X00060100 第27章 用访问控制列表实现包过滤

nullnull用访问控制列表实现包过滤ISSUE 1.0日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播null要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。 ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。 由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。 引入null了解ACL定义及应用 掌握ACL包过滤工作原理 掌握ACL的分类及应用 掌握ACL包过滤的配置 掌握ACL包过滤的配置应用注意事项课程目标学习完本课程，您应该能够：nullACL概述 ACL包过滤原理 ACL分类 配置ACL包过滤 ACL包过滤的注意事项目录ACL概述ACL概述ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的 ACL可以应用于诸多方面 包过滤防火墙功能 NAT（Network Address Translation，网络地址转换） QoS（Quality of Service，服务质量）的数据分类 路由策略和过滤 按需拨号nullACL概述 ACL包过滤原理 ACL分类 配置ACL包过滤 ACL包过滤的注意事项目录基于ACL的包过滤技术基于ACL的包过滤技术对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤入方向过滤入方向过滤出方向过滤出方向过滤接口接口路由转发进程入站包过滤工作入站包过滤工作流程匹配第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置 入方向ACL 包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包进入 转发流程NoNoNo检查默认规则设定出站包过滤工作流程出站包过滤工作流程匹配第一条规则数据包到达 出接口匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置 出方向ACL 包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包出站NoNoNo检查默认规则设定通配符掩码通配符掩码通配符掩码和IP地址结合使用以描述一个地址范围 通配符掩码和子网掩码相似，但含义不同 0表示对应位须比较 1表示对应位不比较 通配符掩码的应用示例通配符掩码的应用示例nullACL概述 ACL包过滤原理 ACL分类 配置ACL包过滤 ACL包过滤的注意事项目录ACL的标识ACL的标识利用数字序号标识访问控制列表可以给访问控制列表指定名称，便于维护基本ACL基本ACL基本访问控制列表只根据报文的源IP地址信息制定规则接口接口从1.1.1.0/24来的数据包不能通过 从2.2.2.0/28来的数据包可以通过DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分组分组高级ACL高级ACL高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则接口接口从1.1.1.0/24来，到3.3.3.1的TCP端口80去的数据包不能通过 从1.1.1.0/24来，到2.2.2.1的TCP端口23去的数据包可以通过DA=3.3.3.1, SA=1.1.1.1 TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1 TCP, DP=23, SP=3176分组分组二层ACL与用户自定义ACL二层ACL与用户自定义ACL二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则 用户自定义ACL可以根据任意位置的任意字串制定匹配规则 报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。 nullACL概述 ACL包过滤原理 ACL分类 配置ACL包过滤 ACL包过滤的注意事项目录ACL包过滤配置任务ACL包过滤配置任务启动包过滤防火墙功能，设置默认的过滤规则 根据需要选择合适的ACL分类 创建正确的规则 设置匹配条件 设置合适的动作（Permit/Deny) 在路由器的接口上应用ACL，并指明过滤报文的方向（入站/出站） 启动包过滤防火墙功能启动包过滤防火墙功能防火墙功能需要在路由器上启动后才能生效 设置防火墙的默认过滤方式 系统默认的默认过滤方式是permit [sysname] firewall enable [sysname] firewall default { permit | deny } 配置基本ACL配置基本ACL配置基本ACL，并指定ACL序号 基本IPv4 ACL的序号取值范围为2000～2999[sysname] acl number acl-number[sysname-acl-basic-2000] rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-name ] 定义规则 制定要匹配的源IP地址范围 指定动作是permit或deny配置高级ACL配置高级ACL配置高级IPv4 ACL，并指定ACL序号 高级IPv4 ACL的序号取值范围为3000～3999[sysname-acl-adv-3000] rule [ rule-id ] { deny | permit } protocol [ destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] established | fragment | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-name] [sysname] acl number acl-number定义规则 需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息 指定动作是permit或deny配置二层ACL配置二层ACL配置二层 ACL，并指定ACL序号 二层ACL的序号取值范围为4000～4999[sysname-acl-ethernetframe-3000] rule [ rule-id ] { deny | permit } [ cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name] [sysname] acl number acl-number定义规则 需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息 指定动作是permit或拒绝deny在接口上应用ACL在接口上应用ACL将ACL应用到接口上，配置的ACL包过滤才能生效 指明在接口上应用的方向是Outbound还是Inbound [sysname-Serial2/0 ] firewall packet-filter { acl-number | name acl-name } { inbound | outbound } ACL包过滤显示与调试ACL包过滤显示与调试nullACL概述 ACL包过滤原理 ACL分类 配置ACL包过滤 ACL包过滤的注意事项目录ACL规则的匹配顺序ACL规则的匹配顺序匹配顺序指ACL中规则的优先级。 ACL支持两种匹配顺序： 配置顺序（config）：按照用户配置规则的先后顺序进行规则匹配 自动排序（auto）：按照“深度优先”的顺序进行规则匹配，即地址范围小的规则被优先进行匹配 配置ACL的匹配顺序： [sysname] acl number acl-number [ match-order { auto | config } ]不同匹配顺序导致结果不同不同匹配顺序导致结果不同接口接口DA=3.3.3.3 SA=1.1.1.1分组acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0接口接口DA=3.3.3.3 SA=1.1.1.1分组acl number 2000 match-order auto rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0在网络中的正确位置配置ACL包过滤在网络中的正确位置配置ACL包过滤尽可能在靠近数据源的路由器接口上配置ACL，以减少不必要的流量转发 高级ACL 应该在靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络 基本ACL 过于靠近被过滤源的基本ACL可能阻止该源访问合法目的 应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源 高级ACL部署位置示例高级ACL部署位置示例要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络PCA 172.16.0.1E0/1E0/0RTCRTBRTANetworkA 192.168.0.0/24NetworkB 192.168.1.0/24NetworkC 192.168.2.0/24NetworkD 192.168.3.0/24E0/0E0/1[RTC] firewall enable [RTC] acl number 3000 [RTC-acl-adv-3000] rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255 [RTC-Ethernet0/0] firewall packet-filter 3000 inbound 基本ACL部署位置示例基本ACL部署位置示例要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络PCA 172.16.0.1E0/1E0/0RTCRTBRTANetworkA 192.168.0.0/24NetworkB 192.168.1.0/24NetworkC 192.168.2.0/24NetworkD 192.168.3.0/24E0/0E0/1[RTA] firewall enable [RTA] acl number 2000 [RTA-acl-basic-2000] rule deny source 172.16.0.1 0 [RTA-Ethernet0/1] firewall packet-filter 2000 inbound ACL包过滤的局限性ACL包过滤的局限性ACL包过滤防火墙是根据数据包头中的二、三、四层信息来进行报文过滤的，对应用层的信息无法识别 无法根据用户名来决定数据是否通过 无法给不同的用户授予不同的权限级别 ACL包过滤防火墙是静态防火墙，无法对应用层协议进行动态null包过滤防火墙使用ACL过滤数据包；ACL还可用于NAT、QoS、路由策略、按需拨号等 基本ACL根据源IP地址进行过滤；高级ACL根据IP地址、IP协议号、端口号等进行过滤 ACL规则的匹配顺序会影响实际过滤结果 ACL包过滤防火墙的配置位置应尽量避免不必要的流量进入网络本章null