文档介绍：ACL概述
标准ACL
扩展ACL
RACL
防火墙概述
PIX防火墙的基本配置
PIX防火墙的NAT与PAT配置
PIX防火墙的管理配置
PIX防火墙的ACL配置
PIX防火墙的对象分组配置
PIX防火墙的DHCP服务器配置
PIX防火墙的DHCP中断代理配置
ACL可以为流过网络的流量提供一个基本级别的安全保护。默认情况下,路由器不过滤任何流量,可以通过为路由器配置和应用ACL来过滤通过路由器的流量。ACL通常用来阻止不同设备访问特定的服务、特定的设备或者特定的网络部分。ACL是应用于路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以进入或离开、哪些数据包要被拒绝。所以,ACL往往被看做是一种流量过滤工具。
ACL概述
ACL的工作原理 要实现流量过滤,必须通过ACL语句,在路由器上定义条件,根据这些条件来决定是否允许流量通过。ACL语句有两个组件:条件和操作。条件基本上是一组规则,用于匹配数据包内容,如在数据包源地址中查找匹配,或者在源地址、目的地址、协议类型和协议信息中查找匹配。当ACL语句条件与比较的数据包内容相匹配时,则会采取一个操作:允许或拒绝数据包。
每条ACL语句只能列出一个条件和一个操作,如果需要多个条件或多个操作,则必须设置多条ACL语句。ACL语句组合在一起形成一个列表或策略,一个列表中包含的语句数量是没有限制的,零条、一条或多条都是允许的,当然列表越长,管理越复杂。ACL的基本工作过程是:路由器自上而下地处理列表,从第一条语句开始,如果数据包内容与当前语句条件不匹配,则处理列表中的下一条语句,以此类推;如果数据包内容与当前语句条件匹配,则不再处理后面的语句;如果数据包内容与列表中任何显式语句条件都不匹配,则丢弃该数据包,这是因为在每个访问控制列表的最后都跟随着一条看不见的语句,称为“隐式的拒绝”语句,致使所有没有找到显式匹配的数据包都被拒绝。
所以,在ACL中应至少包含一条允许操作的语句,否则数据包即使没有与带有拒绝操作的语句条件匹配,也会因隐式的拒绝语句而被丢弃。但是,如果路由器激活了一个不包含任何语句的ACL,即空的ACL,它将允许所有的数据包通过,这意味着一个空的ACL是不包含隐式拒绝语句的,隐式拒绝语句只在非空的ACL(至少包含一条允许或拒绝语句)中起作用。 ACL语句的排列顺序很重要,下面举例说明语句的顺序可能带来的问题。如图4-1所示,路由器分隔了两个网段,一个网段由用户使用,另一个网段放置服务器,过滤流量的目的是允许所有用户到达Web服务器,但只允许用户C到达FTP服务器。假设按照以下顺序将ACL过滤规则配置在路由器上:  ①允许所有用户访问服务器网段; ②拒绝用户A访问FTP服务器; ③拒绝用户B访问FTP服务器。
图4-1 ACL语句的排列顺序
语句是自上而下处理的,当某一时刻用户A试图访问FTP服务器时,会因与第一条语句匹配而得到允许。因此,这样的排列顺序会造成每个用户都可以访问FTP服务器。为达到过滤流量的目的,ACL应该按照以下顺序配置: ①拒绝用户A访问FTP服务器; ②拒绝用户B访问FTP服务器; ③允许所有用户访问服务器网段。
当新的ACL语句被添加到列表中时,默认会被添加到列表的最后,所以设置ACL前应先理清ACL语句顺序,一般规则是:按照条件约束由强到弱的顺序排列语句,将“条件约束最强的语句”放在列表的顶部,“条件约束最弱的语句”放在列表的底部。两种常用的配置方式是:如果想允许每个用户都能够访问大多数服务,只拒绝少数特定用户,则在设置ACL时,首先拒绝特定的连接,然后允许所有其他连接;反之,如果只允许少数用户的访问,而拒绝所有其他的访问,则在设置ACL时,首先指定允许语句,而隐式拒绝所有其他访问。
ACL的类型 路由器接口可能支持多种网络层协议(如IP、IPX、 AppleTalk),则对每种协议必须定义单独的ACL,如IP ACL用于匹配IP数据报内容,过滤IP数据流;而IPX ACL用于匹配IPX 数据包内容,过滤IPX数据流。实际应用时,只能在每个接口、每个协议、每个方向上应用一个ACL。例如,在某个接口的输入方向,不能有两个IP ACL,但是可以在该接口的输入和输出方向分别应用一个IP ACL,或者将一个IP ACL和IPX ACL同时应用到该接口的输入方向上。以下只讨论IP ACL的类型。
依据过滤方式的差异,ACL大致可分为4种类型:标准ACL、扩展ACL、反射ACL(Reflexive ACL,RACL)和基于上下文的访问控制(Context-Based Access C