访问控制列表--标准ACL

访问控制列表(Access Control List，简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能，在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址；扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL的配置主要分为两个步骤：（1）根据需求编写ACL；(2)将ACL应用到路由器接口的某个方向。本章主要介绍各种常用ACL的编写与应用。

1.1 实验目的

（1）了解访问控制列表的工作过程

（2）掌握标准访问控制列表的配置和应用

（3）熟悉标准ACL的调试

1.2 实验原理

1. 什么是访问控制列表（Access Control List）?

访问控制列表（Access Control List）是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过。通过接入控制列表可以在路由器、三层交换机上进行网络安全属性配置，可以实现对进入路由器、三层交换机的输入数据流进行过滤，但ACL 对路由器自身产生的数据包不起作用。

当每个数据包经过关联有 ACL 的接口时，都会与 ACL 中的语句从上到下一行一行进行比对，以便发现符合该传入数据包的模式。ACL 使用允许或拒绝规则来决定数据包的命运，通过此方式来贯彻一条或多条公司安全策略。还可以配置 ACL 来控制对网络或子网的访问。另外，也可以在VTY线路接口上使用访问控制列表，来保证telnet的连接的安全性。

默认情况下，路由器上没有配置任何 ACL，不会过滤流量。进入路由器的流量根据路由表进行路由。如果路由器上没有使用 ACL，所有可以被路由器路由的数据包都会经过路由器到达下一个网段。ACL 主要执行以下任务：

l 限制网络流量以提高网络性能。例如，如果公司政策不允许在网络中传输视频流量，那么就应该配置和应用 ACL 以阻止视频流量。这可以显著降低网络负载并提高网络性能。

l 提供流量控制。ACL 可以限制路由更新的传输。如果网络状况不需要更新，便可从中节约带宽。

l 提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。例如，“人力资源”网络仅限选定用户进行访问。

l 决定在路由器接口上转发或阻止哪些类型的流量。例如，ACL 可以允许电子邮件流量，但阻止所有 Telnet 流量。

l 控制客户端可以访问网络中的哪些区域。

l 屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型，例如 FTP 或 HTTP。

2.访问控制列表的分类

ACL的类型主要分为IP标准访问控制列表（Standard IP ACL）和IP扩展访问控制列表（Extended IP ACL）两大类：

l IP标准访问控制列表（Standard IP ACL）。标准 ACL 根据源 IP 地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。   

l IP扩展访问控制列表（Extended IP ACL ）。扩展 ACL 根据多种属性（例如，协议类型、源和 IP 地址、目的 IP 地址、源 TCP 或 UDP 端口、目的 TCP 或 UDP 端口）过滤 IP 数据包，并可依据协议类型信息（可选）进行更为精确的控制。

此外还包括一些复杂的ACL,例如命名ACL，基于时间的ACL,动态ACL,自反ACL等。

3.ACL