善用存取控制 提升虛擬終端安全

在存取控制清單中，每一條規則都有其特定的識別碼（ID），以便於辨識每一條專屬的存取控制規則，不過，標準型存取控制清單和延伸型存取控制清單所使用的識別碼範圍不同。

標準型存取控制清單的識別碼範圍是從1到99以及1300到1999之間，而延伸型存取控制清單的識別碼範圍則從100到199以及2000到2699之間。

由此可以看出，標準型存取控制清單所能設定的規則數目共有799個，而延伸型存取控制清單能夠設定的規則數目一樣也是799個，但是所使用的識別碼範圍不同。

標準型及延伸型存取控制清單之識別碼

設定標準型存取控制清單的步驟

這裡介紹比較簡單的標準型存取控制清單，以下介紹如何透過指令來設定，這些指令分為以下幾個部分：

1. 增加一筆存取控制規則的指令
2. 刪除特定一筆存取控制規則的指令
3. 將特定存取控制規則套用到某個介面上的指令
4. 刪除已套用在介面上的規則的指令

這些步驟是一般設定標準型存取控制清單的步驟，與虛擬終端介面並沒有直接關連，因此這些步驟同時適用於所有介面。

增加一筆存取控制規則

基本的設定語法格式如下所示：

由於這裡設定的是標準型存取控制清單，所以存取控制規則的識別碼範圍為1到99之間，而mask指的是字元遮罩，這個字元遮罩可輸入也可忽略，若沒有輸入字元遮罩，預設值為0.0.0.0。

字元遮罩是用來指定一個以上的位址，不過不同的是，在存取控制清單中，位元值為0代表符合（Match）目前這個位元值所對應的位址值，而位元值為1則代表忽略（Ignore）。

這一點與子網路遮罩剛好相反，在子網路遮罩中，位元值為0代表忽略，而位元值為1則代表要符合。

剛剛提到，此處字元遮罩的預設值是0.0.0.0，所以代表要符合前面輸入之IP位址的每一個位元，才能套用這個存取控制規則。

假設要在某台Cisco路由器設備上增加一筆存取控制規則，是可用來允許10.1.152.43這台機器所發送過來的網路封包，則設定指令如下所示。由此可以看出，這裡將這條規則的識別碼設定為46。

刪除一筆存取控制規則

若要刪除某一筆存取控制規則，其指令格式如下所示：

可以發現這是標準的反向操作指令，在Cisco IOS上，很多指令的反向操作通常都只是在原本指令的前面加上no關鍵字。

所以，假設要刪除剛剛上面所增加的存取控制規則，只要執行以下指令即可：

套用存取控制規則到介面上

準備好存取控制規則之後，接下來把所設定好的存取控制規則套用到介面上，該指令格式如下：

為了要設定到某個介面上，第一步就是要先進入特定介面的Interface Mode底下，所以讀者可以看到上面的指令模式是必須在(config-if)底下才能執行。

ip access-group是關鍵字，後面只要接上存取控制規則的識別碼，然後指定要套用在inbound或outbound。方向的選擇也可以不指定，若不指定，預設只會套用在outbound方向上。

移除已套用在某介面上的規則

這裡的做法其實也是類似，只要執行反向指令即可。原本要把規則套用在某個介面上的指令是ip access-group，因此，若要將這條規則從介面上移除，其指令只要在原本的指令前面加上no關鍵字即可，指令如下所示：

在虛擬終端介面上使用存取控制清單

就虛擬終端介面而言，所可能的存取控制行為都會使用Telnet協定，如果使用存取控制清單來控制虛擬終端介面的存取控制行為，可以直接想到的，就是使用延伸型存取控制清單，因為只有延伸型存取控制清單才能夠指定到細部的網路協定。

先來看一下標準型存取控制清單和延伸型存取控制清單有哪些地方不同：

1. 檢查網路封包的條件（Criteria）
2. 所能處理的網路協定
3. 存取控制清單的識別碼範圍

標準型存取控制清單與延伸型存取控制清單最大的不同在於，標準型會檢查網路封包的來源IP位址，而延伸型存取控制清單則是檢查網路封包的來源IP位址及目的地IP位址。

除此之外，標準型存取控制清單只能針對所有的網路協定來做處理，不能針對特定的網路協定指定允許或拒絕的動作處理，但是延伸型存取控制清單可以針對特定的網路協定做處置。

由此看來，延伸型的存取控制清單的能力比較強大，能設定的東西比較多。因此，一般會認為應該使用延伸型存取控制清單。

然而，事實上，只要採用標準型存取控制清單即可，因為一般的做法都只需要過濾連線到虛擬終端介面的來源端IP位址，對於這一點，標準型存取控制清單已經足夠，不然，其他的網路封包沒事也不會送到虛擬終端介面，所以其實不太需要限制網路協定到Telnet。