèn)控制技術(shù)，初期僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類也開(kāi)始提供ACL的支持。只不過(guò)支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，不過(guò)名稱和配置方式都可能有細(xì)微的差別。本文所有的配置實(shí)例均基于Cisco IOS的ACL進(jìn)行編寫。
　　
　　基本原理：ACL使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。
　　
　　功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問(wèn)，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。
　　
　　配置ACL的基本原則：在實(shí)施ACL的過(guò)程中，應(yīng)當(dāng)遵循如下兩個(gè)基本原則：
　　
　　最小特權(quán)原則：只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限
　　
　　最靠近受控對(duì)象原則：所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制
　　
　　局限性：由于ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到end to end的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。
　　
　　ACL基本配置
　　
　　ACL配置技術(shù)詳解
　　
　　“說(shuō)那么多廢話做什么，趕緊開(kāi)始進(jìn)行配置吧。”，A公司的網(wǎng)管說(shuō)。呵呵，并不是我想說(shuō)那么多廢話，因?yàn)槔斫膺@些基礎(chǔ)的概念與簡(jiǎn)單的原理對(duì)后續(xù)的配置和排錯(cuò)都是相當(dāng)有用的。說(shuō)說(shuō)看，你的第一個(gè)需求是什么。
　　
　　“做為一個(gè)網(wǎng)管，我不期望普通用戶能telnet到網(wǎng)絡(luò)設(shè)備”――ACL基礎(chǔ)
　　
　　“補(bǔ)充一點(diǎn)，要求能夠從我現(xiàn)在的機(jī)器(研發(fā)VLAN的10.1.6.66)上telnet到網(wǎng)絡(luò)設(shè)備上去。”。hamm，是個(gè)不錯(cuò)的主意，誰(shuí)都不希望有人在自己的花園中撤野。讓我們分析一下，在A公司的網(wǎng)絡(luò)中，除出口路由器外，其它所有的網(wǎng)絡(luò)設(shè)備段的是放在Vlan1中，那個(gè)我只需要在到VLAN 1的路由器接口上配置只答應(yīng)源地址為10.1.6.66的包通過(guò)，其它的包通通過(guò)濾掉。這中只管源ip地址的ACL就叫做
　　
　　標(biāo)準(zhǔn)IP ACL：
　　我們?cè)赟WA上進(jìn)行如下的配置：
　　
　　access-list 1 permit host 10.1.6.66
　　
　　access-list 1 deny any
　　
　　int vlan 1
　　
　　ip access-group 1 out
　　
　　這幾條命令中的相應(yīng)要害字的意義如下：
　　
　　access-list：配置均ACL的要害字，所有的ACL均使用這個(gè)命令進(jìn)行配置。
　　
　　access-list后面的1：ACL號(hào)，ACL號(hào)相同的所有ACL形成一個(gè)組。在判定一個(gè)包時(shí)，使用同一組中的條目從上到下逐一進(jìn)行判定，一碰到滿足的條目就終止對(duì)該包的判定。1-99為標(biāo)準(zhǔn)的IP ACL號(hào)，標(biāo)準(zhǔn)IP ACL由于只讀取IP包頭的源地址部分，消耗資源少。
　　
　　permit/deny：操作。Permit是答應(yīng)通過(guò)，deny是丟棄包。
　　
　　host 10.1.6.66/any：匹配條件，等同于10.1.6.66 0.0.0.0。剛才說(shuō)過(guò)，標(biāo)準(zhǔn)的ACL只限制源地址。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址為10.1.6.66的包。0.0.0.0是wildcards，某位的wildcards為0表示IP地址的對(duì)應(yīng)位必須符合，為1表示IP地址的對(duì)應(yīng)位不管是什么都行。簡(jiǎn)單點(diǎn)說(shuō)，就是255.255.255.255減去子網(wǎng)掩碼后的值，0.0.0.0的wildcards就是意味著IP地址必須符合10.1.6.66，可以簡(jiǎn)稱為host 10.1.6.66。any表示匹配所有地址。
　　
　　注重：IOS中的ACL均使用wildcards，并且會(huì)用wildcards對(duì)IP地址進(jìn)行嚴(yán)格的對(duì)齊，如你輸入一條access-list 1 permit 10.1.1.129 0.0.0.31，在你show access-list看時(shí)，會(huì)變成access-list 1 permit 10.1.1.128 0.0.0.31，PIXOS中的ACL均使用subnet masks，并且不會(huì)進(jìn)行對(duì)齊操作。
　　
　　int vlan1///ip access-group 1 out：這兩句將access-list 1應(yīng)用到vlan1接口的out方向。其中1是ACL號(hào)，和相應(yīng)的ACL進(jìn)行關(guān)聯(lián)。Out是對(duì)路由器該接口上哪個(gè)方向的包進(jìn)行過(guò)濾，可以有in和out兩種選擇。
　　
　　注重：這里的in/out都是站在路由器或三層模塊（以后簡(jiǎn)稱R）上看的，in表示從該接口進(jìn)入R的包，out表示從該接口出去的包。
　　
　　好了，這就是一個(gè)最基本的ACL的配置方法。什么，你說(shuō)普通用戶還能telnet到RTA？那你在int vlan3上現(xiàn)加一個(gè)ip access-group 1 out吧。Hammmm，等等，你這樣加上去普通用戶就訪問(wèn)不了internet了。讓我們把剛才的ACL去掉，重新寫一個(gè)。
　　
　　回憶一下，我們的目的是除了10.1.6.66能夠進(jìn)行telnet操作外，其它用戶都不答應(yīng)進(jìn)行telnet操作。剛才我們說(shuō)過(guò)，標(biāo)準(zhǔn)的IP ACL只能控制源IP地址，不能控制到端口。要控制到第四層的端口，就需要使用到：
　　擴(kuò)展的IP ACL的配置
　　
　　先看看配置實(shí)例吧。在SWA上進(jìn)行如下配置：
　　
　　int vlan 1
　　
　　no ip access-group 1 out
　　
　　exit
　　
　　no access-list 1
　　
　　access-list 101 permit tcp host 10.1.6.66 any eq telnet
　　
　　access-list 101 deny tcp any any eq telnet
　　
　　int vlan 1
　　
　　ip access-group 101 out
　　
　　int vlan 3
　　
　　ip access-group 101 out
　　
　　你應(yīng)該注重到到這里的ACL有一些變化了，現(xiàn)在對(duì)變化的部分做一些說(shuō)明：
　　
　　access-list 101：注重這里的101，和剛才的標(biāo)準(zhǔn)ACL中的1一樣，101是ACL號(hào)，表示這是一個(gè)擴(kuò)展的IP ACL。擴(kuò)展的IP ACL號(hào)范圍是100-199，擴(kuò)展的IP ACL可以控制源IP、目的IP、源端口、目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口，的IP在沒(méi)有硬件ACL加速情況下，會(huì)消耗大量的CPU資源。
　　
　　int vlan 1///no ip access-group 1 out///exit///no access-list 1：取消access-list 1，對(duì)于非命名的ACL，可以只需要這一句就可以全部取消。注重，在取消或修改一個(gè)ACL前，必須先在它所應(yīng)用的接口上先把應(yīng)用給no掉，否則會(huì)導(dǎo)致相當(dāng)嚴(yán)重的后果。
　　
　　tcp host 10.1.6.66 any eq telnet：匹配條件。完整格式為：協(xié)議源地址源wildcards [關(guān)系] [源端口] 目的地址目的wildcards [關(guān)系] [目的端口]。其中協(xié)議可以是IP、TCP、UDP、EIGRP等，[]內(nèi)為可選字段。僅在協(xié)議為tcp/udp等具備端口號(hào)的協(xié)議才有用。關(guān)系可以是eq(等于)、neq（不等于）、lt(大于)、range（范圍）等。端口一般為數(shù)字的1-65535，對(duì)于周知端口，如23(服務(wù)名為telnet)等可以用服務(wù)名代替。源端口和目的端口不定義時(shí)表示所有端口。
　　
　　把這個(gè)ACL應(yīng)用上去后，用戶們開(kāi)始打電話來(lái)罵娘了，因?yàn)樗麄兌荚L問(wèn)不了Internet了，是哪里出了問(wèn)題了呢？
　　
　　注重：所有的ACL，缺省情況下，從安全角度考慮，最后都會(huì)隱含一句deny any(標(biāo)準(zhǔn)ACL)或deny ip any any（擴(kuò)展IP ACL）。所以在不了解業(yè)務(wù)會(huì)使用到哪些端口的情況下，最好在ACL的最后加上一句permit ip any any，在這里就是access-list 101 permit ip any any。
　　
　　現(xiàn)在用戶倒是能夠訪問(wèn)Internet了，但我們的可憐的網(wǎng)管卻發(fā)現(xiàn)普通用戶還是能夠telnet到他的SWA上面，因?yàn)镾WA上面有很多個(gè)網(wǎng)絡(luò)接口，而且使用擴(kuò)展的ACL會(huì)消耗很多的資源。有什么簡(jiǎn)單的辦法能夠控制用戶對(duì)網(wǎng)絡(luò)設(shè)備的Telnet訪問(wèn)，而又不消耗太多的資源呢？這就需要使用到：
　　
　　對(duì)網(wǎng)絡(luò)設(shè)備自身的訪問(wèn)如何進(jìn)行控制的技術(shù)
　　
　　讓我們先把剛才配置的ACL都取掉(具體配置略，不然后讀者會(huì)以為我在騙稿費(fèi)了。)，再在每臺(tái)網(wǎng)絡(luò)設(shè)備

上一篇：清華大學(xué)無(wú)線網(wǎng)絡(luò)構(gòu)建應(yīng)用案例分析

下一篇：評(píng)估長(zhǎng)距離以太網(wǎng)