防火墙与访问控制列表课件

辽东学院信息技术学院厉 鹏防火墙与访问控制列表防火墙与访问控制列表防火墙与访问控制列表防火墙与访问控制列表辽东学院信息技术学院学习目标学习目标学习目标学习目标l理解理解ACL/ACL/包过滤防火墙的工作原理包过滤防火墙的工作原理l掌握防火墙的配置方法掌握防火墙的配置方法l理解访问控制列表的基本原理理解访问控制列表的基本原理l掌掌握握标标准准和和扩扩展展访访问问控控制制列列表表的的配配置方法置方法学习完本课程，您应该能够：学习完本课程，您应该能够：辽东学院信息技术学院ACL/ACL/ACL/ACL/包过滤防火墙简介包过滤防火墙简介包过滤防火墙简介包过滤防火墙简介ACL/包过滤概述ACL/包过滤应用在路由器中，就为路由器增加了对数据包的过滤功能。ACL/包过滤实现对IP 数据包的过滤，对路由器需要转发的数据包，先获取数据包的包头信息，包括IP 层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口和目的端口等，然后和设定的ACL 规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。辽东学院信息技术学院防火墙示意图防火墙示意图防火墙示意图防火墙示意图Internet公司总部内部网络未授权用户办事处l对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。辽东学院信息技术学院路由器实现防火墙功能路由器实现防火墙功能路由器实现防火墙功能路由器实现防火墙功能IP报文转发机制IP PacketIP Packet网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作:丢弃或转发由规则决定报文转发动作:丢弃或转发辽东学院信息技术学院访问控制列表概述访问控制列表概述访问控制列表概述访问控制列表概述 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。访问控制列表是由permit|deny 语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。辽东学院信息技术学院访问控制列表是什么？访问控制列表是什么？访问控制列表是什么？访问控制列表是什么？l一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头报头TCP/UDP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则辽东学院信息技术学院访问控制列表的作用访问控制列表的作用访问控制列表的作用访问控制列表的作用l访问控制列表可以用于防火墙；l访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制；l在DCC中，访问控制列表还可用来规定触发拨号的条件；l访问控制列表还可以用于地址转换；l在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。辽东学院信息技术学院访问控制列表的分类访问控制列表的分类访问控制列表的分类访问控制列表的分类 按照访问控制列表的用途，可以分为四类：基本的访问控制列表（basic acl）高级的访问控制列表（advanced acl）基于接口的访问控制列表（interface-based acl）基于MAC 的访问控制列表（mac-based acl）访问控制列表的使用用途是依靠数字的范围来指定的，10001999 是基于接口的访问控制列表，20002999 范围的数字型访问控制列表是基本的访问控制列表，30003999 范围的数字型访问控制列表是高级的访问控制列表，40004999 范围的数字型访问控制列表是基于MAC 地址访问控制列表。辽东学院信息技术学院访问控制列表的匹配顺序访问控制列表的匹配顺序访问控制列表的匹配顺序访问控制列表的匹配顺序 一个访问控制列表可以由多条“permit|deny”语句组成，每一条语句描述的规则是不相同，这些规则可能存在重复或矛盾的地方，在将一个数据包和访问控制列表的规则进行匹配的时候，到底采用哪些规则呢？就需要确定规则的匹配顺序。有两种匹配顺序：配置顺序 自动排序配置顺序，是指按照用户配置ACL 的规则的先后进行匹配。自动排序使用“深度优先”的原则。辽东学院信息技术学院“深度优先深度优先”规则规则 “深度优先”规则是把指定数据包范围最小的语句排在最前面。可以通过比较地址的通配符来实现，通配符越小，指定的主机的范围就越小。例：129.102.1.1 0.0.0.0 指定了一台主机：129.102.1.1，而129.102.1.1 0.0.255.255 指定了网段：129.102.1.1129.102.255.255，显然前者在访问控制规则中排在前面。具体标准：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。使用display acl 命令就可以看出是哪条规则首先生效。显示时，列在前面的规则首先生效。辽东学院信息技术学院访问控制列表的组合访问控制列表的组合访问控制列表的组合访问控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。l规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较rule deny 202.38.0.0 0.0.255.255 rule permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主 机（202.38.160.0）的访问。l规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。辽东学院信息技术学院访问控制列表的创建访问控制列表的创建 一个访问控制列表是由permit|deny 语句组成的一系列的规则列表，若干个规则列表构成一个访问控制列表。在配置访问控制列表的规则之前，首先需要创建一个访问控制列表。可以使用如下命令创建一个访问控制列表：acl number acl-number match-order config|auto 使用如下的命令删除一个或所有的访问控制列表：undo acl number acl-number|all 辽东学院信息技术学院访问控制列表的创建访问控制列表的创建参数说明：number acl-number：定义一个数字型的ACL。acl-number：访问控制规则序号。10001999 是基于接口的访问控制列表，20002999 范围的数字型访问控制列表是基本的访问控制列表，30003999范围的数字型访问控制列表是高级的访问控制列表，40004999 是基于MAC地址的访问控制列表。match-order config：指定匹配该规则时按用户的配置顺序。match-order auto：指定匹配该规则时系统自动排序，即按“深度优先”的顺序。all：删除所有配置的ACL。辽东学院信息技术学院访问控制列表的创建访问控制列表的创建 缺省情况下匹配顺序为按用户的配置排序，即“config”。用户一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序，除非把该ACL 的内容全部删除，再重新指定其匹配顺序。创建了一个访问控制列表之后，将进入ACL 视图，ACL 视图是按照访问控制列表的用途来分类的，例如创建了一个数字编号为3000 的数字型ACL，将进入高级ACL视图，路由器的提示符如下所示：Quidway-acl-adv-3000进入了ACL 视图之后，就可以配置ACL 的规则了。对于不同的ACL，其规则是不一样的，具体的各种ACL 的规则的配置方法将在后面小节分别介绍。辽东学院信息技术学院基本访问控制列表基本访问控制列表 基本访问控制列表只能使用源地址信息，做为定义访问控制列表的规则的元素。通过上面小节介绍的acl 命令，可以创建一个基本的访问控制列表，同时进入基本访问控制列表视图，在基本访问控制列表视图下，可以创建基本访问控制列表的规则。可以使用如下的命令定义一个基本访问控制列表的规则：rulerule rule-id permitpermit|deny deny sourcesource sour-addr sour-wildcard|anyany time-rangetime-range time-name logging logging fragment fragment vpn-instancevpn-instance vpn-instance-name 辽东学院信息技术学院基本访问控制列表基本访问控制列表参数说明：rule-id：可选参数，ACL 规则编号，范围为065534。当指定了编号，如果与编号对应的ACL 规则已经存在，则会使用新定义的规则覆盖旧的定义，相当于编辑一个已经存在的ACL 的规则。如果与编号对应的ACL 规则不存在，则使用指定的编号创建一个新的规则。如果不指定编号，表示增加一个新规则，系统自动会为这个ACL 规则分配一个编号，并增加新规则。permitpermit：通过符合条件的数据包。denydeny：丢弃符合条件的数据包。sourcesource：可选参数，指定ACL 规则的源地址信息。如果不指定，表示报文的任何源地址都匹配。sour-addrsour-addr：数据包的源地址，点分十进制表示；或用“any”代表源地址0.0.0.0，通配符255.255.255.255。sour-wildcardsour-wildcard：源地址通配符，点分十进制表示。辽东学院信息技术学院如何使用反掩码如何使用反掩码如何使用反掩码如何使用反掩码l反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较l反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位辽东学院信息技术学院基本访问控制列表基本访问控制列表 time-rangetime-range：可选参数，指定访问控制列表的生效时间。time-name：访问控制列表生效的时间段名字。logginglogging：可选参数，是否对符合条件的数据包做日志。日志内容包括访问控制规则的序号，数据包通过或被丢弃，数据包的数目。fragmenfragment：可选参数，指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。vpn-instancevpn-instance：可选参数，指定报文是属于哪个VPN 实例的。如果没有指定，该规则对所有VPN 实例中的报文都有效；如果指定了，则表示该规则仅仅对指定的VPN 实例中的报文有效。辽东学院信息技术学院基本访问控制列表基本访问控制列表可以使用如下命令删除一个基本访问控制列表的规则：undo rule undo rule rule-id source source time-range time-range logging logging fragment fragment vpn-instance vpn-instance vpn-instance-name rule-id：ACL 规则编号，必须是一个已经存在的ACL 规则编号。如果后面不指定参数，则将这个ACL 规则完全删除。否则只是删除对应ACL 规则的部分信息。辽东学院信息技术学院高级访问控制列表高级访问控制列表 高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP 承载的协议类型、针对协议的特性，例如TCP 的源端口、目的端口，ICMP 协议的类型、代码等内容定义规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。通过前面小节介绍的acl 命令，可以创建一个高级的访问控制列表，同时进入高级访问控制列表视图，在高级访问控制列表视图下，可以创建高级访问控制列表的规则。可以使用如下的命令定义一个高级访问控制列表规则：辽东学院信息技术学院高级访问控制列表高级访问控制列表rule rule rule-id permit permit|deny deny protocol source source sour-addr sour-wildcard|any any destination destination dest-addr dest-mask|any any soucre-port soucre-port operator port1 port2 destination-port destination-port operator port1 port2 icmp-type icmp-type icmp-message|icmp-type icmp-code dscp dscp dscp precedence precedence precedence tos tos tos time-range time-range time-name logging logging fragment fragment vpn-instance vpn-instance protocol：用名字或数字表示的IP 承载的协议类型。数字为1255；名字取值：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。destinationdestination：可选参数，指定ACL 规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。dest-addr：数据包的目的地址，点分十进制表示；或用“any”代表目的地址0.0.0.0，通配符255.255.255.255。dest-wildcard：目的地址通配符，点分十进制表示；或用“any”代表目的地址0.0.0.0，通配符255.255.255.255。辽东学院信息技术学院高级访问控制列表高级访问控制列表 icmp-typeicmp-type：可选参数，指定ICMP 报文的类型和消息码信息，仅仅在报文协议是ICMP 的情况下有效。如果不配置，表示任何ICMP 类型的报文都匹配。icmp-type：ICMP 包可以依据ICMP 的消息类型进行过滤。取值为0255 的数字。icmp-code：依据ICMP 的消息类型进行过滤的ICMP 包也可以依据消息码进行过滤。取值为0255 的数字。icmp-message：ICMP 包可以依据ICMP 消息类型名字或ICMP 消息类型和码的名字进行过滤。source-portsource-port：可选参数，指定UDP 或者TCP 报文的源端口信息，仅仅在规则指定的协议号是TCP 或者UDP 有效。如果不指定，表示TCP/UDP 报文的任何源端口信息都匹配。辽东学院信息技术学院高级访问控制列表高级访问控制列表 destination-portdestination-port：可选参数，指定UDP 或者TCP 报文的目的端口信息，仅仅在规则指定的协议号是TCP 或者UDP 有效。如果不指定，表示TCP/UDP报文的任何目的端口信息都匹配。operator：可选参数。比较源或者目的地址的端口号的操作符，名字及意义如下：lt（小于），gt（大于），eq（等于），neq（不等于），range（在范围内）。只有range 需要两个端口号做操作数，其他的只需要一个端口号做操作数。port1，port2：可选参数。TCP 或UDP 的端口号，用名字或数字表示，数字的取值范围为065535。time-rangetime-range time-name：配置这条访问控制规则生效的时间段。辽东学院信息技术学院高级访问控制列表高级访问控制列表 只有TCP 和UDP 协议需要指定端口范围。在指定port number 时，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，支持的助记符如下表。tcp辽东学院信息技术学院高级访问控制列表高级访问控制列表辽东学院信息技术学院高级访问控制列表高级访问控制列表辽东学院信息技术学院对于ICMP 协议可以指定ICMP 报文类型，缺省为全部ICMP 报文。指定ICMP报文类型时，可用数字（0255），也可用助记符。辽东学院信息技术学院高级访问控制列表高级访问控制列表 可以使用如下命令删除一个高级访问控制列表的规则：undo rule undo rule rule-id source source destination destination source-port source-port destination-port destination-port icmp-type icmp-type dscp dscp precedence precedence tos tos time-range time-range logging logging fragment fragment vpn-instance vpn-instance vpn-instance-name rule-id：ACL 规则编号，必须是一个已经存在的ACL 规则编号。如果后面不指定参数，则将这个ACL 规则完全删除。否则只是删除对应ACL 规则的部分信息。辽东学院信息技术学院高级访问控制列表举例高级访问控制列表举例高级访问控制列表举例高级访问控制列表举例10.1.0.0/16ICMP主机重定向报文lrule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type 5 1lrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 equal www log129.9.0.0/16TCP报文202.38.160.0/24WWW 端口问题:下面这条访问控制列表表示什么意思?rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 greater-than 128辽东学院信息技术学院如何使用访问控制列表如何使用访问控制列表如何使用访问控制列表如何使用访问控制列表l防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上辽东学院信息技术学院配置基本访问控制列表配置基本访问控制列表辽东学院信息技术学院配置高级访问控制列表配置高级访问控制列表辽东学院信息技术学院删除访问控制列表删除访问控制列表请在系统视图下进行下列配置。辽东学院信息技术学院创建创建/删除一个时间段删除一个时间段在同一个名字下可以配置多个时间段，这些时间段是“或”关系。请在系统视图下进行下列配置。辽东学院信息技术学院访问控制列表的显示与调试访问控制列表的显示与调试 在完成上述配置后，在所有视图下执行display 命令可以显示配置后ACL 和时间段的运行情况，通过查看显示信息确认配置的效果。在用户视图下执行reset 命令可以清除访问规则计数器。辽东学院信息技术学院包过滤防火墙的配置包括：允许或禁止防火墙 设置防火墙缺省过滤方式 在接口上应用访问控制列表允许或禁止防火墙请在系统视图下进行下列配置。系统缺省情况下禁止防火墙。包过滤防火墙的基本配置包过滤防火墙的基本配置辽东学院信息技术学院包过滤防火墙的基本配置包过滤防火墙的基本配置设置防火墙缺省过滤方式 设置防火墙的缺省过滤方式，即在没有一个合适的规则去判定用户数据包是否可以通过的时候，防火墙采取的策略是允许还是禁止该数据包通过。请在系统视图下进行下列配置。在防火墙开启时，系统缺省为允许。辽东学院信息技术学院包过滤防火墙的基本配置包过滤防火墙的基本配置在接口上应用访问控制列表 将访问规则应用到接口时，同时会遵循时间段过滤原则，另外可以对接口的收发报文分别指定访问规则。请在接口视图下进行下列配置。辽东学院信息技术学院包过滤防火墙的基本配置包过滤防火墙的基本配置 基于接口的访问控制列表（即序号为1000 到1999 的ACL）只能用参数outbound。高级访问控制列表提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配，匹配将忽略三层以外的信息；精确匹配则对所有的高级ACL 的过滤规则进行匹配，这就要求防火墙必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的模式为标准匹配方式。match-fragments 参数仅能应用于高级访问控制列表。辽东学院信息技术学院包过滤防火墙典型配置举例包过滤防火墙典型配置举例1.组网需求 以下通过一个公司配置防火墙的实例来说明防火墙的配置。该公司通过一台Quidway 路由器的接口Serial1/0/0 访问Internet，路由器与内部网通过以太网接口Ethernet0/0/0 连接。公司内部对外提供WWW、FTP 和Telnet 服务，公司内部子网为129.38.1.0，其中，内部FTP 服务器地址为129.38.1.1，内部Telnet 服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1。在路由器上配置了地址转换，这样内部PC 机可以访问Internet，外部PC 可以访问内部服务器。通过配置防火墙，希望实现以下要求：外部网络只有特定用户可以访问内部服务器。内部网络只有特定主机可以访问外部网络。假定外部特定用户的IP 地址为202.39.2.3。辽东学院信息技术学院包过滤防火墙典型配置举例包过滤防火墙典型配置举例辽东学院信息技术学院包过滤防火墙典型配置举例包过滤防火墙典型配置举例3.配置步骤#在路由器Quidway 上允许防火墙。Quidway firewall enable#设置防火墙缺省过滤方式为允许包通过。Quidway firewall default permit#创建访问控制列表3001。Quidway acl number 3001#配置规则禁止所有IP 包通过。Quidway-acl-adv-3001 rule deny ip#配置规则允许特定主机访问外网，允许内部服务器访问外部网。Quidway-acl-adv-3001 rule permit ip source 129.38.1.4 0Quidway-acl-adv-3001 rule permit ip source 129.38.1.1 0Quidway-acl-adv-3001 rule permit ip source 129.38.1.2 0Quidway-acl-adv-3001 rule permit ip source 129.38.1.3 0辽东学院信息技术学院包过滤防火墙典型配置举例包过滤防火墙典型配置举例#创建访问控制列表3002Quidway acl number 3002#配置规则允许特定用户从外部网访问内部服务器。Quidway-acl-adv-3002 rule permit tcp source 202.39.2.3 0 destination202.38.160.1 0#配置规则允许特定用户从外网取得数据（只允许端口大于1024 的包）。Quidway-acl-adv-3002 rule permit tcp destination 202.38.160.1 0destination-port gt 1024#将规则3001 作用于从接口Ethernet0/0/0 进入的包。Quidway-Ethernet0/0/0 firewall packet-filter 3001 inbound#将规则3002 作用于从接口Serial1/0/0 进入的包。Quidway-Serial1/0/0 firewall packet-filter 3002 inbound