第7章 ACL原理和基本配置

第第7 7章章 ACL ACL原理和基本配原理和基本配置置n要增要增强网网络安全性，网安全性，网络设备需要具需要具备控制某些控制某些访问或某些数据的能力。或某些数据的能力。nACL包包过滤是一种被广泛使用的网是一种被广泛使用的网络安全技安全技术。它使。它使用用ACL来来实现数据数据识别，并决定是，并决定是转发还是是丢弃弃这些数据包。些数据包。n由由ACL定定义的的报文匹配文匹配规则，还可以被其它需要可以被其它需要对数数据据进行区分的行区分的场合引用。合引用。引入nACL概述概述nACL包包过滤原理原理nACL分分类n配置配置ACL包包过滤nACL包包过滤的注意事的注意事项目录ACL概述lACL（Access Control List，访问控制列表）是用来实现数据包识别功能的lACL可以应用于诸多方面包过滤防火墙功能NAT（Network Address Translation，网络地址转换）QoS（Quality of Service，服务质量）的数据分类路由策略和过滤按需拨号nACL概述概述nACL包包过滤原理原理nACL分分类n配置配置ACL包包过滤nACL包包过滤的注意事的注意事项目录基于ACL的包过滤技术l对进出的数据包逐个过滤，丢弃或允许通过lACL应用于接口上，每个接口的出入双向分别过滤l仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤入方向入方向过滤入方向入方向过滤出方向出方向过滤出方向出方向过滤接口接口接口接口路由路由转发进程程入站包过滤工作流程匹配第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置入方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包进入转发流程NoNoNo检查默认规则设定出站包过滤工作流程匹配第一条规则数据包到达出接口匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置出方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包出站NoNoNo检查默认规则设定通配符掩码通配符掩通配符掩码含含义0.0.0.255只比只比较前前24位位0.0.3.255只比只比较前前22位位0.255.255.255只比只比较前前8位位l通配符掩码和IP地址结合使用以描述一个地址范围l通配符掩码和子网掩码相似，但含义不同0表示对应位须比较1表示对应位不比较通配符掩码的应用示例IP地址地址通配符掩通配符掩码表示的地址范表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24nACL概述概述nACL包包过滤原理原理nACL分分类n配置配置ACL包包过滤nACL包包过滤的注意事的注意事项目录ACL的标识l利用数字序号标识访问控制列表l可以给访问控制列表指定名称，便于维护访问控制列表的分控制列表的分类数字序号的范数字序号的范围基本基本访问控制列表控制列表20002999扩展展访问控制列表控制列表30003999基于基于二二层的的访问控制列表控制列表40004999用用户自定自定义的的访问控制列表控制列表基本ACLl基本访问控制列表只根据报文的源源IP地址地址信息制定规则接口接口接口接口从从1.1.1.0/24来的数据包不能通来的数据包不能通过从从2.2.2.0/28来的数据包可以通来的数据包可以通过DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分分组分分组高级ACLl高级访问控制列表根据报文的源源IP地址地址、目的目的IP地址地址、IP承承载的的协议类型型、协议特性等三、四三、四层信息信息制定规则接口接口接口接口从从1.1.1.0/24来，到来，到3.3.3.1的的TCP端口端口80去的数据包不能通去的数据包不能通过从从1.1.1.0/24来，到来，到2.2.2.1的的TCP端口端口23去的数据包可以通去的数据包可以通过DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分分组分分组二层ACL与用户自定义ACLl二层ACL根据报文的源源MAC地址地址、目的目的MAC地址地址、802.1p优先先级、二二层协议类型型等二层信息制定匹配规则l用户自定义ACL可以根据任意位置的任意字串任意位置的任意字串制定匹配规则报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。nACL概述概述nACL包包过滤原理原理nACL分分类n配置配置ACL包包过滤nACL包包过滤的注意事的注意事项目录ACL包过滤配置任务l启启动包包过滤防火防火墙功能，功能，设置默置默认的的过滤规则 l根据需要根据需要选择合适的合适的ACL分分类l创建正确的建正确的规则设置匹配条件设置合适的动作（Permit/Deny)l在路由器的接口上在路由器的接口上应用用ACL，并指明，并指明过滤报文的方向文的方向（入站（入站/出站）出站）启动包过滤防火墙功能l防火防火墙功能需要在路由器上启功能需要在路由器上启动后才能生效后才能生效l设置防火置防火墙的默的默认过滤方式方式系统默认的默认过滤方式是permit sysname firewall enable sysname firewall default permit|deny 配置基本ACLsysname acl number acl-numberl配置基本配置基本ACL，并指定，并指定ACL序号序号基本IPv4 ACL的序号取值范围为20002999sysname-acl-basic-2000 rule rule-id deny|permit fragment|logging|source sour-addr sour-wildcard|any|time-range time-name l定定义规则制定要匹配的源IP地址范围指定动作是permit或配置高级ACLl配置高配置高级IPv4ACL，并指定，并指定ACL序号序号高级IPv4 ACL的序号取值范围为30003999sysname-acl-adv-3000rule rule-id deny|permitprotocol destination dest-addr dest-wildcard|any|destination-port operator port1 port2 established|fragment|source sour-addr sour-wildcard|any|source-port operator port1 port2|time-rangetime-name sysname acl number acl-numberl定定义规则需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息指定动作是permit或配置二层ACLl配置二配置二层ACL，并指定，并指定ACL序号序号二层ACL的序号取值范围为40004999sysname-acl-ethernetframe-3000rule rule-id deny|permit cosvlan-pri|dest-mac dest-addr dest-mask|lsaplsap-code lsap-wildcard|source-mac sour-addr source-mask|time-range time-name sysnameaclnumberacl-numberl定定义规则需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息指定动作是permit或拒绝在接口上应用ACLl将ACL应用到接口上，配置的ACL包过滤才能生效l指明在接口上应用的方向是Outbound还是Inboundsysname-Serial2/0firewallpacket-filter acl-number|name acl-name inbound|outbound ACL包过滤显示与调试操作操作命令命令查看防火看防火墙的的统计信息信息displayfirewall-statisticsall|interfaceinterface-type interface-number查看以太网看以太网帧过滤情况的信息情况的信息displayfirewallethernet-frame-filterall|dlsw|interfaceinterface-type interface-number清除防火清除防火墙的的统计信息信息resetfirewall-statisticsall|interfaceinterface-type interface-number显示配置的示配置的IPv4ACL信息信息displayaclacl-number|all清除清除IPv4ACL统计信息信息resetaclcounteracl-number|all|nACL概述概述nACL包包过滤原理原理nACL分分类n配置配置ACL包包过滤nACL包包过滤的注意事的注意事项目录ACL规则的匹配顺序l匹配顺序指ACL中规则的优先级。lACL支持两种匹配顺序：配置顺序（config）：按照用户配置规则的先后顺序进行规则匹配自动排序（auto）：按照“深度优先”的顺序进行规则匹配，即地址范围小的规则被优先进行匹配l配置ACL的匹配顺序：sysnameaclnumberacl-number match-orderauto|不同匹配顺序导致结果不同接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分分组acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分分组acl number 2000 match-order auto rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 在网络中的正确位置配置ACL包过滤l尽可能在尽可能在靠近数据源靠近数据源的路由器接口上配置的路由器接口上配置ACL，以减少，以减少不必要的流量不必要的流量转发l高高级ACL应该在靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络l基本基本ACL过于靠近被过滤源的基本ACL可能阻止该源访问合法目的应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源高级ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTAl要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC acl number 3000RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound 基本ACL部署位置示例l要求要求PCA不能不能访问NetworkA和和NetworkB，但可以，但可以访问其他所有网其他所有网络PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTA firewall enableRTA acl number 2000RTA-acl-basic-2000 rule deny source 172.16.0.1 0RTA-Ethernet0/1 firewall packet-filter 2000 inbound 杭州华三通信技术有限公司结束语结束语谢谢大家聆听！谢谢大家聆听！30