網管人員基礎必知 資訊安全防護與存取控制

基本上，存取控制清單分為以下兩種類型：

• 標準型存取控制清單
• 延伸型存取控制清單

檢查網路封包的條件（Criteria）

標準型存取控制清單與延伸型存取控制清單最大的不同就在於，標準型會檢查網路封包的來源IP位址，而延伸型存取控制清單則會檢查網路封包的來源IP位址和目的地IP位址。

所能處理的網路協定

標準型存取控制清單只能針對所有的網路協定來做處理，並不能針對特定的網路協定指定允許或拒絕的動作處理，但是延伸型存取控制清單能夠針對特定的網路協定進行處置。由此看來，延伸型的存取控制清單的能力比較強大，能夠設定的比較多。

表1 通訊埠及其所對應的網路服務

延伸型存取控制清單中的規則，除了可以指定網路協定外，還能夠在協定後面加上埠的編號，以便指明要套用在怎樣的埠之網路封包。一般而言，網路管理人員都會指明比較常見的埠編號（Well Known Ports），表1列出一些常見的埠編號及其所對應的網路服務。

存取控制清單的識別碼範圍

存取控制清單中，每一條規則都有其特定的識別碼（ID），以便於辨識每一條專屬的存取控制規則，不過標準型存取控制清單和延伸型存取控制清單所使用的識別碼範圍不同。

標準型存取控制清單的識別碼範圍是從1到99以及1300到1999之間，而延伸型存取控制清單的識別碼範圍則是從100到199以及2000到2699。由此可以看出，標準型存取控制清單所能設定的規則數目共有799個，而延伸型存取控制清單所能設定的規則數目一樣也是799個，但是所使用的識別碼範圍是不同的。表2是針對這兩種存取控制清單識別碼的整理。

表2 存取控制清單的識別碼範圍

設定標準型存取控制清單的步驟

這裡介紹比較簡單的標準型存取控制清單，說明如何透過指令來設定，而所介紹的指令分成以下幾個部分：

1. 增加一筆存取控制規則的指令
2. 刪除特定一筆存取控制規則的指令
3. 將特定存取控制規則套用到某介面上的指令
4. 刪除已經套用在介面上的規則的指令

這些步驟是一般設定標準型存取控制清單的步驟，與虛擬終端介面並沒有直接關連，因此這些步驟同時適用於所有介面。

增加一筆存取控制規則

基本的設定語法格式如下所示：

由於這裡要設定的是標準型存取控制清單，所以存取控制規則的識別碼範圍為1到99之間，而mask指的是字元遮罩，這個字元遮罩可輸入也可忽略，若沒有輸入字元遮罩，預設值是0.0.0.0。

字元遮罩是用來指定一個以上的位址，不過不同的是，在存取控制清單中，位元值為0代表符合（Match）目前這個位元值所對應的位址值，而位元值為1代表忽略（Ignore）。這點與子網路遮罩剛好是相反的，在子網路遮罩中，位元值為0代表忽略，位元值為1則代表要符合。

剛剛提過這裡字元遮罩的預設值是0.0.0.0，因此代表要符合前面輸入的IP位址的每一個位元才能套用這個存取控制規則。

所以，假設要在某台Cisco路由器設備上增加一筆存取控制規則，是可用來允許10.1.152.43這台機器所發送過來的網路封包，則設定指令如下所示：

由此可以看出，這裡將這條規則的識別碼設定為「46」。

刪除一筆存取控制規則

若要刪除某一筆存取控制規則，其指令格式如下：

這是標準的反向操作指令，在Cisco IOS中很多指令的反向操作通常都只是在原本指令的前面加上no關鍵字。所以，若要刪除剛剛上面所增加的存取控制規則，只要執行以下指令即可：

套用存取控制規則到介面上

準備好存取控制規則之後，接下來就是把所設定好的存取控制規則套用到介面上，其指令格式如下：

為了要設定到某個介面上，第一步必須先進入特定介面的Interface Mode底下，所以讀者可以看到上面的指令的模式是必須在(config-if)底下才能執行。ip access-group是關鍵字，後面只要接上存取控制規則的識別碼，然後指定要套用在inbound或是outbound。方向的選擇也可以不指定，若不指定的話，預設只會套用在outbound方向上。

移除已經套用在某介面上的規則

這裡的作法其實也是類似，只要執行反向指令即可。原本要把規則套用在某個介面上的指令是ip access-group，因此若要將這條規則從介面上移除，只要在原本的指令前面加上no關鍵字即可，如下所示：

以上就是透過存取控制清單來提升網路安全的作法，當然還會有很多其他技術細節需要注意，之後會陸陸續續為各位介紹。

＜本文作者：胡凱智，目前在美商Mozilla擔任資深全球專案經理，曾於趨勢科技任職七年多，有兩年美國矽谷工作經驗，在美國專利局擁有軟體專利。讀者可在其部落格獲取更多網路知識及交流建議：http://tw.myblog.yahoo.com/kaichih-hu＞