资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,访问控制列表,网络设备及高级应用技术课程组制作,学习目标,理解访问控制列表的基本原理,掌握标准和扩展访问控制列表的配置方法,掌握地址转换的基本原理和配置方法,学习完本课程,您应该能够:,课程内容,访问控制列表,访问控制列表实例,IP包过滤技术介绍,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表的作用,访问控制列表可以用于防火墙;,访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制;,在DCC中,访问控制列表还可用来规定触发拨号的条件;,访问控制列表还可以用于地址转换;,在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。,访问控制列表是什么?,一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):,IP报头,TCP/UDP报头,数据,协议号,源地址,目的地址,源端口,目的端口,对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则,如何标识访问控制列表?,利用数字标识访问控制列表,利用数字范围标识访问控制列表的种类,列表的种类,数字标识的范围,IP standard list,199,IP extended list,100199,标准访问控制列表,标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,从202.110.10.0/24来的数据包可以通过!,从192.110.10.0/24来的数据包不能通过!,路由器,标准访问控制列表的配置,配置标准访问列表的命令格式如下:,acl,acl-number,match-order,auto,|,config,rule,normal,|,special,permit,|,deny,source,source-addr source-wildcard,|,any,怎样利用,IP 地址,和,反掩码wildcard-mask,来表示,一个网段?,如何使用反掩码,反掩码和子网掩码相似,但写法不同:,0,表示需要比较,1,表示忽略比较,反掩码和IP地址结合使用,可以描述一个地址范围。,0,0,0,255,只比较前24位,0,0,3,255,只比较前22位,0,255,255,255,只比较前8位,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。,从202.110.10.0/24来的,到179.100.17.10的,,使用TCP协议,,利用HTTP访问的,数据包可以通过!,路由器,扩展访问控制列表的配置命令,配置TCP/UDP协议的扩展访问列表:,rule normal|special permit|deny tcp|udp source,source-addr source-wildcard,|any source-port,operator port1,port2,destination,dest-addr dest-wildcard,|any destination-port,operator port1,port2,logging,配置ICMP协议的扩展访问列表:,rule normal|special permit|deny icmp source,source-addr source-wildcard,|any destination,dest-addr dest-wildcard,|any icmp-type,icmp-type icmp-code,logging,配置其它协议的扩展访问列表:,rule normal|special permit|deny ip|ospf|igmp|gre source,source-addr source-wildcard,|any destination,dest-addr dest-wildcard,|any logging,扩展访问控制列表操作符的含义,操作符及语法,意义,equal,portnumber,等于端口号 portnumber,greater-than portnumber,大于端口号portnumber,less-than portnumber,小于端口号portnumber,not-equal portnumber,不等于端口号portnumber,range,portnumber1 portnumber2,介于端口号portnumber1,和portnumber2之间,扩展访问控制列表举例,10.1.0.0/16,ICMP主机重定向报文,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging,TCP报文,WWW 端口,问题:下面这条访问控制列表表示什么意思?,rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255,destination-port greater-than 128,如何使用访问控制列表,防火墙配置常见步骤:,启用防火墙,定义访问控制列表,将访问控制列表应用到接口上,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,防火墙的属性配置命令,打开或者关闭防火墙,firewall enable|disable,设置防火墙的缺省过滤模式,firewall default permit|deny,显示防火墙的状态信息,display firewall,在接口上应用访问控制列表,将访问控制列表应用到接口上,指明在接口上是OUT还是IN方向,在接口视图下配置:,firewall packet-filter,acl-number,inbound|outbound,Ethernet0,访问控制列表101,作用在Ethernet0接口,在out方向有效,Serial0,访问控制列表3,作用在Serial0接口上,在in方向上有效,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,Internet,上班时间,(上午8:00 下午5:00),只能访问特定的站点;其余,时间可以访问其他站点,时间段的配置命令,time range 命令,timerange enable|disable,settr 命令,settr,begin-time end-time,begin-time end-time,.,undo settr,显示 isintr 命令,display isintr,显示 timerange 命令,display timerange,日志功能的配置命令,日志功能是允许在特定的主机上记录下来防火墙的操作,开启日志系统,info-center enable,配置日志主机地址等相关属性,info-center loghost,loghost-number ip-address port,显示日志配置信息。,display debugging,在华为Quidway路由器上提供了非常丰富的日志功能,,详细内容请参考配置手册,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:,auto,和,config,。,规则冲突时,若匹配顺序为,auto(深度优先),,描述的地址范围越小的规则,将会优先考虑。,深度的判断要依靠通配比较位和IP地址结合比较,rule deny 202.38.0.0 0.0.255.255,rule permit 202.38.160.0 0.0.0.255,两条规则结合则表示禁止一个大网段()上的主机但允许其中的一小部分主 机()的访问。,规则冲突时,若匹配顺序为,config,,先配置的规则会被优先考虑。,
展开阅读全文