第07章_ACL原理和基本配置_第1頁
第07章_ACL原理和基本配置_第2頁
第07章_ACL原理和基本配置_第3頁
第07章_ACL原理和基本配置_第4頁
第07章_ACL原理和基本配置_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、ACL原理和基本配置日期:杭州華三通信技術(shù)有限公司 版權(quán)所有,未經(jīng)授權(quán)不得使用與傳播n 要增強(qiáng)網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)設(shè)備需要具備控制某些訪要增強(qiáng)網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問或某些數(shù)據(jù)的能力。問或某些數(shù)據(jù)的能力。n ACL包過濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它包過濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使用使用ACL來實(shí)現(xiàn)數(shù)據(jù)識別,并決定是轉(zhuǎn)發(fā)還是丟棄來實(shí)現(xiàn)數(shù)據(jù)識別,并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。這些數(shù)據(jù)包。n 由由ACL定義的報(bào)文匹配規(guī)則,還可以被其它需要對定義的報(bào)文匹配規(guī)則,還可以被其它需要對數(shù)據(jù)進(jìn)行區(qū)分的場合引用。數(shù)據(jù)進(jìn)行區(qū)分的場合引用。引入n ACL概述概述n ACL包過濾原理包過

2、濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄ACL概述l ACL(Access Control List,訪問控制列表)是用來實(shí)現(xiàn)數(shù)據(jù)包識別功能的l ACL可以應(yīng)用于諸多方面包過濾防火墻功能 NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)QoS(Quality of Service,服務(wù)質(zhì)量)的數(shù)據(jù)分類路由策略和過濾按需撥號n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄基于ACL的包過濾技術(shù)l對進(jìn)出的數(shù)據(jù)包逐個(gè)過

3、濾,丟棄或允許通過lACL應(yīng)用于接口上,每個(gè)接口的出入雙向分別過濾l僅當(dāng)數(shù)據(jù)包經(jīng)過一個(gè)接口時(shí),才能被此接口的此方向的ACL過濾入方向過濾入方向過濾入方向過濾入方向過濾出方向過濾出方向過濾出方向過濾出方向過濾接口接口接口接口路由轉(zhuǎn)發(fā)路由轉(zhuǎn)發(fā)進(jìn)程進(jìn)程入站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置入方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程N(yùn)oNoNo檢查默認(rèn)規(guī)則設(shè)定出站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包到達(dá)出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟

4、棄通過YesPermit是否配置出方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包出站NoNoNo檢查默認(rèn)規(guī)則設(shè)定通配符掩碼通配符掩碼通配符掩碼含義含義0.0.0.255只比較前只比較前24位位0.0.3.255只比較前只比較前22位位0.255.255.255只比較前只比較前8位位l 通配符掩碼和IP地址結(jié)合使用以描述一個(gè)地址范圍l 通配符掩碼和子網(wǎng)掩碼相似,但含義不同0表示對應(yīng)位須比較1表示對應(yīng)位不比較通配符掩碼的應(yīng)用示例IP地址地址通配符掩碼通配符掩碼表示的地址范圍表示的地址范圍192.168.0.10.0.0

5、.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄ACL的標(biāo)識l 利用數(shù)字序號標(biāo)識訪問控制列表l 可以給訪問

6、控制列表指定名稱,便于維護(hù)訪問控制列表的分類訪問控制列表的分類數(shù)字序號的范圍數(shù)字序號的范圍基本基本訪問控制列表訪問控制列表 20002999 擴(kuò)展擴(kuò)展訪問控制列表訪問控制列表 30003999 基于基于二層二層的訪問控制列表的訪問控制列表 40004999 用戶用戶自定義自定義的訪問控制列表的訪問控制列表 50005999 基本ACLl 基本訪問控制列表只根據(jù)報(bào)文的源源IPIP地址地址信息制定規(guī)則接口接口接口接口從從1.1.1.0/241.1.1.0/24來的數(shù)據(jù)包不能通過來的數(shù)據(jù)包不能通過從從2.2.2.0/282.2.2.0/28來的數(shù)據(jù)包可以通過來的數(shù)據(jù)包可以通過DA=3.3.3.3 S

7、A=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分組分組分組分組高級ACLl 高級訪問控制列表根據(jù)報(bào)文的源源IPIP地址地址、目的目的IPIP地址地址、IPIP承載的協(xié)議類型承載的協(xié)議類型、協(xié)議特性等三、四層信息三、四層信息制定規(guī)則接口接口接口接口從從1.1.1.0/241.1.1.0/24來,到來,到3.3.3.13.3.3.1的的TCPTCP端口端口8080去的數(shù)據(jù)包不能通過去的數(shù)據(jù)包不能通過從從1.1.1.0/241.1.1.0/24來,到來,到2.2.2.12.2.2.1的的TCPTCP端口端口2323去的數(shù)據(jù)包可以通過去的數(shù)據(jù)包可以通過DA=3.3.3.1, SA=1.1

8、.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1TCP, DP=23, SP=3176分組分組分組分組二層ACL與用戶自定義ACLl 二層ACL根據(jù)報(bào)文的源源MACMAC地址地址、目的目的MACMAC地址地址、802.1p802.1p優(yōu)先級優(yōu)先級、二層協(xié)議類型二層協(xié)議類型等二層信息制定匹配規(guī)則l 用戶自定義ACL可以根據(jù)任意位置的任意字串任意位置的任意字串制定匹配規(guī)則 報(bào)文的報(bào)文頭、IP頭等為基準(zhǔn),指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行“與”操作,將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較,找到匹配的報(bào)文。n ACL概述概述n ACL包過濾原理包過濾原

9、理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄ACL包過濾配置任務(wù)l 啟動包過濾防火墻功能,設(shè)置默認(rèn)的過濾規(guī)則啟動包過濾防火墻功能,設(shè)置默認(rèn)的過濾規(guī)則 l 根據(jù)需要選擇合適的根據(jù)需要選擇合適的ACLACL分類分類l 創(chuàng)建正確的規(guī)則創(chuàng)建正確的規(guī)則設(shè)置匹配條件設(shè)置合適的動作(Permit/Deny)l 在路由器的接口上應(yīng)用在路由器的接口上應(yīng)用ACLACL,并指明過濾報(bào)文的方向,并指明過濾報(bào)文的方向(入站(入站/ /出站)出站)啟動包過濾防火墻功能l 防火墻功能需要在路由器上啟動后才能生效防火墻功能需要在路由器上啟動后才能生效l 設(shè)置防火墻的默認(rèn)過濾

10、方式設(shè)置防火墻的默認(rèn)過濾方式系統(tǒng)默認(rèn)的默認(rèn)過濾方式是permit sysname firewall enable sysname firewall default permit | deny 配置基本ACLsysname acl number acl-numberl 配置基本配置基本ACLACL,并指定,并指定ACLACL序號序號基本IPv4 ACL的序號取值范圍為20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any

11、| time-range time-name l 定義規(guī)則定義規(guī)則制定要匹配的源IP地址范圍指定動作是permit或配置高級ACLl 配置高級配置高級IPv4 ACL,并指定,并指定ACL序號序號高級IPv4 ACL的序號取值范圍為30003999sysname-acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-

12、addr sour-wildcard | any | source-port operator port1 port2 | time-range time-name sysname acl number acl-numberl 定義規(guī)則定義規(guī)則需要配置規(guī)則來匹配源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議端口號等信息指定動作是permit或配置二層ACLl 配置二層配置二層 ACL,并指定,并指定ACL序號序號二層ACL的序號取值范圍為40004999sysname-acl-ethernetframe-3000 rule rule-id deny | permit cos vlan-pr

13、i | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-numberl 定義規(guī)則定義規(guī)則需要配置規(guī)則來匹配源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息指定動作是permit或拒絕在接口上應(yīng)用ACLl 將ACL應(yīng)用到接口上,配置的ACL包過濾才能生效l 指明在接口上應(yīng)用的方向是Outbound還是Inboundsysname-Serial

14、2/0 firewall packet-filter acl-number | name acl-name inbound | outbound ACL包過濾顯示與調(diào)試操作操作命令命令查看防火墻的統(tǒng)計(jì)信息查看防火墻的統(tǒng)計(jì)信息display firewall-statistics all | interface interface-type interface-number查看以太網(wǎng)幀過濾情況的信息查看以太網(wǎng)幀過濾情況的信息display firewall ethernet-frame-filter all | dlsw | interface interface-type interface-

15、number 清除防火墻的統(tǒng)計(jì)信息清除防火墻的統(tǒng)計(jì)信息reset firewall-statistics all | interface interface-type interface-number顯示配置的顯示配置的IPv4 ACL信息信息display acl acl-number | all清除清除IPv4 ACL統(tǒng)計(jì)信息統(tǒng)計(jì)信息reset acl counter acl-number | all |n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄ACL規(guī)則的匹配順序l 匹配順序指ACL中規(guī)則

16、的優(yōu)先級。l ACL支持兩種匹配順序: 配置順序(configconfig):按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配 自動排序(autoauto):按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配,即地址范圍小的規(guī)則被優(yōu)先進(jìn)行匹配l 配置ACL的匹配順序: sysname acl number acl-number match-order auto | config 不同匹配順序?qū)е陆Y(jié)果不同接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分組分組acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule

17、deny source 1.1.1.1 0接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分組分組acl number 2000 match-order auto rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 在網(wǎng)絡(luò)中的正確位置配置ACL包過濾l 盡可能在盡可能在靠近數(shù)據(jù)源靠近數(shù)據(jù)源的路由器接口上配置的路由器接口上配置ACLACL,以減少,以減少不必要的流量轉(zhuǎn)發(fā)不必要的流量轉(zhuǎn)發(fā)l 高級高級ACLACL應(yīng)該在靠近被過濾源的接口上應(yīng)用ACL,以盡早阻止不必要的流量進(jìn)入網(wǎng)絡(luò)l 基本基本ACLACL過于靠近被過濾源

18、的基本ACL可能阻止該源訪問合法目的應(yīng)在不影響其他合法訪問的前提下,盡可能使ACL靠近被過濾的源高級ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTAl要求PCA不能訪問NetworkA和NetworkB,但可以訪問其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC acl number 3000RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound 基本ACL部署位置示例l要求要求PCAPCA不能訪問不能訪問NetworkANetworkA和和NetworkBNetworkB,但可以訪問其

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論