访问控制列表 企业网络管理的必杀技(三)

　　扩展访问控制列表比标准访问控制列表提供了更广阔的控制范围，其灵活性也比标准访问控制列表要高的多。在实际工作中，很少有网络管理员会简单的采用标准访问控制列表，而基本上是采用扩展型的访问控制列表，来对通过路由器的部分数据流量进行过滤。如我们有时候只允许来自于外部的EMAIL通信流量进入企业网络，而其他的通信流量，如FTP、WEB等等，路由器都要把他们挡在门外，此时，就可以通过扩展型的访问控制列表来实现。扩展访问控制列表提供了很多的控制关口，如源地址、目标地址、协议类型、端口号等等，这种扩展后所带来的功能，可以实现网络管理员对网络访问进行复杂控制的要求，而不再是简单的只根据IP地址进行控制。废话不说了，我们先来看一个扩展访问控制列表的实例，看看其到底有什么神秘的地方。

　　案例二：拒绝企业内部某个用户访问FTP服务器

　　假设现在企业内部有一台主机A，其IP地址为192.168.1.10。而路由器上有一台FTP服务器B，其IP地址为192.168.0.2。现在企业为了FTP服务器的安全，只有经过授权的用户才能够访问这台FTP服务器。一般来说，这台FTP服务器是为业务部门准备的，默认情况下，只要业务员可以访问这台FTP服务器。

　　针对这种情况，该如何配置访问控制列表呢?

　　Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21

　　Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255

　　要拒绝某个协议类型的数据流量，若依靠标准的访问控制列表是达到这个目标的。一般来说，标准的访问控制列表之能够简单的对IP地址进行数据流量的过滤，也就是说，其要么允许全部的数据包通过，要么就是拒绝所有的数据包。而现在若采用扩展的访问控制列表，则可以根据数据包的协议来类型来实现对部门数据包进行过滤，对部分数据包放行。

　　下面笔者对以上的访问控制列表条件语句作一些必要的说明

　　1、访问控制列表标号。在上面一篇文章中，笔者谈到，为了管理的方便，访问控制列表规定，用数字1到99来表示标准的访问控制列表;而100到199用来表示扩展的访问控制列表。而这边数字“101”就表示这个访问控制列表是一个扩展型的访问控制列表。

　　2、关键字deny与permit。这两个关键字，顾名思义，就是表示拒绝某个流量还是允许某个流量通过路由器。这里要注意一个书写的顺序。在一般情况下，都把拒绝的语句，而就是deny语句放在前头，而把拒绝的语句放在后面。因为访问控制列表示从头到脚对这些语句进行判断，若前面一条语句满足的话，则后续的将都不会被判断。所以，一般要把拒绝的条件语句放在前面。具体的例子在上篇文章中笔者已经详细介绍过，这里就不再过过多的叙述了。

　　3、tcp表示一种传输层的协议。若想要使用扩展型的访问控制列表，则一定要对传输层的各种访问协议有清晰的认识，否则的话，配置访问控制列表的时候，就有点束手束脚的了。

　　4、192.168.1.0 0.0.0.255，表示对那些IP地址进行这个拒绝操作。这两组数字是配套使用的。后面的0.0.0.255表示对IP地址的前三位进行检查，而对最后一位不进行检查。如此的话，结合前面的IP地址，也就表示IP地址前面三位为192.168.1的IP地址，后面不管是什么，从192.168.1.0到192.168.1.255，都会采用这条语句。也就是说，0表示检查，必须完全匹配，而255的话，就表示不进行检查。

　　5、172.168.0.2 0.0.0.0，表示目的地址。在采用访问控制列表中，一般源地址与目的地址是成对出现的。因为网络管理员虽然不允许内部用户访问企业内部的FTP服务器，但是，有可能其允许访问其他的FTP服务器。所以，最好能够指定目的IP地址，以防止把一些正常访问的流量拒绝掉。

　　6、eq 21，表示服务的端口好。我们都知道，在访问某个服务的时候，一般都是需要有协议类型与端口号才可以。如我们访问FTP服务器的时候，可能就是通过“FTP：//192.168.0.2:21”进行访问。最后面的21就表示FTP服务器为这个服务所开的端口。所以，在配置扩展访问列表的时候，需要对各种服务的默认端口了如指掌。如端口23表示终端连接，25表示简单邮件传输协议，69表示普通文本传输协议等等。不过这些端口是系统默认的端口，而在实际工作中，有时会我们会为了安全方面的考虑，改变这些端口。如把FTP的端口21改为8000等等，这主要是为了让别人不能够破解FTP服务器。所以，针对这种情况的话，我们在配置访问控制列表的话，也需要注意。

　　这种拒绝某种通信流量的设置，我们一般会在路由器上普遍采用。如我们都知道，在知道路由器管理员用户名与密码的情况下，可以把一些路由器的配置文件，如访问控制列表，通过普通文本传输协议，放到路由器上。所以，有时会为了确保其他人员无法使用路由器的普通文本传输协议，我们就会利用访问控制列表，禁止除了管理员以外的IP地址利用这个普通文本传输协议向路由器传输相关的配置文件。

　　所以，Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21这条语句完整的意思就是，拒绝所有来自于192。168.1.0到192.168.01.255的IP地址访问192.168.0.2的FTP服务器。若FTP的服务器发生了变化的话，则这个访问列表的端口号也要进行相应的更改。不过，在上面文章中，我们谈到过对以标准访问控制列表来说，使不能直接在原有的访问控制列表中进行更改，而必须先把原有访问控制列表中的判断语句删除，然后重新建访问控制列表，并关联到相关的端口。这个规则，对于扩展访问控制列表来说，也是适用的。所以，对于配置扩展访问控制列表，我们也是建议现在管理员的主机上写好扩展访问控制列表，然后再通过简单文本传输协议把访问控制列表传到路由器上，再进行端口的关联动作。如此的话，可以提高访问控制列表配置的效率与准确性。

　　另外要注意最后一条语句，Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255，这表示来自于192.168.1.0到192.168.1.255的IP地址的主机通信流量，可以畅通无阻的进行访问。这跟前面那条语句结合起来，就表示路由器只是拒绝了对FTP服务器21端口的访问而已。也就是说，我们此时仍然可以利用PING命令PING通FTP服务器，或者通过网上邻居找到这台服务器，只是不能够通过FTP工具访问这个服务器而已。

　　在管理访问控制列表的时候，无论是标准型的访问控制列表，还是扩展型的访问控制列表，都需要注意一个问题就是即可以在路由器的进口，也可以在出口关联访问控制列表。不过，两者还是有一点区别。若在出口关联访问控制列表的时候，就意味着被允许的数据包将直接被发送出去，而被拒绝的数据包就会被阻塞。而若把访问控制列表关联到进口的话在，则被允许的数据包将进入路由器进行后续的处理，而被拒绝的数据包将直接被丢弃。这个进出口的差异，就引起了访问控制列表的另一个话题，就是该把访问控制列表放在进口好还是出口好。因为采用了访问控制列表之后，会让路由器多额外的开销，会对网络的性能造成一定的影响。而合理放置访问控制列表，可以把这个影响减少到最低。在后续的文章中，笔者将专门介绍如何来选择访问控制列表的放置问题。

　　另外，在前面笔者在配置访问控制列表的时候，都是用数字对访问控制列表进行命名。但是，这个数字的话，明显不能够反映这个访问控制列表的实际作用。如时间长了，或者是前任的网络管理员留下来的访问控制列表，我们只是接手，光看这个101三个数字，我们怎么知道他到底实现了什么控制呢?所以，在访问控制列表管理机制中，路由器还提供了一个命名的访问控制列表。命名访问控制列表不仅可以形象的描述访问控制列表的功能，而且，他还有一些标准或者扩展访问列表没有的功能。如通过命名访问控制列表，如可以让网络管理员删除某个访问控制列表中不需要的判断语句。我们上面文章中说过，若是标准型或者扩展型访问控制列表，是不能够按照语句序号删除某个不需要的条件语句。而若采用命名的访问控制列表的话，则可以达到这个目的。具体该如何操作，请关注我后面的文章，笔者会给大家详细讲述如何使用命名的访问控制列表，以及其跟其他两种访问控制列表的优点。