我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问控制列表 >

访问控制列表 企业网络管理的必杀技(三)

归档日期:04-20       文本归类:访问控制列表      文章编辑:爱尚语录

  扩展访问控制列表比标准访问控制列表提供了更广阔的控制范围,其灵活性也比标准访问控制列表要高的多。在实际工作中,很少有网络管理员会简单的采用标准访问控制列表,而基本上是采用扩展型的访问控制列表,来对通过路由器的部分数据流量进行过滤。如我们有时候只允许来自于外部的EMAIL通信流量进入企业网络,而其他的通信流量,如FTP、WEB等等,路由器都要把他们挡在门外,此时,就可以通过扩展型的访问控制列表来实现。扩展访问控制列表提供了很多的控制关口,如源地址、目标地址、协议类型、端口号等等,这种扩展后所带来的功能,可以实现网络管理员对网络访问进行复杂控制的要求,而不再是简单的只根据IP地址进行控制。废话不说了,我们先来看一个扩展访问控制列表的实例,看看其到底有什么神秘的地方。

  假设现在企业内部有一台主机A,其IP地址为192.168.1.10。而路由器上有一台FTP服务器B,其IP地址为192.168.0.2。现在企业为了FTP服务器安全,只有经过授权的用户才能够访问这台FTP服务器。一般来说,这台FTP服务器是为业务部门准备的,默认情况下,只要业务员可以访问这台FTP服务器。

  要拒绝某个协议类型的数据流量,若依靠标准的访问控制列表是达到这个目标的。一般来说,标准的访问控制列表之能够简单的对IP地址进行数据流量的过滤,也就是说,其要么允许全部的数据包通过,要么就是拒绝所有的数据包。而现在若采用扩展的访问控制列表,则可以根据数据包的协议来类型来实现对部门数据包进行过滤,对部分数据包放行。

  1、访问控制列表标号。在上面一篇文章中,笔者谈到,为了管理的方便,访问控制列表规定,用数字1到99来表示标准的访问控制列表;而100到199用来表示扩展的访问控制列表。而这边数字“101”就表示这个访问控制列表是一个扩展型的访问控制列表。

  2、关键字deny与permit。这两个关键字,顾名思义,就是表示拒绝某个流量还是允许某个流量通过路由器。这里要注意一个书写的顺序。在一般情况下,都把拒绝的语句,而就是deny语句放在前头,而把拒绝的语句放在后面。因为访问控制列表示从头到脚对这些语句进行判断,若前面一条语句满足的话,则后续的将都不会被判断。所以,一般要把拒绝的条件语句放在前面。具体的例子在上篇文章中笔者已经详细介绍过,这里就不再过过多的叙述了。

  3、tcp表示一种传输层的协议。若想要使用扩展型的访问控制列表,则一定要对传输层的各种访问协议有清晰的认识,否则的话,配置访问控制列表的时候,就有点束手束脚的了。

  4、192.168.1.0 0.0.0.255,表示对那些IP地址进行这个拒绝操作。这两组数字是配套使用的。后面的0.0.0.255表示对IP地址的前三位进行检查,而对最后一位不进行检查。如此的话,结合前面的IP地址,也就表示IP地址前面三位为192.168.1的IP地址,后面不管是什么,从192.168.1.0到192.168.1.255,都会采用这条语句。也就是说,0表示检查,必须完全匹配,而255的话,就表示不进行检查。

  5、172.168.0.2 0.0.0.0,表示目的地址。在采用访问控制列表中,一般源地址与目的地址是成对出现的。因为网络管理员虽然不允许内部用户访问企业内部的FTP服务器,但是,有可能其允许访问其他的FTP服务器。所以,最好能够指定目的IP地址,以防止把一些正常访问的流量拒绝掉。

  6、eq 21,表示服务的端口好。我们都知道,在访问某个服务的时候,一般都是需要有协议类型与端口号才可以。如我们访问FTP服务器的时候,可能就是通过“FTP://192.168.0.2:21”进行访问。最后面的21就表示FTP服务器为这个服务所开的端口。所以,在配置扩展访问列表的时候,需要对各种服务的默认端口了如指掌。如端口23表示终端连接,25表示简单邮件传输协议,69表示普通文本传输协议等等。不过这些端口是系统默认的端口,而在实际工作中,有时会我们会为了安全方面的考虑,改变这些端口。如把FTP的端口21改为8000等等,这主要是为了让别人不能够破解FTP服务器。所以,针对这种情况的话,我们在配置访问控制列表的话,也需要注意。

  这种拒绝某种通信流量的设置,我们一般会在路由器上普遍采用。如我们都知道,在知道路由器管理员用户名与密码的情况下,可以把一些路由器的配置文件,如访问控制列表,通过普通文本传输协议,放到路由器上。所以,有时会为了确保其他人员无法使用路由器的普通文本传输协议,我们就会利用访问控制列表,禁止除了管理员以外的IP地址利用这个普通文本传输协议向路由器传输相关的配置文件。

  所以,Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21这条语句完整的意思就是,拒绝所有来自于192。168.1.0到192.168.01.255的IP地址访问192.168.0.2的FTP服务器。若FTP的服务器发生了变化的话,则这个访问列表的端口号也要进行相应的更改。不过,在上面文章中,我们谈到过对以标准访问控制列表来说,使不能直接在原有的访问控制列表中进行更改,而必须先把原有访问控制列表中的判断语句删除,然后重新建访问控制列表,并关联到相关的端口。这个规则,对于扩展访问控制列表来说,也是适用的。所以,对于配置扩展访问控制列表,我们也是建议现在管理员的主机上写好扩展访问控制列表,然后再通过简单文本传输协议把访问控制列表传到路由器上,再进行端口的关联动作。如此的话,可以提高访问控制列表配置的效率与准确性。

  另外要注意最后一条语句,Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255,这表示来自于192.168.1.0到192.168.1.255的IP地址的主机通信流量,可以畅通无阻的进行访问。这跟前面那条语句结合起来,就表示路由器只是拒绝了对FTP服务器21端口的访问而已。也就是说,我们此时仍然可以利用PING命令PING通FTP服务器,或者通过网上邻居找到这台服务器,只是不能够通过FTP工具访问这个服务器而已。

  在管理访问控制列表的时候,无论是标准型的访问控制列表,还是扩展型的访问控制列表,都需要注意一个问题就是即可以在路由器的进口,也可以在出口关联访问控制列表。不过,两者还是有一点区别。若在出口关联访问控制列表的时候,就意味着被允许的数据包将直接被发送出去,而被拒绝的数据包就会被阻塞。而若把访问控制列表关联到进口的话在,则被允许的数据包将进入路由器进行后续的处理,而被拒绝的数据包将直接被丢弃。这个进出口的差异,就引起了访问控制列表的另一个话题,就是该把访问控制列表放在进口好还是出口好。因为采用了访问控制列表之后,会让路由器多额外的开销,会对网络的性能造成一定的影响。而合理放置访问控制列表,可以把这个影响减少到最低。在后续的文章中,笔者将专门介绍如何来选择访问控制列表的放置问题。

  另外,在前面笔者在配置访问控制列表的时候,都是用数字对访问控制列表进行命名。但是,这个数字的话,明显不能够反映这个访问控制列表的实际作用。如时间长了,或者是前任的网络管理员留下来的访问控制列表,我们只是接手,光看这个101三个数字,我们怎么知道他到底实现了什么控制呢?所以,在访问控制列表管理机制中,路由器还提供了一个命名的访问控制列表。命名访问控制列表不仅可以形象的描述访问控制列表的功能,而且,他还有一些标准或者扩展访问列表没有的功能。如通过命名访问控制列表,如可以让网络管理员删除某个访问控制列表中不需要的判断语句。我们上面文章中说过,若是标准型或者扩展型访问控制列表,是不能够按照语句序号删除某个不需要的条件语句。而若采用命名的访问控制列表的话,则可以达到这个目的。具体该如何操作,请关注我后面的文章,笔者会给大家详细讲述如何使用命名的访问控制列表,以及其跟其他两种访问控制列表的优点。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

本文链接:http://shawntierney.com/fangwenkongzhiliebiao/125.html