标签:asd 配置管理 access 更新 移动 路由器 stat list standard
路由器ACL in和out的对比
in和out是相对的,比如:
A(s0)—–(s0)B(s1)——–(s1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至
少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
假设你要把铁门(ACL)安在C,那时候应该用in还是out呢? 这个问题留给你自己回答了,呵呵
相对于路由器的,穿过路由器的是out 即将进入的是in
标准acl靠近目标地址 ,扩展acl,要靠近源
实际上in和out的应用是很灵活的
注意:应该把标准访问控制列表应用在离目的地最近的路由器上。
注意:扩展访问控制列表应该应用在离源地址最近的路由器上,用在其他路由器上会占用不必要的资源。
1.最基本的一点。
ASA上的ACL用的不是反向掩码,而是普通的掩码;路由器上的ACL则用反向掩码
e.g. ASA ACL: access-list test permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Router ACL: access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
另外,编辑此贴时刚发现的一点,防火墙上的ACL直接支持用字母命名,而路由器上同样的书写格式只能用数字,不能用
字母命名,除非换一种书写格式才行。
e.g. ip access-list extended test permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
2.默认的访问控制。
路由器上的端口如果没有设置ACL,所有端口都是permit ip any any的,路由的宗旨是使不同网段进行通迅;防火墙上的端
口如果未设置ACL,至少部分端口以及部分方向的通迅是被阻止的,防火墙的宗旨是安全,安全就要阻止通迅。
防火墙的端口要启用需要三个条件,一是设置nameif, 二是设置security-level,三是设置ip addr, 当然还要no shut.
int e0/0
nameif intranet
security-level 100
ip addr 192.168.1.100
在端口未关联ACL的情况下,防火墙默认的访问控制规则为:
从高安全级别端口发起的到低安全级别端口的访问都允许
从低安全级别端口发起的到高健全级别端口的访问都阻止
相同安全级别的端口之间也不能互访,除非设置了same-security-traffic permit inter-interface
3. 防火墙的状态表。
防火墙是有状态的包过滤设备,它通过各种状态表(state table)以及访问策略来验证进入其端口的数据包的合
法性和正确性。对于已经建立的连接,已经在状态表中有记录,就不需要再使用ACL进行检查了。
端口上应用的ACL是用来确定哪些新的连接允许进入状态表,只要进入状态表,ACL就管不着了,
路由器不会象防火墙那样,在状态表中记下每个连接的特征(src addr/port dst addr/port .etc.)自动允许
由目标地址返回源地址的数据包,路由器是无状态的,必须在每个端口上明确的设置允许所需要的数据流。
4。编辑ACL
防火墙有ASDM图形化界面的配置工具,可以方便的对ACL进行复制,移动,插入,删除,和修改。CLI界面也可
以对ACL进行编辑,e.g. 插入ACE,已有存在的ACL
access-list test line 1 extended permit ip 192.168.1.0 255.255.255.0 any
access-list test line 2 extended deny ip 192.168.2.0 255.255.255.0 any
现在要插入一条ACE到line 1 和line 2之间,键入下面命令行
access-list test line 2 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
原来的line 2就被挤到后面,成了line 3。
access-list test line 1 extended permit ip 192.168.1.0 255.255.255.0 any
access-list test line 2 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list test line 3 extended deny ip 192.168.2.0 255.255.255.0 any
路由器编辑ACL时建议使用 ip access-list { standard | extended } 的语法,进入ACL编辑模
式,
R3(config)#ip access-list extended test
R3(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any /***默认序号 10
R3(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 any /***默认序号 20
R3(config-ext-nacl)#15 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 /***插入到10和20之
间
R3(config)#do sh access-list
Extended IP access list test
10 permit ip 192.168.1.0 0.0.0.255 any
15 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
20 deny ip 192.168.2.0 0.0.0.255 any
R3(config)#ip access-list resequence test 10 10 /***重新编排序号,从10开始,递
增10
R3(config)#do sh access-list
Extended IP access list test
10 permit ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
30 deny ip 192.168.2.0 0.0.0.255 any
R3(config)#
5。防火墙中有对象组(Object Group)用于简化ACL的配置管理,路由器没有相关概念
Object Group允许把任意多个,可设置同一访问策略的,IP地址,IP协议及端口号组成一组,共享一条ACE,还
可以重复使用。大大减少了必须的ACE数量,简化了ACL配置;同时,修改Object Group中的成员后,与之相关
联的ACL会自动更新,这样也简化了ACL的维护工作。
e.g.
ciscoasa(config)# object-group network OFFICE-AREA
ciscoasa(config-network)# network-object 192.168.1.0 255.255.255.0
ciscoasa(config-network)# network-object 192.168.10.0 255.255.255.0
ciscoasa(config-network)# network-object 172.20.0.0 255.255.0.0
ciscoasa(config-network)# exit
ciscoasa(config)# object-group service TO-DMZ tcp
ciscoasa(config-service)# port-object eq http
ciscoasa(config-service)# port-object eq smtp
ciscoasa(config-service)# port-object eq https
ciscoasa(config-service)# port-object eq ftp
ciscoasa(config-service)#exit
ciscoasa(config)#access-list INSIDE-IN extended permit tcp object-group OFFICE-AREA gt 1024
172.16.1.0 255.255.255.0 object-group TO-DMZ
ASA ACL
标签:asd 配置管理 access 更新 移动 路由器 stat list standard
原文地址:http://www.cnblogs.com/zhaoyong631/p/7221963.html
