在日常工作中,在安全控制中,应用一些必要的访问策略来限制非授权的访问时十分必要的。使用方便的访问列表也许是最佳选择之一。要熟练的用应用访问列表。那么则需要掌握各种访问列表。下面主要从两类访问列表来总结:
1.标准访问列表
2.扩展访问列表
首先讨论标准访问列表的一些基本知识,它的应用范围及应该注意的事项。
1.标准访问列表。
如何创建?
Access-list list number deny/permit source address wildcard mask log
list number的范围在标准访问列表中是1-99,这个范围的列表号表明它于IP协议有关。标准访问列表主要基于目标地址的数据包的过滤。source address就是要控制的目标地址,wildcard mask是通配符掩码,就是是子网掩码的补充,它的计算方法可以根据子网掩码计算,比如子网掩码是255.255.255.192,那么此4个十进制点隔的地址依次减去255,即可得0.0.0.64,所谓的通配符掩码。0表示必许匹配条件。
针对目标网络或者目标主机要创建一条标准列表,该如何实施呢?首先要清楚,在访问列表的最低端默认隐藏着deny any的策略。
如:access-list 1 permit 10.2.11.0 0.0.0.255 log 就是允许来自网络10.2.11.0的数据包通过,并在缓存中记录日志。
access-list 2 deny host 10.2.11.50 拒绝来自主机10.2.11.50上的数据包,其中host关键字等价于通配符码为0.0.0.0
access-list 2 permit any
2.扩展访问列表
扩展访问列表可以基于源地址,目标地址,源端口,目标端口,使用的网络协议(tcp,udp,icmp,ftp,http)来实现数据包的过滤和访问限制。
格式:access-list list number permit/deny [protocol]prototol-keyword[source address wildcard mask][source-port] [destination- address wildcard mask][destination-port][log option]
扩展访问列表的列表号范围100-199.在交换机或者路由器上维护访问列表,要删掉其中的访问列表,要特别注意,如果你的列表是标准访问列表,当你使用no access-list命令时,会将所有的访问列表清除。而扩展访问列表不存在这种不方便。你尽可使用no access-list list-number进行删除。
如何创建?access-list 101 permit protocol tcp any 10.1.1.0 0.0.0.255
access-list 102 permit protocol tcp any 198.61.12.50 0.0.0.0 eq smtp 允许任何主机的tcp报文到达特定主机198.61.12.50的smtp端口
access-list 102 permit protocol tcp any 198.61.12.8 0.0.0.0 eq www 允许任何主机的tcp报文到达特定主机198.61.12.8的http服务端口(80)端口。
3.创建了两类列表如何将之应用呢?
必须清楚要将列表应用到那些接口。如interface vlan 2
ip access-group 101 in
或者 interface serial 1
ip access-group 102 in