标准访问列表

---

简介

网络安全是任何希望保护其数据和基础设施免遭未授权访问的组织的首要任务。网络威胁形式多样，例如病毒、恶意软件和黑客，制定全面的安全计划以降低这些风险至关重要。

有效安全策略的一个关键组成部分是使用访问控制列表 (ACL)。特别是，标准访问列表是用于过滤网络流量的常用工具。

标准访问列表的定义

标准访问列表是一种 ACL，用于根据仅源 IP 地址过滤流量。之所以称为“标准”，是因为它仅使用 IP 地址的前 8 位（或第一个八位字节）来确定是否应允许或拒绝流量。

理解标准访问列表

标准访问列表是指一组用于根据源 IP 地址过滤或拒绝流量的条件。ACL 是一系列语句，这些语句将根据某些条件允许或拒绝传入数据包。这种类型的访问列表被称为标准访问列表，因为它仅根据源 IP 地址过滤流量。

标准访问列表的基本概念

标准访问列表的基本概念是，它可以用于根据源 IP 地址过滤流量。创建标准访问列表时，我们首先指定要允许或拒绝的网络或主机，然后指定是要允许还是拒绝来自该特定网络或主机的流量。

可以使用标准访问列表过滤的流量类型

标准访问列表只能根据源 IP 地址过滤流量，而不能根据数据包中的任何其他字段（例如目标 IP、端口号、协议类型等）进行过滤。因此，它非常适合根据特定网络或主机过滤流量。可以使用标准访问列表过滤的流量类型示例包括

• 来自单个主机的流量

• 来自子网中一系列主机的流量

• 来自多个子网的流量

创建标准访问列表

创建标准访问列表的步骤

创建标准访问列表可能是一个简单的过程，但务必确保正确执行，以避免对网络流量或安全漏洞造成任何中断。以下是创建标准访问列表涉及的基本步骤

• 确定要过滤的网络流量：第一步是确定要阻止或允许哪些主机或网络流量。

  这可以基于 IP 地址、协议、端口号或这些的任何组合等因素。

• 确定所需的过滤类型：确定需要过滤的网络流量后，确定是要允许还是拒绝此流量。

• 选择访问列表编号：为访问列表选择一个合适的编号序列，使其对您的环境有意义并跟踪顺序。

• 进入配置模式：通过输入“configure terminal”进入路由器的配置模式。

• 创建标准访问列表：使用命令“access−list [number] [permit/deny] [source IP address/mask]”，其中 number 指示您选择的编号序列，permit/deny 指定您是否要允许或阻止来自 source IP address/mask 的流量。

标准访问列表的语法和格式

创建标准 ACL 的语法包括三个主要组件

• 访问列表编号 (1−99/1300−1999)

• 允许/拒绝协议

• 源地址/掩码 以下命令显示了两个不同的语法示例

Router(config)#access−list 10 deny host 192.0.2.10   

此示例创建了一个序列号为 10 的 ACL，拒绝来自主机 192.0.2.10 的所有流量

Router(config)#access−list 10 permit 192.168.1.0 0.0.0.255   

此示例创建了一个序列号为 10 的 ACL，允许来自网络地址 192.168.1.0（子网掩码为 255.255.255.0）的所有流量。

重要的是要记住，创建标准 ACL 时，每个访问列表编号只能使用一次“允许”或“拒绝”命令，并且一个访问列表编号内不应重复 IP 地址，因为这可能会导致冲突，从而导致网络基础设施上出现意外结果或流量阻塞。

应用标准访问列表

创建标准访问列表后，可以将其应用于接口或路由器。标准访问列表可以应用于两种方式

• 入站方向标准访问列表可以应用于接口上的入站方向，这意味着从该接口进入路由器的流量将根据访问列表规则进行过滤。

• 出站方向标准访问列表也可以应用于接口上的出站方向，这意味着通过该接口离开路由器的流量将根据访问列表规则进行过滤。

应用标准访问列表时的限制和注意事项

虽然应用标准访问列表提供了一定程度的网络安全保护并允许过滤不需要的流量，但在使用它时存在一些限制和注意事项。

• 位置：应用 ACL 的顺序非常重要，因为 Cisco IOS 会根据设备或路由器上配置的顺序按顺序逐个评估它们。

• 性能影响：如果在具有大量流量（数据包）的高速接口上存在过多的 ACL 或具有复杂规则的大型 ACL，则它们可能会严重影响路由器的性能。

• 拒绝合法流量的风险与防火墙相比，访问列表拒绝合法流量的风险要高得多，因为访问列表在 L3 和 L4 级别工作，而防火墙使用深度数据包检测根据应用层协议和上下文做出明智的决策。

• 缺乏粒度标准访问列表在过滤流量方面提供的粒度有限，因为它们只能根据源 IP 地址进行过滤。应用标准访问列表时，管理员应注意这些限制和注意事项，以便做出最符合其网络安全需求的明智决策。

使用标准访问列表的最佳实践

配置和管理标准访问列表的技巧

配置和管理标准访问列表可能很棘手，但遵循最佳实践可以帮助确保列表按预期工作。首先，务必为每个列表提供一个反映其用途的逻辑名称。

这有助于避免在同一网络中使用多个列表时造成混淆。其次，在将其部署到生产网络之前，务必彻底测试每个列表。

使用标准访问列表时应避免的常见错误

在使用标准访问列表时，人们会犯一些常见的错误。其中一个错误是在每次想要限制来自或朝向某个 IP 地址、子网或端口范围（例如）的访问时都创建过于复杂的规则，如果处理不当，这可能会导致安全漏洞。

另一个错误是通过创建过多的规则来增加不必要的复杂性；这可能导致性能下降和流量路由问题。第三个错误来自错误配置，其中新创建的规则未正确添加到配置文件中，从而导致连接问题。

结论

标准访问列表是任何网络管理员或安全专业人员的关键工具。这些列表允许根据源 IP 地址过滤流量，这可以防止未经授权的访问并帮助降低潜在的安全威胁。

通过了解创建和应用标准访问列表的基础知识，网络管理员可以保护其网络免受恶意活动的影响。标准访问列表提供了一种简单的方法来过滤流量，同时还允许轻松管理网络资源。