標準訪問列表

---

簡介

網路安全是任何希望保護其資料和基礎設施免遭未授權訪問的組織的首要任務。網路威脅形式多樣，例如病毒、惡意軟體和駭客，制定全面的安全計劃以降低這些風險至關重要。

有效安全策略的一個關鍵組成部分是使用訪問控制列表 (ACL)。特別是，標準訪問列表是用於過濾網路流量的常用工具。

標準訪問列表的定義

標準訪問列表是一種 ACL，用於根據僅源 IP 地址過濾流量。之所以稱為“標準”，是因為它僅使用 IP 地址的前 8 位（或第一個八位位元組）來確定是否應允許或拒絕流量。

理解標準訪問列表

標準訪問列表是指一組用於根據源 IP 地址過濾或拒絕流量的條件。ACL 是一系列語句，這些語句將根據某些條件允許或拒絕傳入資料包。這種型別的訪問列表被稱為標準訪問列表，因為它僅根據源 IP 地址過濾流量。

標準訪問列表的基本概念

標準訪問列表的基本概念是，它可以用於根據源 IP 地址過濾流量。建立標準訪問列表時，我們首先指定要允許或拒絕的網路或主機，然後指定是要允許還是拒絕來自該特定網路或主機的流量。

可以使用標準訪問列表過濾的流量型別

標準訪問列表只能根據源 IP 地址過濾流量，而不能根據資料包中的任何其他欄位（例如目標 IP、埠號、協議型別等）進行過濾。因此，它非常適合根據特定網路或主機過濾流量。可以使用標準訪問列表過濾的流量型別示例包括

• 來自單個主機的流量

• 來自子網中一系列主機的流量

• 來自多個子網的流量

建立標準訪問列表

建立標準訪問列表的步驟

建立標準訪問列表可能是一個簡單的過程，但務必確保正確執行，以避免對網路流量或安全漏洞造成任何中斷。以下是建立標準訪問列表涉及的基本步驟

• 確定要過濾的網路流量：第一步是確定要阻止或允許哪些主機或網路流量。

  這可以基於 IP 地址、協議、埠號或這些的任何組合等因素。

• 確定所需的過濾型別：確定需要過濾的網路流量後，確定是要允許還是拒絕此流量。

• 選擇訪問列表編號：為訪問列表選擇一個合適的編號序列，使其對您的環境有意義並跟蹤順序。

• 進入配置模式：透過輸入“configure terminal”進入路由器的配置模式。

• 建立標準訪問列表：使用命令“access−list [number] [permit/deny] [source IP address/mask]”，其中 number 指示您選擇的編號序列，permit/deny 指定您是否要允許或阻止來自 source IP address/mask 的流量。

標準訪問列表的語法和格式

建立標準 ACL 的語法包括三個主要元件

• 訪問列表編號 (1−99/1300−1999)

• 允許/拒絕協議

• 源地址/掩碼 以下命令顯示了兩個不同的語法示例

Router(config)#access−list 10 deny host 192.0.2.10   

此示例建立了一個序列號為 10 的 ACL，拒絕來自主機 192.0.2.10 的所有流量

Router(config)#access−list 10 permit 192.168.1.0 0.0.0.255   

此示例建立了一個序列號為 10 的 ACL，允許來自網路地址 192.168.1.0（子網掩碼為 255.255.255.0）的所有流量。

重要的是要記住，建立標準 ACL 時，每個訪問列表編號只能使用一次“允許”或“拒絕”命令，並且一個訪問列表編號內不應重複 IP 地址，因為這可能會導致衝突，從而導致網路基礎設施上出現意外結果或流量阻塞。

應用標準訪問列表

建立標準訪問列表後，可以將其應用於介面或路由器。標準訪問列表可以應用於兩種方式

• 入站方向標準訪問列表可以應用於介面上的入站方向，這意味著從該介面進入路由器的流量將根據訪問列表規則進行過濾。

• 出站方向標準訪問列表也可以應用於介面上的出站方向，這意味著透過該介面離開路由器的流量將根據訪問列表規則進行過濾。

應用標準訪問列表時的限制和注意事項

雖然應用標準訪問列表提供了一定程度的網路安全保護並允許過濾不需要的流量，但在使用它時存在一些限制和注意事項。

• 位置：應用 ACL 的順序非常重要，因為 Cisco IOS 會根據裝置或路由器上配置的順序按順序逐個評估它們。

• 效能影響：如果在具有大量流量（資料包）的高速介面上存在過多的 ACL 或具有複雜規則的大型 ACL，則它們可能會嚴重影響路由器的效能。

• 拒絕合法流量的風險與防火牆相比，訪問列表拒絕合法流量的風險要高得多，因為訪問列表在 L3 和 L4 級別工作，而防火牆使用深度資料包檢測根據應用層協議和上下文做出明智的決策。

• 缺乏粒度標準訪問列表在過濾流量方面提供的粒度有限，因為它們只能根據源 IP 地址進行過濾。應用標準訪問列表時，管理員應注意這些限制和注意事項，以便做出最符合其網路安全需求的明智決策。

使用標準訪問列表的最佳實踐

配置和管理標準訪問列表的技巧

配置和管理標準訪問列表可能很棘手，但遵循最佳實踐可以幫助確保列表按預期工作。首先，務必為每個列表提供一個反映其用途的邏輯名稱。

這有助於避免在同一網路中使用多個列表時造成混淆。其次，在將其部署到生產網路之前，務必徹底測試每個列表。

使用標準訪問列表時應避免的常見錯誤

在使用標準訪問列表時，人們會犯一些常見的錯誤。其中一個錯誤是在每次想要限制來自或朝向某個 IP 地址、子網或埠範圍（例如）的訪問時都建立過於複雜的規則，如果處理不當，這可能會導致安全漏洞。

另一個錯誤是透過建立過多的規則來增加不必要的複雜性；這可能導致效能下降和流量路由問題。第三個錯誤來自錯誤配置，其中新建立的規則未正確新增到配置檔案中，從而導致連線問題。

結論

標準訪問列表是任何網路管理員或安全專業人員的關鍵工具。這些列表允許根據源 IP 地址過濾流量，這可以防止未經授權的訪問並幫助降低潛在的安全威脅。

通過了解建立和應用標準訪問列表的基礎知識，網路管理員可以保護其網路免受惡意活動的影響。標準訪問列表提供了一種簡單的方法來過濾流量，同時還允許輕鬆管理網路資源。