桂林电子科技大学职业技术学院毕业设计（论文）

目的。

图1 ACL工作原理

入站数据包进入路由器内，路由器首先判断数据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用ACL。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路由器。通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。

1.2功能

网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

1.3配置ACL的基本原则

在实施ACL的过程中，应当遵循如下三个基本原则：

- 3 -

桂林电子科技大学职业技术学院毕业设计（论文）

① 最小特权原则：只给受控对象完成任务的最小权限。

② 最靠近受控对象原则：所有的网络层访问权限控制尽可能离受控对象最近。

③ 默认丢弃原则：在Cisco设备中，每个访问控制列表的最后一个隐藏规则为deny any any。

而在华为3COM设备中，最后一个隐藏规则是Permit any any。因此不同的厂商支持的ACL技术在配置上有一些差别，这些差别在网络安全策略的配置是很重要的。

1.4局限性

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

1.5 ACL的作用

1. ACL可以限制网络流量、提高网络性能。 2. ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。

4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

1.6访问控制列表的分类

目前有两种主要的ACL：标准ACL和扩展ACL。标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

·IP标准访问控制列表编号：1～99或1300～1999 ·IP扩展访问控制列表编号：100～199或2000～2699

1.7访问控制列表的执行顺序

ACL的执行顺序是从上往下执行，Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。

- 4 -

桂林电子科技大学职业技术学院毕业设计（论文）

在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的ACL语句

图2 ACL的匹配顺序

2、ACL的创建与配置

2.1ACL的创建

·标准ACL命令的详细语法 1．创建ACL定义

例如：Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255 2．应用于接口

例如：Router(config-if)#ip access-group 1 out ·扩展ACL命令的详细语法 1. 创建ACL定义

例如：accell-list101 permit host 10.1.6.6 any eq telnet 2. 应用于接口

例如：Router(config-if)#ip access-group 101 out ·下面更详细的介绍扩展ACL的各个参数： Router(config)# access-list access-list-number

- 5 -

桂林电子科技大学职业技术学院毕业设计（论文）

{ permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]

表1 扩展ACL参数描述

参数 参数描述 访问控制列表表号

如果满足条件，允许或拒绝后面指定特定地址的通信流量

access-list-number permit|deny

protocol Source destination

source-mask destination-mask operator operand established

过 and

用来指定协议类型，如IP、TCP、UDP、ICMP等 分别用来标识源地址和目的地址

通配符掩码，跟源地址相对应 通配符掩码，跟目的地址相对应

lt,gt,eq,neq(小于，大于，等于，不等于) 一个端口号

如果数据包使用一个已建立连接，便可允许TCP信息通

·标准ACL与扩展ACL的比较：

图

3 标准ACL与扩展ACL的比较

- 6 -