網絡層訪問權限控制技術ACL詳解(上)

2019-11-04 22:39:45

字體：大中小

來源：轉載

供稿：網友

　　技術從來都是一把雙刃劍，網絡應用與互聯網的普及在大幅提高企業的生產經營效率的同時，也帶來了諸如數據的安全性，員工利用互聯網做與工作不相干事等負面影響。如何將一個網絡有效的治理起來，盡可能的降低網絡所帶來的負面影響就成了擺在網絡治理員面前的一個重要課題。
　　
　　　　A公司的某位可憐的網管目前就面臨了一堆這樣的問題。A公司建設了一個企業網，并通過一臺路由器接入到互聯網。在網絡核心使用一臺基于IOS的多層交換機，所有的二層交換機也為可治理的基于IOS的交換機，在公司內部使用了VLAN技術，按照功能的不同分為了6個VLAN。分別是網絡設備與網管(VLAN1，10.1.1.0/24)、內部服務器(VLAN2)、Internet連接(VLAN3)、財務部（VLAN4）、市場部(VLAN5)、研發部門（VLAN6），出口路由器上Fa0/0接公司內部網，通過s0/0連接到Internet。每個網段的三層設備（也就是客戶機上的缺省網關）地址都從高位向下分配，所有的其它節點地址均從低位向上分配。　　
　　
　　　　自從網絡建成后麻煩就一直沒斷過，一會兒有人試圖登錄網絡設備要搗亂；一會兒領導又在抱怨說互聯網開通后，員工成天就知道泡網；一會兒財務的人又說研發部門的員工看了不該看的數據。這些抱怨都找這位可憐的網管，搞得他頭都大了。那有什么辦法能夠解決這些問題呢？答案就是使用網絡層的訪問限制控制技術――訪問控制列表（下文簡稱ACL）。
　　
　　　　那么，什么是ACL呢？ACL是種什么樣的技術，它能做什么，又存在一些什么樣的局限性呢？
　　　　ACL的基本原理、功能與局限性
　　　　網絡中常說的ACL是Cisco IOS所提供的一種訪問控制技術，初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術，不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基于Cisco IOS的ACL進行編寫。
　　
　　　　基本原理：ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。
　　
　　　　功能：網絡中的節點資源節點和用戶節點兩大類，其中資源節點提供服務或數據，用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點，阻止非法用戶對資源節點的訪問，另一方面限制特定的用戶節點所能具備的訪問權限。
　　
　　　　配置ACL的基本原則：在實施ACL的過程中，應當遵循如下兩個基本原則：
　　　　最小特權原則：只給受控對象完成任務所必須的最小的權限
　　　　最靠近受控對象原則：所有的網絡層訪問權限控制
　　　　局限性：由于ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要達到end to end的權限控制目的，需要和系統級及應用級的訪問權限控制結合使用。
　　
　　　　ACL基本配置
　　
　　　　ACL配置技術詳解
　　　　“說那么多廢話做什么，趕緊開始進行配置吧。”，A公司的網管說。呵呵，并不是我想說那么多廢話，因為理解這些基礎的概念與簡單的原理對后續的配置和排錯都是相當有用的。說說看，你的第一個需求是什么。
　　　　“做為一個網管，我不期望普通用戶能telnet到網絡設備”――ACL基礎
　　　　“補充一點，要求能夠從我現在的機器(研發VLAN的10.1.6.66)上telnet到網絡設備上去。”。hamm，是個不錯的主意，誰都不希望有人在自己的花園中撤野。讓我們分析一下，在A公司的網絡中，除出口路由器外，其它所有的網絡設備段的是放在Vlan1中，那個我只需要在到VLAN 1的路由器接口上配置只答應源地址為10.1.6.66的包通過，其它的包通通過濾掉。這中只管源ip地址的ACL就叫做
　　　　標準IP ACL：
　　　　我們在SWA上進行如下的配置：
　　　　access-list 1 permit host 10.1.6.66
　　　　access-list 1 deny any
　　　　int vlan 1
　　　　ip access-group 1 out
　　　　這幾條命令中的相應要害字的意義如下：
　　　　access-list：配置均ACL的要害字，所有的ACL均使用這個命令進行配置。
　　　　access-list后面的1：ACL號，ACL號相同的所有ACL形成一個組。在判定一個包時，使用同一組中的條目從上到下逐一進行判定，一碰到滿足的條目就終止對該包的判定。1-99為標準的IP ACL號，標準IP ACL由于只讀取IP包頭的源地址部分，消耗資源少。
　　　　permit/deny：操作。Permit是答應通過，deny是丟棄包。
　　　　host 10.1.6.66/any：匹配條件，等同于10.1.6.66 0.0.0.0。剛才說過，標準的ACL只限制源地址。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址為10.1.6.66的包。0.0.0.0是wildcards，某位的wildcards為0表示IP地址的對應位必須符合，為1表示IP地址的對應位不管是什么都行。簡單點說，就是255.255.255.255減去子網掩碼后的值，0.0.0.0的wildcards就是意味著IP地址必須符合10.1.6.66，可以簡稱為host 10.1.6.66。any表示匹配所有地址。
　　
　　　　注重：IOS中的ACL均使用wildcards，并且會用wildcards對IP地址進行嚴格的對齊，如你輸入一條access-list 1 permit 10.1.1.129 0.0.0.31，在你show access-list看時，會變成access-list 1 permit 10.1.1.128 0.0.0.31，PIXOS中的ACL均使用subnet masks，并且不會進行對齊操作。
　　
　　　　int vlan1///ip access-group 1 out：這兩句將access-list 1應用到vlan1接口的out方向。其中1是ACL號，和相應的ACL進行關聯。Out是對路由器該接口上哪個方向的包進行過濾，可以有in和out兩種選擇。
　　
　　　　注重：這里的in/out都是站在路由器或三層模塊（以后簡稱R）上看的，in表示從該接口進入R的包，out表示從該接口出去的包。
　　
　　　　好了，這就是一個最基本的ACL的配置方法。什么，你說普通用戶還能telnet到RTA？那你在int vlan3上現加一個ip access-group 1 out吧。Hammmm，等等，你這樣加上去普通用戶就訪問不了internet了。讓我們把剛才的ACL去掉，重新寫一個。
　　
　　　　回憶一下，我們的目的是除了10.1.6.66能夠進行telnet操作外，其它用戶都不答應進行telnet操作。剛才我們說過，標準的IP ACL只能控制源IP地址，不能控制到端口。要控制到第四層的端口，就需要使用到：
　　
　　
　　擴展的IP ACL的配置
　　　　先看看配置實例吧。在SWA上進行如下配置：
　　　　int vlan 1
　　　　no ip access-group 1 out
　　　　exit
　　　　no access-list 1
　　　　access-list 101 permit tcp host 10.1.6.66 any eq telnet
　　　　access-list 101 deny tcp any any eq telnet
　　　　int vlan 1
　　　　ip access-group 101 out
　　　　int vlan 3
　　　　ip access-group 101 out
　　　　你應該注重到到這里的ACL有一些變化了，現在對變化的部分做一些說明：
　　
　　　　access-list 101：注重這里的101，和剛才的標準ACL中的1一樣，101是ACL號，表示這是一個擴展的IP ACL。擴展的IP ACL號范圍是100-199，擴展的IP ACL可以控制源IP、目的IP、源端口、目的端口等，能實現相當精細的控制，擴展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口，的IP在沒有硬件ACL加速情況下，會消耗大量的CPU資源。
　　
　　　　int vlan 1///no ip access-group 1 out///exit///no access-list 1：取消access-list 1，對于非命名的ACL，可以只需要這一句就可以全部取消。注重，在取消或修改一個ACL前，必須先在它所應用的接口上先把應用給no掉，否則會導致相當嚴重的后果。
　　
　　　　tcp host 10.1.6.66 any eq telnet：匹配條件。完整格式為：協議源地址源wildcards [關系] [源端口] 目的地址目的wildcards [關系] [目的端口]。其中協議可以是IP、TCP、UDP、EIGRP等，[]內為可選字段。僅在協議為tcp/udp等具備端口號的協議才有用。關系可以是eq(等于)、neq（不等于）、lt(大于)、range（范圍）等。端口一般為數字的1-65535，對于周知端口，如23(服務名為telnet)等可以用服務名代替。源端口和目的端口不定義時表示所有端口。
　　
　　　　把這個ACL應用上去后，用戶們開始打電話來罵娘了，因為他們都訪問不了Internet了，是哪里出了問題了呢？
　　
　　　　注重：所有的ACL，缺省情況下，從安全角度考慮，最后都會隱含一句deny any(標準ACL)或deny ip any any（擴展IP ACL）。所以在不了解業務會使用到哪些端口的情況下，最好在ACL的最后加上一句permit ip any any，在這里就是access-list 101 permit ip any any。
　　
　　　　現在用戶倒是能夠訪問Internet了，但我們的可憐的網管卻發現普通用戶還是能夠telnet到他的SWA上面，因為SWA上面有很多個網絡接口，而且使用擴展的ACL會消耗很多的資源。有什么簡單的辦法能夠控制用戶對網絡設備的Telnet訪問，而又不消耗太多的資源呢？這就需要使用到：
　　　　對網絡設備自身的訪問如何進行控制的技術
　　
　　　　讓我們先把剛才配置的ACL都取掉(具體配置略，不然后讀者會以為我在騙稿費了。)，再在每臺網絡設備上均進行如下配置：
　　　　access-list 1 permit host 10.1.6.66
　　　　line vty 0 4(部分設備是15)
　　　　access-class 1 in
　　　　這樣就行了，telnet都是訪問的設備上的line vty，在line vty下面使用access-class與ACL組進行關聯，in要害字表示控制進入的連接。
　　
　　　　就這么簡單？wk，你丫是不是在玩

上一篇：網絡層訪問權限控制技術ACL詳解(下)

下一篇：Traffic Engineering with MPLS