《高級路由技術(shù)（理論篇）》-教學PPT9：保護園區(qū)網(wǎng)絡(luò)安全ACL

單元9：實現(xiàn)園區(qū)網(wǎng)安全訪問《高級路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景園區(qū)網(wǎng)絡(luò)在功能和應(yīng)用上日益提升的同時，安全問題也逐漸突出，各類黑客行為和攻擊技術(shù)給企業(yè)的安全發(fā)展帶來困擾。園區(qū)網(wǎng)絡(luò)在外網(wǎng)上主要安全問題表現(xiàn)為：非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為最大的安全威脅。園區(qū)網(wǎng)絡(luò)安全問題主要表現(xiàn)為：帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴散、信息泄露以及內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全等。大部分園區(qū)網(wǎng)內(nèi)部劃分六個區(qū)域：互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運維管理域，六個區(qū)域面臨的安全風險也有所不同，需要實施訪問控制安全防護措施，保護部門網(wǎng)絡(luò)之間的安全。學習目標了解園區(qū)網(wǎng)安全技術(shù)掌握園區(qū)網(wǎng)中訪問控制安全9.1認識ACLACL全稱為接入控制列表（AccessControlList，ACL），也俗稱為軟防火墻，ACL通過定義一些規(guī)則對網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)報文進行控制，允許數(shù)據(jù)包通過，或丟棄該數(shù)據(jù)包。ACL應(yīng)用在交換機與路由器上的安全技術(shù)，其主要目的是對網(wǎng)絡(luò)數(shù)據(jù)通信進行過濾，從而實現(xiàn)各種訪問控制需求。ACL技術(shù)通過IP數(shù)據(jù)包中五元組（源IP地址、目標IP地址、協(xié)議號、源端口號、目標端口號）來區(qū)分特定的數(shù)據(jù)流，并對匹配預設(shè)規(guī)則的數(shù)據(jù)包采取相應(yīng)的措施，允許（Permit）或拒絕（Deny）數(shù)據(jù)通過，從而實現(xiàn)對網(wǎng)絡(luò)的安全控制。9.1.1什么是ACL9.1認識ACL通過在園區(qū)網(wǎng)絡(luò)中的三層路由設(shè)備上配置ACL后，可以限制園區(qū)網(wǎng)絡(luò)中的數(shù)據(jù)流量，允許特定設(shè)備訪問特定的網(wǎng)絡(luò)，指導特定接口檢測IP數(shù)據(jù)包流向等，如可以配置ACL禁止部分辦公網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者禁止使用內(nèi)網(wǎng)中的FTP服務(wù)。還可以使用

ACL限制網(wǎng)絡(luò)流量，提升網(wǎng)絡(luò)性能，如根據(jù)數(shù)據(jù)包的協(xié)議，使用ACL指定數(shù)據(jù)包的優(yōu)先級；如限定或簡化路由更新信息的長度，使用ACL限制通過路由器某一網(wǎng)段的IP通信流量，通過ACL提供網(wǎng)絡(luò)中的通信流量安全訪問控制手段，可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。9.1.2ACL作用在接入交換機、匯聚交換機、核心交換機完成基本VLAN、路由配置，VLAN內(nèi)/外的PC可以相互通信如果想要控制個別數(shù)據(jù)交互，又不影響與其他數(shù)據(jù)交互，這種情況下就需要使用訪問控制列表9.2訪問控制列表的應(yīng)用場景VLAN10VLAN20VLAN30接入交換機匯聚交換機核心交換機PCA0/24PCB0/24接入交換機匯聚交換機PCC0/24出于安全考慮，要求員工的PC不能訪問到主管的網(wǎng)段，這該如何實現(xiàn)？9.2訪問控制列表的應(yīng)用場景1樓接入交換機辦公室1交換機主管A辦公室/242樓接入交換機匯聚交換機VLAN20VLAN10VLAN30VLAN20員工1PC0/24主管B辦公室/24辦公室2交換機員工2PC0/24ACL的全稱為訪問控制列表（AccessControlList），用于定義一系列不同的規(guī)則設(shè)備可以根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類，并針對不同類型的報文進行不同的處理，可以用于以下功能：使用ACL匹配流量用于流量過濾：可以匹配指定流量，拒絕通過用于NAT：可以匹配指定流量，進行NAT轉(zhuǎn)換用于QoS：可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級使用ACL匹配路由用于路由策略：可以用來匹配路由，進行過濾以及修改屬性的操作用于路由重分布：可以匹配路由，進行精確的協(xié)議間路由導入的操作9.3訪問控制列表的功能對進出的數(shù)據(jù)逐個過濾，丟棄或允許通過ACL應(yīng)用于接口上，每個接口的出入雙向分別過濾。僅當數(shù)據(jù)包經(jīng)過一個接口時，才能被此接口的此方向的ACL過濾9.3使用ACL匹配流量，應(yīng)用于過濾入方向ACL出方向ACL出方向ACL入方向ACL路由轉(zhuǎn)發(fā)進程9.4

ACL技術(shù)原理ACL使用數(shù)據(jù)包過濾技術(shù)，通過讀取OSI模型中第3層和第4層數(shù)據(jù)包頭中的特征信息，如源地址，目標地址，源端口，目標端口等，根據(jù)預先定義好的規(guī)則，在三層設(shè)備上對經(jīng)過的數(shù)據(jù)包進行過濾，實現(xiàn)網(wǎng)絡(luò)安全訪問控制的目的。實施ACL訪問控制安全，首先需要在三層設(shè)備中定義一直Acl過濾規(guī)則；然后把其應(yīng)用在三層設(shè)備的某個接口上。如在路由器設(shè)備的接口而言，每一個訪問控制列表ACL都需要控制兩個方向，出接口和入接口的方向。出：已經(jīng)過路由器的CPU處理，離開路由器的數(shù)據(jù)包。入：已到達路由器接口的數(shù)據(jù)包，將被路由器的CPU處理。ACL工作原理傳輸意義上ACL規(guī)則，無論是標準訪問控制列表與擴展訪問控制列表中，均使用列表的標識號進行區(qū)別。由于編號命名的不規(guī)范，目前更多使用名稱訪問控制列表，幫助區(qū)分不同類型的ACL，使用一個字母或數(shù)字組合的字符串來代替所數(shù)字列表標識號。使用名稱訪問控制列表不僅僅可以見名識意，還可以編輯列表，方便刪除某一條特定的控制條目，方便修改。在使用名稱訪問控制列表時，不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。ACL分類9.4

ACL技術(shù)原理9.5配置IPACL標準IPACL中，對數(shù)據(jù)的檢查元素僅是源IP地址。下面以一個園區(qū)網(wǎng)內(nèi)部訪問控制需求為例，描述標準IPACL應(yīng)用步驟及注意事項。在網(wǎng)絡(luò)場景中要求來自某部門（/24）網(wǎng)段中的計算機不可以訪問單位的服務(wù)器/32，其他部門的計算機訪問服務(wù)器不受限制。9.5.1配置標準IPACL9.5配置IPACL使用time-range參數(shù)把配置完成的時間段和ACL規(guī)則配合使用。需要注意的是，只有在time-range指定時間段內(nèi)生效，其他未引用時間段規(guī)則將不受影響。如圖9-10所示為某學校網(wǎng)絡(luò)，需要配置訪問控制規(guī)則，上班時間（9：00~18：00）不允許員工教學網(wǎng)主機（/24）訪問Internet，下班時間可以訪問Internet上的Web服務(wù)。詳細的配置規(guī)則如下所示。9.5.2配置基于時間ACL9.5配置IPACL為某企業(yè)網(wǎng)絡(luò)，只允許公司財務(wù)部的計算機機（）訪問公司的財務(wù)服務(wù)器（54），不允許其他任何員工的計算機機訪問財務(wù)服務(wù)器。在網(wǎng)絡(luò)安全訪問控制中，使用基于IP的ACL可能無法滿足網(wǎng)絡(luò)需求。因為員工可以修改計算機的IP地址為，就能夠繞過IPACL針對IP地址的檢查，實現(xiàn)對財務(wù)服務(wù)器訪問。因此，需要使用基于MAC的ACL就避免此現(xiàn)象產(chǎn)生。基于MAC的ACL9.5配置IPACL對于這樣的需求，使用基于MAC地址過濾顯然不能實現(xiàn)安全目標，因為MACACL控制列表技術(shù)不能像擴展ACL那樣進行基于端口信息過濾。為了滿足這種更復雜、更精確的數(shù)據(jù)包過濾需求，可以使用專家（Expert）ACL技術(shù)實現(xiàn)這樣的效果。專家ACL能考慮到實際網(wǎng)絡(luò)的復雜需求，將ACL的檢測元素擴展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和協(xié)議，從而可以實現(xiàn)對數(shù)據(jù)的更精確的過濾，滿足網(wǎng)絡(luò)的復雜需求。對于專家ACL，一些交換機只支持入方向（in）過濾，在配置和應(yīng)用專家ACL時需要考慮ACL規(guī)則配置方式，以及應(yīng)用專家ACL的接口。基于專家ACL通配符也稱“反掩碼”，和IP地址結(jié)合使用，以描述一個地址范圍反掩碼和子網(wǎng)掩碼相似，但含義不同0表示：對應(yīng)位需要比較1表示：對應(yīng)位不比較9.5訪問控制列表的通配符IP地址通配符含義最終表示的網(wǎng)絡(luò)地址55只比較前24位/2455只比較前22位/2255只比較前8位/8每一位都精確比較/3255每一位都不比較/055只比較前10位/10每一條語句也稱為ACE，訪問控制表項(AccessControlEntry：ACE) ACE匹配的順序為從上至下，即編號從低到高進行匹配一旦被某條ACE匹配成功（無論動作是deny或permit）,跳出該ACL如果一個ACL中沒有配置任意一條ACE，則相當于允許所有數(shù)據(jù)包如果一個ACL中配置了任意一條語句，那么將存在一條默認ACE：denyipanyany（不顯示）9.5訪問控制列表的ACEACL的動作分為兩種：permit和denypermit：匹配允許permit后面語句的數(shù)據(jù)/路由deny：不匹配禁止deny后面語句的數(shù)據(jù)/路由9.6訪問控制列表的兩種動作9.6訪問控制列表的入方向過濾工作流程數(shù)據(jù)包入站是否配置入方向ACL包過濾數(shù)據(jù)包進入轉(zhuǎn)發(fā)流程丟棄匹配第一條ACE匹配第二條ACE匹配最后一條ACE檢查默認ACE通過NoYesYesYesYesNoNoNoNoYesNoNoNo9.6訪問控制列表的出方向過濾工作流程數(shù)據(jù)包出站是否配置出方向ACL包過濾數(shù)據(jù)包出站丟棄匹配第一條ACE匹配第二條ACE匹配最后一條ACE檢查默認ACE通過NoYesYesYesYesNoNoNoNoYesNoNoNoIP標準ACL只能匹配IP數(shù)據(jù)包頭中的源IP地址配置ACL的時候使用”standard”關(guān)鍵字IP擴展ACL匹配源IP/目的IP、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標志代碼）等配置ACL的時候使用”extended”關(guān)鍵字除了上面兩種常用類型外，還有以下其他的ACL類型9.7訪問控制列表的常用類型ACL類型可匹配內(nèi)容IP標準ACL源IPIP擴展ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口號，F(xiàn)ragment，TOS，DSCP，PrecedenceMAC擴展ACL源MAC，目的MAC，COS，協(xié)議字段（包括各種協(xié)議）專家級ACLIP擴展可匹配內(nèi)容，MAC擴展可匹配內(nèi)容，VID，innerVID，innerCOS自定義ACL（ACL80）專家級ACL可匹配內(nèi)容，報文前80字節(jié)的任何內(nèi)容IPV6ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口號，F(xiàn)ragment，DSCP，flow-label標準ACL和擴展ACL能夠匹配的數(shù)據(jù)流類型不同標準ACL：僅匹配數(shù)據(jù)包的源IP地址擴展ACL：能夠匹配3層及以上多種協(xié)議，并且可以同時匹配源IP和目的IP等9.7標準ACL與擴展ACL的不同Ruijie(config)#ipaccess-liststandard13Ruijie(config-std-nacl)#permit?A.B.C.DSourceaddressanyAnysourcehosthostAsinglesourcehostRuijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#permit?<0-255>AnIPprotocolnumbereigrpEnhancedInteriorGatewayRoutingProtocolgreGeneralRoutingEncapsulationicmpInternetControlMessageProtocoligmpInternetGroupManagmentProtocolipAnyInternetProtocolipinipIPInIPnosNOSospfOpenShortestPathFirsttcpTransmissionControlProtocoludpUserDatagramProtocol數(shù)字命名默認的命名，需要注意標準和擴展兩種類型ACL的數(shù)字命名范圍是不一樣的標準ACL常用數(shù)字命名為1-99，1300-1999擴展ACL常用數(shù)字命名為100-199，2000-2699自定義名稱定義更具有代表意義的名稱，推薦使用比如禁止VLAN10內(nèi)的PC訪問VLAN30，可以定義為DENY_VLAN10_TO_VLAN309.7訪問控制列表的命名Ruijie(config)#ipaccess-liststandard?<1-99>IPstandardacl<1300-1999>IPstandardacl(expandedrange)WORDAclnameACL通過帶條件的語句來標識數(shù)據(jù)包例如禁止PC1（IP:0）和PC2（IP:0）訪問PC3（IP:0）的數(shù)據(jù)流使用下面的配置方法進行配置9.7訪問控制列表的配置命令（擴展ACL）Ruijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#10denyip5555Ruijie(config-ext-nacl)#20denyip5555擴展ACL的名字ACL的類型ACE的動作源IP與通配符目的IP與通配符若存在多種不同的訪問控制需求，就需要在一個ACL中定義多條語句不允許VLAN10內(nèi)的PC訪問/24內(nèi)的所有PC不允許VLAN10內(nèi)的PC訪問/24內(nèi)的所有PC僅允許VLAN10內(nèi)的特定PC（0）訪問/24內(nèi)的所有PC允許VLAN10內(nèi)PC僅可以訪問的tcp80端口其他數(shù)據(jù)流放行配置思路首先確定是采用標準還是擴展ACL確定配置ACL中多條語句的順序?qū)⒏袷较嗤▌幼?、?shù)據(jù)流類型、子網(wǎng)號、反掩碼等）的語句放置在一起配置根據(jù)需求配置多條語句時，要確認所配置的順序能否滿足需求。具體配置如下：9.8訪問控制列表的多條語句配置方法Ruijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#permitiphost055Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#permittcp55hosteq80Ruijie(config-ext-nacl)#denyip55hostRuijie(config-ext-nacl)#permitipanyany序列號的作用，方便后續(xù)維護語句自動生成的序號，默認以10位單位遞增。也可以在配置ACL中的語句時提前添加不同的序號。如果新增需求：禁止VLAN10內(nèi)的PC訪問/24。配置如下：9.8訪問控制列表的序號ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555540permittcp55hosteqwww50denyip55host60permitipanyanyRuijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#31denyip5555ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany1、應(yīng)用在接口的入方向還是出方向？數(shù)據(jù)流是從交換機的接口出入，需要將配置好的ACL應(yīng)用在接口上接口可以是物理接口也可以是SVI應(yīng)用的方向根據(jù)ACL的內(nèi)容以及數(shù)據(jù)流進入接口的方向進行配置選擇9.8訪問控制列表的應(yīng)用位置-1數(shù)據(jù)流的源IP是0ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany目標網(wǎng)絡(luò)可以應(yīng)用在出接口可以應(yīng)用在入接口2、在什么設(shè)備上配置ACL？需要結(jié)合實際的需求來判斷將ACL應(yīng)用在什么層次的設(shè)備上控制VLAN內(nèi)的數(shù)據(jù)流，則需要在接入交換機上配置ACL控制VLAN間的數(shù)據(jù)流，則需要在匯聚交換機（網(wǎng)關(guān)）配置ACL配置如下的ACL，應(yīng)用在何處才能夠使得PCA無法訪問PCB？B是對的，因為同一個vlan內(nèi)的數(shù)據(jù)流不需要經(jīng)過匯聚交換機9.8訪問控制列表的應(yīng)用位置-2VLAN10接入交換機匯聚交換機PCA0/24PCB0/24VLAN20ipaccess-listextendedFOR_VLAN1010denyiphost0host020permitipanyanyA、應(yīng)用在該接口，方向為inB、應(yīng)用在該接口，方向為in2、在什么設(shè)備上配置ACL？要求VLAN10不能訪問VLAN30，VLAN20不能訪問VLAN40如果將ACL配置在接入交換機上，需要在多臺交換機上配置，配置工作量較大，而且容易出錯因此控制跨網(wǎng)段轉(zhuǎn)發(fā)的數(shù)據(jù)，建議在匯聚網(wǎng)關(guān)(SVI接口)上配置ACL，這樣可以減少配置量，并方便維護9.8訪問控制列表的應(yīng)用位置-2VLAN10接入交換機匯聚交換機VLAN20VLAN10VLAN20VLAN30VLAN40……………在網(wǎng)關(guān)交換機的SVI下配置ACLipaccess-listextendedFOR_VLAN10（為VLAN20配置的ACL略）10denyip555520permitipanyanyRuijie(config)#intvlan10Ruijie((config-VLAN10)#ipaccess-groupFOR_VLAN10inRuijie(config)#intvlan20Ruijie((config-VLAN20)#ipaccess-groupFOR_VLAN20in3、ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用？需要結(jié)合ACL的類型以及實際的應(yīng)用、配置的工作量進行考慮標準ACL（匹配源地址），在靠近報文目的的設(shè)備上進行配置如果應(yīng)用在靠近數(shù)據(jù)源的設(shè)備上，會有什么問題？9.8訪問控制列表的應(yīng)用位置-3使用標準ACL控制PCA不能訪問PCBipaccess-liststandardAtoB10deny5520permitipanyany內(nèi)部網(wǎng)絡(luò)PCA0/24PCB0/243、ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用？需要結(jié)合ACL的類型以及實際的應(yīng)用、配置的工作量進行考慮標準ACL（匹配源地址），在靠近報文目的的設(shè)備上進行配置擴展ACL（匹配目的地址），建議在靠近報文源的設(shè)備上進行配置避免數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過多個設(shè)備轉(zhuǎn)發(fā)才在靠近目的的設(shè)備上被丟棄掉，會浪費網(wǎng)絡(luò)資源9.8訪問控制列表的應(yīng)用位置-3使用擴展ACL控制PCA不能訪問PCBipaccess-listextendedAtoB10denyip555520permitipanyany內(nèi)部網(wǎng)絡(luò)PCA0/24PCB0/243、ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用？需要結(jié)合ACL的類型以及實際的應(yīng)用、配置的工作量進行考慮標準ACL（匹配源地址），在靠近報文目的的設(shè)備上進行配置擴展ACL（匹配目的地址），建議在靠近報文源的設(shè)備上進行配置對于擴展ACL，如果想集中控制的話，也可以在報文目的設(shè)備上進行配置若要控制很多源IP網(wǎng)段不能訪問PCB，可以在靠近PCB的設(shè)備上應(yīng)用ACL，減少配置工作量，實現(xiàn)集中管理9.8訪問控制列表的應(yīng)用位置-3PCC0/24使用擴展ACL控制PCA和PCC不能訪問PCBipaccess-listextendedtoB10denyip555520denyip555530permitipanyany內(nèi)部網(wǎng)絡(luò)PCA0/24PCB0/24在實際中除了使用ACL控制網(wǎng)段之間的互訪外，還有一種比較常見的用法，就是封閉常見的病毒或木馬占用的端口，并在三層網(wǎng)關(guān)SVI接口下應(yīng)用，如下的防病毒ACL配置防病毒的ACL也可能會與某些應(yīng)用的端口號重合，實施時需要注意控制互訪和防病毒兩種應(yīng)用在實際中也多結(jié)合在一起，因此在配置的時候需要注意ACE的先后順序防病毒應(yīng)用ipaccess-listextendedantivirus10denytcpanyanyeq106820denytcpanyanyeq555430denytcpanyanyeq999540denytcpanyanyeq999650denytcpanyanye