眾所周知,防火牆可以透過設定來控制所通過的網路封包,以便於決定何種網路協定或何種埠的封包能夠通過,甚至可設定哪些來源端或目的地端套用這樣的設定。防火牆就是由許多這樣的規則所組成,以增加網路的安全性,而Cisco網路設備也可以提供這樣的功能,本文將示範如何設定Cisco路由器來當作網路防火牆。
沒有使用存取控制清單的流程看起來其實並不複雜。接著,說明所謂的Outbound存取控制清單的運作流程,如下圖所示。
 |
| ▲Outbound存取控制清單的運作流程。 |
Outbound存取控制清單的運作流程看起來有點複雜,但其實並不是如此。Outbound存取控制清單最主要的重點是「存取控制清單的規則是,當網路封包在準備要由Outbound介面出去的時候才進行處理」。
相反地,Inbound存取控制清單就是在Inbound介面取得網路封包時,先套用存取控制清單以便決定是否做進一步的動作,其中最大的差異就是動作的順序性。Inbound存取控制清單的運作流程,如下圖所示。
 |
| ▲Inbound存取控制清單的運作流程。 |
由以上的流程圖可以看出,Inbound存取控制清單的運作方式和Outbound存取控制清單運作方式的不同點,只在於「套用存取控制清單」和「查詢路由表格」的順序差異。
不過,若嚴格比較的話,Inbound存取控制清單可能會擁有比較好的效能,因為若先套用存取控制清單,再決定是否查詢路由表格,可以大幅縮短路由表格查詢的時間。
除此之外,符合規則的方式其實也和防火牆類似,一般存取控制清單都有許多規則,而每一個網路流量也可能符合存取控制清單中一條以上的規則,但在決定使用哪一條規則時,是由第一條規則開始嘗試,一旦找到第一條符合的規則,就直接套用其符合的規則,也就是所謂的「First Match」。
換句話說,假設存取控制清單中第一條規則是「允許TCP協定23埠的網路封包」,但是後面的規則可能為「拒絕TCP協定23埠的網路封包」,且因為在套用規則時,會先找到一條規則,所以最終結果是「允許TCP協定23埠的網路封包」。如果一直到最後,存取控制清單中都找不到符合的規則,則預設就會拒絕這個網路封包。
字元遮罩的使用方式
除了了解上面這些知識外,在存取控制清單內,位址的部分可以使用字元遮罩來指定一個以上的位址,這也是在設定前必須先了解的。不過,在存取控制清單中的字元遮罩,位元值為0代表符合(Match)目前這個位元值所對應的位址值,而位元值為1代表忽略(Ignore)。這一點與子網路遮罩剛好相反,在子網路遮罩中,位元值為0代表忽略(Ignore),而位元值為1則代表要符合(Match)。
舉例來說,如果存取控制清單中規則的位址部分是「192.168.10.55 0.0.0.0」,則代表一定要完整符合192.168.10.55這樣的位址才能套用這個規則,因為這裡的字元遮罩是0.0.0.0,表示要檢查並且符合位址中每一個位元值。
若想要將存取控制清單的某個規則套用到192.168.0.1?192.168.0.255,則位址中最後一個位元組可以完全忽略,所以存取控制清單規則中的位址可以是「192.168.0.0 0.0.0.255」。
設定存取控制清單
設定存取控制清單的指令其實並不複雜,以下就來詳細介紹。設定存取控制清單大致上分為兩個步驟:
步驟一:準備存取控制規則
顧名思義,這個步驟就是先把存取控制清單中的規則準備好,其設定指令的格式如下所示:
一開始的access-list是保留字,接著的number指的是存取控制規則的識別碼,由使用者自行指定。而permit和deny是保留字,兩者選擇其一,代表若符合這筆規則時,要如何處置相對應的網路封包。最後的test condition則代表所要符合的條件為何,這裡可以指定多個符合條件。
步驟二:在介面上套用存取控制規則
接下來必須選擇所要套用的介面,然後在介面上決定要套用哪一條已經設定好的存取控制規則。由於存取控制規則要套用在介面上,所以進行這樣的設定動作時要先進入某個介面的Interface Mode。
Cisco路由器的設定模式具有User Mode和Privileged Mode,也有Global Configuration Mode,此外,在Global Configuration Mode之下還有以下五種設定模式:
1. Interface Mode
2. Sub-interface Mode
3. Controller Mode
4. Line Mode
5. Router Mode
Interface Mode是用來設定每個介面的設定值,和Switch一樣,它的提示符號為: