ACL原理和基本配置,日期：,杭州華三通信技術(shù)有限公司版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,要增強(qiáng)網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問或某些數(shù)據(jù)的能力。ACL包過濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使用ACL來實現(xiàn)數(shù)據(jù)識別，并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。由ACL定義的報文匹配規(guī)則，還可以被其它需要對數(shù)據(jù)進(jìn)行區(qū)分的場合引用。,引入,ACL概述ACL包過濾原理ACL分類配置ACL包過濾ACL包過濾的注意事項,目錄,ACL概述,ACL（AccessControlList，訪問控制列表）是用來實現(xiàn)數(shù)據(jù)包識別功能的ACL可以應(yīng)用于諸多方面包過濾防火墻功能NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）QoS（QualityofService，服務(wù)質(zhì)量）的數(shù)據(jù)分類路由策略和過濾按需撥號,ACL概述ACL包過濾原理ACL分類配置ACL包過濾ACL包過濾的注意事項,目錄,基于ACL的包過濾技術(shù),對進(jìn)出的數(shù)據(jù)包逐個過濾，丟棄或允許通過ACL應(yīng)用于接口上，每個接口的出入雙向分別過濾僅當(dāng)數(shù)據(jù)包經(jīng)過一個接口時，才能被此接口的此方向的ACL過濾,入方向過濾,入方向過濾,出方向過濾,出方向過濾,接口,接口,路由轉(zhuǎn)發(fā)進(jìn)程,入站包過濾工作流程,匹配第一條規(guī)則,數(shù)據(jù)包入站,匹配第二條規(guī)則,匹配最后一條規(guī)則,丟棄,通過,Yes,Permit,是否配置入方向ACL包過濾,No,Permit,Deny,Permit,DefaultPermit,Deny,Deny,DefaultDeny,數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程,No,No,No,檢查默認(rèn)規(guī)則設(shè)定,出站包過濾工作流程,匹配第一條規(guī)則,數(shù)據(jù)包到達(dá)出接口,匹配第二條規(guī)則,匹配最后一條規(guī)則,丟棄,通過,Yes,Permit,是否配置出方向ACL包過濾,No,Permit,Deny,Permit,DefaultPermit,Deny,Deny,DefaultDeny,數(shù)據(jù)包出站,No,No,No,檢查默認(rèn)規(guī)則設(shè)定,通配符掩碼,通配符掩碼和IP地址結(jié)合使用以描述一個地址范圍通配符掩碼和子網(wǎng)掩碼相似，但含義不同0表示對應(yīng)位須比較1表示對應(yīng)位不比較,通配符掩碼的應(yīng)用示例,ACL概述ACL包過濾原理ACL分類配置ACL包過濾ACL包過濾的注意事項,目錄,ACL的標(biāo)識,利用數(shù)字序號標(biāo)識訪問控制列表,可以給訪問控制列表指定名稱，便于維護(hù),基本ACL,基本訪問控制列表只根據(jù)報文的源IP地址信息制定規(guī)則,接口,接口,從1.1.1.0/24來的數(shù)據(jù)包不能通過從2.2.2.0/28來的數(shù)據(jù)包可以通過,DA=3.3.3.3SA=1.1.1.1,DA=3.3.3.3SA=2.2.2.1,分組,分組,高級ACL,高級訪問控制列表根據(jù)報文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則,接口,接口,從1.1.1.0/24來，到3.3.3.1的TCP端口80去的數(shù)據(jù)包不能通過從1.1.1.0/24來，到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過,DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032,DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176,分組,分組,二層ACL與用戶自定義ACL,二層ACL根據(jù)報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息制定匹配規(guī)則用戶自定義ACL可以根據(jù)任意位置的任意字串制定匹配規(guī)則報文的報文頭、IP頭等為基準(zhǔn)，指定從第幾個字節(jié)開始與掩碼進(jìn)行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報文。,ACL概述ACL包過濾原理ACL分類配置ACL包過濾ACL包過濾的注意事項,目錄,ACL包過濾配置任務(wù),啟動包過濾防火墻功能，設(shè)置默認(rèn)的過濾規(guī)則根據(jù)需要選擇合適的ACL分類創(chuàng)建正確的規(guī)則設(shè)置匹配條件設(shè)置合適的動作（Permit/Deny)在路由器的接口上應(yīng)用ACL，并指明過濾報文的方向（入站/出站）,啟動包過濾防火墻功能,防火墻功能需要在路由器上啟動后才能生效設(shè)置防火墻的默認(rèn)過濾方式系統(tǒng)默認(rèn)的默認(rèn)過濾方式是permit,sysnamefirewallenable,sysnamefirewalldefaultpermit|deny,配置基本ACL,sysnameaclnumberacl-number,配置基本ACL，并指定ACL序號基本IPv4ACL的序號取值范圍為20002999,sysname-acl-basic-2000rulerule-iddeny|permitfragment|logging|sourcesour-addrsour-wildcard|any|time-rangetime-name,定義規(guī)則制定要匹配的源IP地址范圍指定動作是permit或deny,配置高級ACL,配置高級IPv4ACL，并指定ACL序號高級IPv4ACL的序號取值范圍為30003999,sysname-acl-adv-3000rulerule-iddeny|permitprotocoldestinationdest-addrdest-wildcard|any|destination-portoperatorport1port2established|fragment|sourcesour-addrsour-wildcard|any|source-portoperatorport1port2|time-rangetime-name,sysnameaclnumberacl-number,定義規(guī)則需要配置規(guī)則來匹配源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議端口號等信息指定動作是permit或deny,配置二層ACL,配置二層ACL，并指定ACL序號二層ACL的序號取值范圍為40004999,sysname-acl-ethernetframe-3000rulerule-iddeny|permitcosvlan-pri|dest-macdest-addrdest-mask|lsaplsap-codelsap-wildcard|source-macsour-addrsource-mask|time-rangetime-name,sysnameaclnumberacl-number,定義規(guī)則需要配置規(guī)則來匹配源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息指定動作是permit或拒絕deny,在接口上應(yīng)用ACL,將ACL應(yīng)用到接口上，配置的ACL包過濾才能生效指明在接口上應(yīng)用的方向是Outbound還是Inbound,sysname-Serial2/0firewallpacket-filteracl-number|nameacl-nameinbound|outbound,ACL包過濾顯示與調(diào)試,ACL概述ACL包過濾原理ACL分類配置ACL包過濾ACL包過濾的注意事項,目錄,ACL規(guī)則的匹配順序,匹配順序指ACL中規(guī)則的優(yōu)先級。ACL支持兩種匹配順序：配置順序（config）：按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配自動排序（auto）：按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配，即地址范圍小的規(guī)則被優(yōu)先進(jìn)行匹配配置ACL的匹配順序：,sysnameaclnumberacl-numbermatch-orderauto|config,不同匹配順序?qū)е陆Y(jié)果不同,接口,接口,DA=3.3.3.3SA=1.1.1.1,分組,aclnumber2000match-orderconfigrulepermitsource1.1.1.00.0.0.255ruledenysource1.1.1.10,接口,接口,DA=3.3.3.3SA=1.1.1.1,分組,aclnumber2000match-orderautorulepermitsource1.1.1.00.0.0.255ruledenysource1.1.1.10,在網(wǎng)絡(luò)中的正確位置配置ACL包過濾,盡可能在靠近數(shù)據(jù)源的路由器接口上配置ACL，以減少不必要的流量轉(zhuǎn)發(fā)高級ACL應(yīng)該在靠近被過濾源的接口上應(yīng)用ACL，以盡早阻止不必要的流量進(jìn)入網(wǎng)絡(luò)基本ACL過于靠近被過濾源的基本ACL可能阻止該源訪問合法目的應(yīng)在不影響其他合法訪問的前提下，盡可能使ACL靠近被過濾的源,高級ACL部署位置示例,PCA172.16.0.1,E0/1,E0/0,RTC,RTB,RTA,要求PCA不能訪問NetworkA和NetworkB，但可以訪問其他所有網(wǎng)絡(luò),NetworkA192.168.0.0/24,NetworkB192.168.1.0/24,NetworkC192.168.2.0/24,NetworkD192.168.3.0/24,E0/0,E0/1,RTCfirewallenableRTCaclnumber3000RTC-acl-adv-3000ruledenyipsource172.16.0.10destination192.168.0.00.0.1.255RTC-Ethernet0/0firewallpacket-filter3000inbound,基本ACL部署位置示例,要求PCA不能訪問NetworkA和NetworkB，但可以訪問其他所有網(wǎng)絡(luò),PCA172.16.0.1,E0/1,E0/0,RTC,RTB,RTA,NetworkA192.168.0.0/2