網絡層訪問權限控制技術ACL詳解(3)

2019-11-04 22:39:33

字體：大中小

來源：轉載

供稿：網友

　　基于時間的ACL
　　
　　在保證了服務器的數據安全性后，領導又預備對內部員工上網進行控制。要求在上班時間內(9:00-18:00)禁止內部員工瀏覽internet，禁止使用QQ、MSN。而且在2003年6月1號到2號的所有時間內都不答應進行上述操作。但在任何時間都可以答應以其它方式訪問Internet。天哪，這可叫人怎么活呀，但領導既然這樣安排，也只好按指示做了。
　　
　　首先，讓我們來分析一下這個需求，瀏覽internet現在基本上都是使用http或https進行訪問，標準端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登錄會使用到TCP/UDP8000這兩個端口，還有可能使用到udp/4000進行通訊。而且這些軟件都能支持代理服務器，目前的代理服務器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP1080(socks)這三個端口上。這個需求如下表所示：
　　網絡層訪問權限控制技術ACL詳解(3)

　　然后，讓我們看看ACL應該在哪個位置配置比較好呢？由于是對訪問Internet進行控制，涉及到的是公司內部所有的網段，這們這次把ACL就放到公司的Internet出口處。在RTA上進行如下的配置，就能夠滿足領導的要求了：
　　
　　
　　
　　
　　
　　time-range TR1
　　
　　absolute start 00:00 1 June 2003 end 00:00 3 June 2003
　　
　　periodic weekdays start 9:00 18:00
　　
　　exit
　　
　　ip access-list extend internet_limit
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
　　
　　deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
　　
　　deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1
　　
　　deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1
　　
　　permit ip any any
　　
　　int s0/0
　　
　　ip access-group internet_limit out
　　
　　或int fa0/0
　　
　　ip access-group internet_limit in
　　
　　或者將ACL配置在SWA上，并
　　
　　int vlan 3
　　
　　ip access-group internet_limit out
　　
　　呵呵，現在讓我們來看看在基于時間的訪問列表中都有哪些新內容吧：
　　
　　time-range TR1：定義一個新的時間范圍，其中的TR1是為該時間范圍取的一個名字。
　　
　　absolute：為絕對時間。只使用一次。可以定義為1993-2035年內的任意一個時點。具體的用法請使用？命令查看。
　　Periodic：為周期性重復使用的時間范圍的定義。完整格式為periodic 日期要害字開始時間結束時間。其中日期要害字的定義如下所示：
　　
　　Monday 星期一
　　
　　Tuesday 星期二
　　
　　Wednesday 星期三
　　
　　Thursday 星期四
　　
　　Friday 星期五
　　
　　Saturday 星期六
　　
　　Sunday 星期天
　　
　　daily 天天
　　
　　weekdays 周一至五
　　
　　weekend 周末
　　
　　access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TR1:注重這一句最后的time-range TR1，使這條ACL語句與time-range TR1相關聯，表明這條語句在time-range TR1所定義的時間范圍內才起作用。
　　
　　注重：給出三種配置位置是幫助大家深刻理解關于in/out的區別的。acl是對從一個接上流入(in)或流出(out)路由器的包進行過濾的。
　　
　　網管發問了，“你是怎么找到這些應用的所使用的端口的？”。呵呵，在如下文件中可以找到大多數應用的端口的定義：
　　
　　Win9x:%windir%/services
　　
　　WinNT/2000/XP：%windir%/system32/drivers/etc/services
　　
　　linux：/etc/services
　　
　　對于在services文件中找不到端口的應用，可以在運行程序的前后，運行netstat –ap來找出應用所使用的端口號。
　　單向訪問控制
　　
　　使用IP ACL實現單向訪問控制
　　
　　A公司預備實行薪資的不透明化治理，由于目前的薪資收入數據還放在財務部門的Vlan中，所以公司不希望市場和研發部門能訪問到財務部Vlan中的數據，另一方面，財務部門做為公司的核心治理部門，又希望能訪問到市場和研發部門Vlan內的數據。我們的網管在接到這個需求后就在SWA上做了如下的配置：
　　
　　ip access-list extend fi-access-limit
　　
　　deny ip any 10.1.4.0 0.0.0.255
　　
　　permit ip any any
　　
　　int vlan 5
　　
　　ip access-group fi-access-limit in
　　
　　int vlan 6
　　
　　ip access-group fi-access-limit in
　　
　　配置做完后，測試了一下，市場和研發部門確實訪問不到財務部了，剛預備休息一下，財務部打電話過來說為訪問不到市場與研發部門的數據了。這是怎么回事呢？
　　
　　讓我們回憶一下，在兩臺主機A與B之間要實現通訊，需要些什么條件呢？答案是既需要A能向B發包，也需要B能向A發包，任何一個方向的包被阻斷，通訊都不能成功，在我們的例子中就存在這樣的問題，財務部訪問市場或研發部門時，包到到市場或研發部門的主機，由這些主機返回的包在到達路由器SWA時，由于普通的ACL均不具備檢測會話狀態的能力，就被deny ip any 10.1.4.0 0.0.0.255這條ACL給阻斷了，所以訪問不能成功。
　　
　　要想實現真正意義上的單向訪問控制應該怎么辦呢？我們希望在財務部門訪問市場和研發部門時，能在市場和研發部門的ACL中臨時生成一個反向的ACL條目，這樣就能實現單向訪問了。這里就需要使用到反向ACL技術。我們可以按照如下配置實例就可以滿足剛才的那個單向訪問需求：
　　ip access-list extend fi-main
　　
　　permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
　　
　　permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
　　
　　permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
　　
　　permit ip any any
　　
　　int vlan 4
　　
　　ip access-group fi-main in
　　
　　ip access-list extend fi-access-limit
　　
　　evaluate r-main
　　
　　deny ip any 10.1.4.0 0.0.0.255
　　
　　permit ip any any
　　
　　int vlan 5
　　
　　ip access-group fi-access-limit in
　　
　　int vlan 6
　　
　　ip access-group fi-access-limit in
　　
　　現在對反向ACL新增加的內容一一解釋如下：
　　新增了一個ACL(fi-main)并應用在具備訪問權限的接口下(財務部所在的vlan4)的in方向，使用該acl中具備reflect要害字的acl條目來捕捉建立反向ACL條目所需要的信息。我們將該ACL稱為主ACL。
　　
　　reflect r-main timeout xxx：其中的reflect要害字表明該條目可以用于捕捉建立反向的ACL條目所需要的信息。r-main是reflect組的名字，具備相同reflect組名字的所有的ACL條目為一個reflect組。timeout xxx表明由這條ACL條目所建立起來的反向ACL條目在沒有流量的情況下，多長時間后會消失（缺省值為300秒），單位為秒。
　　
　　evaluate r-main：我們注重到在fi-access-limit(我們把它稱為反ACL)增加了這樣一句，這一句的意思是有符合r-main這個reflect組中所定義的acl條目的流量發生時，在evaluate語句所在的當前位置動態生成一條反向的permit語句。
　　
　　反向ACL的局限性：
　　
　　必須使用命名的ACL，其實這不能叫局限性，應該算注重事項吧；
　　
　　對多通道應用程序如h323之類無法提供支持。
　　
　　好了，到現在我們從IP ACL的基礎知識講起，中間講述了標準的IP ACL、擴展的IP ACL、基于名字的ACL、基于時間的ACL、反向ACL等諸多內容，這些ACL在ios的基本IP特性集中都能提供支持，在一般的企業網或校園網中也應該完全夠用了。假如各位看官還需要了解更加深入的知識，如CBAC之類能夠為多通道應用程序提供良好支持的配置技術的，請參考《Cisco IOS Security Configuration Guide，Part 3: Traffic Filtering and Firewalls》。
　　
　　“站住！”，70正想開溜，只聽那網管一聲大吼，“有什么辦法能知道ACL都過濾了從哪兒來，到哪兒去的流量？？”。呵呵，剛才忘記說了，你只需要在需要記錄的acl條目的最后加一個log要害字，這樣在有符合該ACL條目數據包時，就會產生一條日志信息發到你的設備所定義的日志服務器上去。謝謝大家的捧場，本文到此為止。

上一篇：評估長距離以太網

下一篇：網絡層訪問權限控制技術ACL詳解(2)