利用IP擴展控制應(yīng)用服務(wù)訪問

引言：擴展IP訪問控制列表是其中重要的一種,擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，下面以Cisco設(shè)備為例，簡單介紹IP擴展訪問控制列表的配置之方法。

訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收,哪能數(shù)據(jù)包要拒絕。擴展IP訪問控制列表是其中重要的一種，包括協(xié)議類型、源地址、目的地址、源端口、目的端口和IP優(yōu)先級等。下面以Cisco設(shè)備為例，簡單介紹IP擴展訪問控制列表的配置方法。

擴展訪問控制列表的配置方法

在全局模式下建立擴展訪問控制列表，其配置如下：

表1 訪問控制列表類型和對應(yīng)的列表號

下面對語句進行逐一說明。access-list-number對于IP擴展訪問控制列表范圍是100-199和2000-2699。不同類型的訪問控制列表的列表號如表1所示。使用permit或者deny關(guān)鍵字可以指定哪些匹配訪問控制列表語句的報文是允許通過接口或者被拒絕通過。

表2 RGNOS支持協(xié)議列表

Portocol即協(xié)議表項定義了需要被檢查的協(xié)議，例如 IP、TCP、UDP、ICMP 等。協(xié)議選項是很重要的，因為在TCP/IP協(xié)議簇中的各種協(xié)議之間有很密切的關(guān)系。如果指定IP協(xié)議，訪問控制列表將只檢查IP數(shù)據(jù)包進行匹配，而不再檢查IP數(shù)據(jù)包所承載的TCP、UDP等上層協(xié)議。如果根據(jù)特殊協(xié)議進行報文過濾，就要指定該協(xié)議。RGNOS支持過濾的協(xié)議如表2所示。此外，應(yīng)該將更具體的表項放在訪問控制列表靠前的位置。

source source-wildcard指源地址和通配符掩碼。源地址是主機或一組主機的點用十進制表示，必須與通配符掩碼配合使用。進行指定源地址比較操作時，必須比較匹配的位數(shù)。通配符掩碼是一個32位二進制數(shù)，二進制“0”表示該位必須比較匹配，二進制“1”表示該位不需要比較匹配，可以忽略。

例如，通配符掩碼0.0.0.255，表示只比較IP地址中前24位，后8位IP地址忽略不關(guān)心。通配符掩碼0.0.7.255，表示只比較IP地址中前21位，后11位IP地址忽略不關(guān)心。通配符掩碼0.0.255.255，表示只比較IP地址中前16位，后16位IP地址忽略不關(guān)心。有兩個特殊的通配符掩碼0.0.0.0和 255.255.255.255，可 以用關(guān)鍵字host和any表示。host表示一種精確的匹配，使用時放在IP地址之前，如host192.168.10.8的一臺主機。any表示不對該IP地址進行比較，完全忽略。

operator是指操作符，可以使用的操作符有<（大于）、>（小于）、=（等于）、≠（不等于）等，具體的操作符命令如表3所示。

port指端口號，其范圍是0-65535。放在源IP地址后的端口號指源端口號。放在目的IP地址后的端口號指目的端口號。端口號0代表所有TCP或UDP端口。一些特殊的端口號可以直接用其對應(yīng)的協(xié)議名稱表示，如TCP端口號80可以用WWW表示，TCP端口號23可以用telnet表示，TCP端口號21可以用ftp表示，UDP端口號53可以用domain表示，UDP端口號520可以用rip表示。目的地址和通配符掩碼的結(jié)構(gòu)與源地址和通配符掩碼的結(jié)構(gòu)相同，目的端口號的指定方法與源端口號的指定方法相同。

配置命名的訪問控制列表

在較高版本的IOS上，都可以配置命名的訪問控制列表。它的好處在于可以單獨地添加或者刪除列表中的一條語句，從而克服了傳統(tǒng)的訪問控制列表不能增量更新，難于維護的弊病。在全局模式下聲明命名的訪問控制列表命令如下：

表3 操作符表

執(zhí)行該命令后，就會進入配置命名的訪問控制列表語句的模式，可以逐條地編寫列表語句，我們以擴展的命名訪問控制列表為例，它的命令如下：

通過不斷重復(fù)套用該命令，就可以建立起命名的訪問控制列表。例如：

向命名的訪問控制列表里添加語句就和配置語句語法格式一樣。如果要刪除一條語句，在該語句前加“no”。在網(wǎng)絡(luò)管理過程中，合理的使用IP擴展訪問控制列表對網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問進行控制和管理，能對網(wǎng)絡(luò)安全起到至關(guān)重要的作用，也是網(wǎng)絡(luò)管理的一個重要途徑和手段。