這個需求是不能通過配置ACL實現的。ACL訪問控制列表是針對文件或者文件夾的訪問控制。你說的這個需求,需要在邊緣防火牆上實現。比如微軟的ISA,或者硬體防火牆。或者也可以有個替代性的方法,就是在銷售部的計算機上host文件裡面加 www.google.com的解析為一個不可用的IP。財務部的所有計算機的host文件裡面添加 www..com的不可用記錄。
❷ 訪問控制列表ACL技術的總結
下面是對幾種訪問控制列表的簡要總結。
●標准IP訪問控制列表
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
●擴展IP訪問控制列表
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
●命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標准和擴展兩種列表,定義過濾的語句與編號方式中相似。
●標准IPX訪問控制列表
標准IPX訪問控制列表的編號范圍是800-899,它檢查IPX源網路號和目的網路號,同樣可以檢查源地址和目的地址的節點號部分。
●擴展IPX訪問控制列表
擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個宇段的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
●命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標准和擴展之分。
❸ 什麼是ACL,它的五要素是
ACL(Access Control Lists,縮寫ACL),存取控制列表。ACL是一套與文件相關的用戶、組和模式項,此文件為所有可能的用戶 ID 或組 ID 組合指定了許可權。 ACL的作用 限制網路流量提高網路性能 通過設定埠上、下行流量的帶寬,ACL可以定製多種應用的帶寬管理,避免因為帶寬資源的浪費而影響網路的整體性能。如果能夠根據帶寬大小來制定收費標准,那麼運營商就可以根據客戶申請的帶寬,通過啟用ACL方式限定訪問者的上、下行帶寬,實現更好的管理,充分利用現有的網路資源,保證網路的使用性能。 有效的通信流量控制手段 ACL 可以限定或簡化路由選擇更新信息的長度,用來限制通過路由器的某一網段的流量。 提供網路訪問的基本安全手段 ACL 允許某一主機訪問一個網路,阻止另一主機訪問同樣的網路,這種功能可以有效防止未經授權用戶的非法接入。如果在邊緣接入層啟用二、三層網路訪問的基本安全策略,ACL能夠將用戶的MAC、IP地址、埠號與交換機的埠進行綁定,有效防止其他用戶訪問同樣的網路。 在交換機(路由器)介面處,ACL決定哪種類型的通信流量被轉發或被拒絕。根據數據包的協議(IP、IPX等),ACL指定某種類型的數據包具有更高的優先順序,在同等情況下優先被交換機(路由器)處理。這種功能保證交換機(路由器)丟棄不必要的數據包,通過不同的隊列來有效限制網路流量,減少網路擁塞。 在網路中,ACL不但可以讓網管員用來制定網路策略,對個別用戶或特定數據流進行控制;也可以用來加強網路的安全屏蔽作用。從簡單的Ping of Death攻擊、TCP Syn攻擊,到更多樣化更復雜的黑客攻擊,ACL都可以起到一定的屏蔽作用。如果從邊緣、二層到三層交換機都具備支持標准ACL及擴展ACL的能力,網路設備就可以將安全屏蔽及策略執行能力延伸到網路的邊緣。 ACL規則 網路中經常提到的acl規則是Cisco IOS所提供的一種訪問控制技術。 初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基於Cisco IOS的ACL進行編寫。
❹ 路由器的訪問控制列表ACL是什麼有什麼作用
讓某些IP連不上某些IP。比如讓孩子的電腦不能連新浪,員工B的電腦不能連網易,保密室的電腦不允許上網,之類的。
❺ 訪問控制列表ACL技術的介紹
ACL技術在路由器中被廣泛採用,它是一種基於包過濾的流控制技術。控制列表通過把源地址、目的地址及埠號作為數據包檢查的基本元素,並可以規定符合條件的數據包是否允許通過。ACL通常應用在企業的出口控制上,可以通過實施ACL,可以有效的部署企業網路出網策略。隨著區域網內部網路資源的增加,一些企業已經開始使用ACL來控制對區域網內部資源的訪問能力,進而來保障這些資源的安全性。
❻ 訪問控制列表的基本定義
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
訪問控制列表(Access Control Lists,ACL)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表不但可以起到控制網路流量、流向的作用,而且在很大程度上起到保護網路設備、伺服器的關鍵作用。作為外網進入企業內網的第一道關卡,路由器上的訪問控制列表成為保護內網安全的有效手段。
此外,在路由器的許多其他配置任務中都需要使用訪問控制列表,如網路地址轉換(Network Address Translation,NAT)、按需撥號路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多場合都需要訪問控制列表。
訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
❼ 訪問控制列表ACL技術的相關信息
ACL技術可以有效的在三層上控制網路用戶對網路資源的訪問,它可以具體到兩台網路設備間的網路應用,也可以按照網段進行大范圍的訪問控制管理,為網路應用提供了一個有效的安全手段。
一方面,採用ACL技術,網路管理員需要明確每一台主機及工作站所在的IP子網並確認它們之間的訪問關系,適用於網路終端數量有限的網路。對於大型網路,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時,巨大的網路終端數量,同樣會增加管理的復雜度和難度。另一方面,維護ACL不僅耗時,而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強,並且牽涉到網路的整體規劃,它的使用對於策略制定及網路規劃的人員的技術素質要求比較高。因此,是否採用ACL技術及在多大的程度上利用它,是管理效益與網路安全之間的一個權衡。
訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
❽ 路由器訪問控制列表(ACL)的特性有哪些
網路安全保障的第一道關卡 對於許多網管員來說,配置路由器的訪問控制列表是一件經常性的工作,可以說,路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網路的相關策略。這些策略可以描述安全功能,並且反映流量的優先順序別。例如,某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問,或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形,以及其他的一些功能都可以通過訪問表來達到目的。 訪問列表的種類劃分 目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
1、基本訪問表控制基於網路地址的信息流,且只允許過濾源地址。
2、擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制,允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。
由於篇幅所限,本文只對標准訪問列表和擴展訪問列表進行討論。 標准IP訪問表 標准IP訪問表的基本格式為:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面對標准IP訪問表基本格式中的各項參數進行解釋:
1.list number---表號范圍
標准IP訪問表的表號標識是從1到99。
2.permit/deny----允許或拒絕
關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過介面,還是要過濾掉。permit表示允許報文通過介面,而deny表示匹配標准IP訪問表源地址的報文要被丟棄掉。 3.source address----源地址
對於標準的IP訪問表,源地址是主機或一組主機的點分十進製表示,如:198.78.46.8。
4.host/any----主機匹配
host和any分別用於指定單個主機和所有主機。host表示一種精確的匹配,其屏蔽碼為0.0.0.0。例如,假定我們希望允許從198.78.46.8來的報文,則使用標準的訪問控制列表語句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果採用關鍵字host,則也可以用下面的語句來代替:
access-list 1 permithost 198.78.46.8
也就是說,host是0.0.0.O通配符屏蔽碼的簡寫。
與此相對照,any是源地證/目標地址0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源地址198.78.46.8來的報文,並且要允許從其他源地址來的報文,標準的IP訪問表可以使用下面的語句達到這個目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意,這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒,將permit語句放在deny語句的前面,則我們將不能過濾來自主機地址198.78.46.8的報文,因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網路中產生安全漏洞,或者使得用戶不能很好地利用公司的網路策略。 5.wildcardmask------通配符屏蔽碼
Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的,也就是說,二進制的O表示一個"匹配"條件,二進制的1表示一個"不關心"條件。假設組織機構擁有一個C類網路198.78.46.0,若不使用子網,則當配置網路中的每一個工作站時,使用於網屏蔽碼255.255.255.O。在這種情況下,1表示一個 "匹配",而0表示一個"不關心"的條件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的,所以匹配源網路地址198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。
6.Log----日誌記錄
log關鍵字只在IOS版本11.3中存在。如果該關鍵字用於訪問表中,則對那些能夠匹配訪問表中的permit和deny語句的報文進行日誌記錄。日誌信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鍾間隔內的報文數目。使用log關鍵字,會使控制台日誌提供測試和報警兩種功能。系統管理員可以使用日誌來觀察不同活動下的報文匹配情況,從而可以測試不同訪問表的設計情況。當其用於報警時,管理員可以察看顯示結果,以定位那些多次嘗試活動被拒絕的訪問表語句。執行一個訪問表語句的多次嘗試活動被拒絕,很可能表明有潛在的黑客攻擊活動。 擴展的IP訪問控制列表 顧名思義,擴展的IP訪問表用於擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文:源和目的地址、協議、源和目的埠以及在特定報文欄位中允許進行特殊位比較等等。一個擴展的IP訪問表的一般語法格或如下所示:
下面簡要介紹各個關鍵字的功能:
1.list number----表號范圍
擴展IP訪問表的表號標識從l00到199。
2.protocol-----協議
協議項定義了需要被過濾的協議,例如IP、TCP、UDP、ICMP等等。協議選項是很重要的,因為在TCP/IP協議棧中的各種協議之間有很密切的關系,如果管理員希望根據特殊協議進行報文過濾,就要指定該協議。
另外,管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中,允許IP地址的語句放在拒絕TCP地址的語句前面,則後一個語句根本不起作用。但是如果將這兩條語句換一下位置,則在允許該地址上的其他協議的同時,拒絕了TCP協議。
3.源埠號和目的埠號
源埠號可以用幾種不同的方法來指定。它可以顯式地指定,使用一個數字或者使用一個可識別的助記符。例如,我們可以使用80或者http來指定Web的超文本傳輸協議。對於TCP和UDP,讀者可以使用操作符 "<"(小於)、">"(大於)"="(等於)以及""(不等於)來進行設置。
目的埠號的指定方法與源埠號的指定方法相同。讀者可以使用數字、助記符或者使用操作符與數字或助記符相結合的格式來指定一個埠范圍。
下面的實例說明了擴展IP訪問表中部分關鍵字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一個語句允許來自任何主機的TCP報文到達特定主機198.78.46.8的smtp服務埠(25);第二個語句允許任何來自任何主機的TCP報文到達指定的主機198.78.46.3的www或http服務埠(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.選項
擴展的IP訪問表支持很多選項。其中一個常用的選項有log,它已在前面討論標准訪問表時介紹過了。另一個常用的選項是established,該選項只用於TCP協議並且只在TCP通信流的一個方向上來響應由另一端發起的會話。為了實現該功能,使用established選項的訪問表語句檢查每個 TCP報文,以確定報文的ACK或RST位是否已設置。
例如,考慮如下擴展的IP訪問表語句:
access-list 101 permit tcp any host 198.78.46.8 established
該語句的作用是:只要報文的ACK和RST位被設置,該訪問表語句就允許來自任何源地址的TCP報文流到指定的主機198.78.46.8。這意味著主機198.78.46.8此前必須發起TCP會話。 5.其他關鍵字
deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標准IP訪問表中的相同。
表2是對部分關鍵字的具體解釋。
表 2:
管理和使用訪問表 在一個介面上配置訪問表需要三個步驟:
(1)定義訪問表;
(2)指定訪問表所應用的介面;
(3)定義訪問表作用於介面上的方向。
我們已經討論了如何定義標準的和擴展的IP訪問表,下面將討論如何指定訪問表所用的介面以及介面應用的方向。
一般地,採用interface命令指定一個介面。例如,為了將訪問表應用於串口0,應使用如下命令指定此埠:
interface serial0
類似地,為將訪問表應用於路由器的乙太網埠上時,假定埠為Ethernet0,則應使用如下命令來指定此埠:
interface ethernet0
在上述三個步驟中的第三步是定義訪問表所應用的介面方向,通常使用ip access-group命令來指定。其中,列表號標識訪問表,而關鍵字in或out則指明訪問表所使用的方向。方向用於指出是在報文進入或離開路由器介面時對其進行過濾。如下的實例將這三個步驟綜合在一起: intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中,先使用interface命令指定串列埠0,並使用ipaccess-group命令來將訪問表l07中的語句應用於串列介面的向內方向上。最後,輸入6個訪問表語句,其中三條訪問表語句使用關鍵字remark