第22章 用訪問控制列表實現(xiàn)包過濾

1、用訪問控制列表實現(xiàn)(shxin)包過濾共三十三頁要增強網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問或某些數(shù)據(jù)的能力。ACL包過濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)(jsh)。它使用ACL來實現(xiàn)數(shù)據(jù)識別，并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。由ACL定義的報文匹配規(guī)則，還可以被其它需要對數(shù)據(jù)進行區(qū)分的場合引用。引入共三十三頁了解ACL定義及應用掌握(zhngw)ACL包過濾工作原理掌握ACL的分類及應用掌握ACL包過濾的配置掌握ACL包過濾的配置應用注意事項課程目標學習完本課程(kchng)，您應該能夠：共三十三頁ACL概述ACL包過濾原理(yunl)ACL分類配置ACL包過濾ACL包過濾的注意事項目錄(ml

2、)共三十三頁ACL概述(i sh)ACL（Access Control List，訪問控制列表）是用來實現(xiàn)數(shù)據(jù)包識別功能的ACL可以應用于諸多方面包過濾防火墻功能 NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換(zhunhun)）QoS（Quality of Service，服務(wù)質(zhì)量）的數(shù)據(jù)分類路由策略和過濾按需撥號共三十三頁ACL概述ACL包過濾(gul)原理ACL分類配置ACL包過濾ACL包過濾的注意事項目錄(ml)共三十三頁基于(jy)ACL的包過濾技術(shù)對進出的數(shù)據(jù)包逐個過濾，丟棄(diq)或允許通過ACL應用于接口上，每個接口的出入雙向分別過濾僅當數(shù)據(jù)包經(jīng)

3、過一個接口時，才能被此接口的此方向的ACL過濾入方向過濾入方向過濾出方向過濾出方向過濾接口接口路由轉(zhuǎn)發(fā)進程共三十三頁入站包過濾(gul)工作流程匹配(ppi)第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置入方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包進入轉(zhuǎn)發(fā)流程NoNoNo檢查默認規(guī)則設(shè)定共三十三頁出站包過濾工作(gngzu)流程匹配(ppi)第一條規(guī)則數(shù)據(jù)包到達出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置出方向ACL包過濾NoPermitDenyP

4、ermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包出站NoNoNo檢查默認規(guī)則設(shè)定共三十三頁通配符掩碼通配符掩碼含義0.0.0.255只比較前24位0.0.3.255只比較前22位0.255.255.255只比較前8位通配符掩碼和IP地址結(jié)合使用以描述一個地址范圍(fnwi)通配符掩碼和子網(wǎng)掩碼相似，但含義不同0表示對應位須比較1表示對應位不比較共三十三頁通配符掩碼的應用(yngyng)示例IP地址通配符掩碼表示的地址范圍192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/2219

5、2.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24共三十三頁ACL概述ACL包過濾原理(yunl)ACL分類配置ACL包過濾ACL包過濾的注意事項目錄(ml)共三十三頁ACL的標識(biozh)利用數(shù)字序號標識(biozh)訪問控制列表可以給訪問控制列表指定名稱，便于維護訪問控制列表的分類數(shù)字序號的范圍基本訪問控制列表 20002999 擴展訪問控制列表

6、30003999 基于二層的訪問控制列表 40004999 用戶自定義的訪問控制列表 50005999 共三十三頁基本(jbn)ACL基本訪問控制列表只根據(jù)報文的源IP地址信息制定(zhdng)規(guī)則接口接口從1.1.1.0/24來的數(shù)據(jù)包不能通過從2.2.2.0/28來的數(shù)據(jù)包可以通過DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分組分組共三十三頁高級(goj)ACL高級訪問控制列表根據(jù)報文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性(txng)等三、四層信息制定規(guī)則接口接口從1.1.1.0/24來，到3.3.3.1的TCP端口80去的數(shù)據(jù)包不

7、能通過從1.1.1.0/24來，到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過DA=3.3.3.1, SA=1.1.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1TCP, DP=23, SP=3176分組分組共三十三頁二層ACL與用戶(yngh)自定義ACL二層ACL根據(jù)報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型(lixng)等二層信息制定匹配規(guī)則用戶自定義ACL可以根據(jù)任意位置的任意字串制定匹配規(guī)則報文的報文頭、IP頭等為基準，指定從第幾個字節(jié)開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，

8、找到匹配的報文。共三十三頁ACL概述ACL包過濾(gul)原理ACL分類配置ACL包過濾ACL包過濾的注意事項目錄(ml)共三十三頁ACL包過濾配置(pizh)任務(wù)啟動包過濾防火墻功能，設(shè)置默認的過濾規(guī)則 根據(jù)需要選擇合適的ACL分類創(chuàng)建正確(zhngqu)的規(guī)則設(shè)置匹配條件設(shè)置合適的動作（Permit/Deny)在路由器的接口上應用ACL，并指明過濾報文的方向（入站/出站）共三十三頁啟動包過濾(gul)防火墻功能防火墻功能需要在路由器上啟動后才能生效設(shè)置防火墻的默認過濾(gul)方式系統(tǒng)默認的默認過濾方式是permit sysname firewall enable sysname fire

9、wall default permit | deny 共三十三頁配置(pizh)基本ACLsysname acl number acl-number配置基本ACL，并指定(zhdng)ACL序號基本IPv4 ACL的序號取值范圍為20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name 定義規(guī)則制定要匹配的源IP地址范圍指定動作是permit或deny共三十三頁配置(pizh)

10、高級ACL配置(pizh)高級IPv4 ACL，并指定ACL序號高級IPv4 ACL的序號取值范圍為30003999sysname-acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time

11、-range time-name sysname acl number acl-number定義規(guī)則需要配置規(guī)則來匹配源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議端口號等信息指定動作是permit或deny共三十三頁配置(pizh)二層ACL配置(pizh)二層 ACL，并指定ACL序號二層ACL的序號取值范圍為40004999sysname-acl-ethernetframe-4000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard

12、 | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-number定義規(guī)則需要配置規(guī)則來匹配源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息指定動作是permit或拒絕deny共三十三頁在接口(ji ku)上應用ACL將ACL應用到接口上，配置的ACL包過濾才能生效指明在接口上應用的方向(fngxing)是Outbound還是Inboundsysname-Serial2/0 firewall packet-filter acl-number | name acl

13、-name inbound | outbound 共三十三頁ACL包過濾(gul)顯示與調(diào)試操作命令查看防火墻的統(tǒng)計信息display firewall-statistics all | interface interface-type interface-number查看以太網(wǎng)幀過濾情況的信息display firewall ethernet-frame-filter all | dlsw | interface interface-type interface-number 清除防火墻的統(tǒng)計信息reset firewall-statistics all | interface interf

14、ace-type interface-number顯示配置的IPv4 ACL信息display acl acl-number | all清除IPv4 ACL統(tǒng)計信息reset acl counter acl-number | all |共三十三頁ACL概述(i sh)ACL包過濾原理ACL分類配置ACL包過濾ACL包過濾的注意事項目錄(ml)共三十三頁ACL規(guī)則的匹配(ppi)順序匹配順序指ACL中規(guī)則(guz)的優(yōu)先級。ACL支持兩種匹配順序：配置順序(config)：按照用戶配置規(guī)則的先后順序進行規(guī)則匹配自動排序(auto)：按照“深度優(yōu)先”的順序進行規(guī)則匹配，即地址范圍小的規(guī)則被優(yōu)先進行

15、匹配配置ACL的匹配順序： sysname acl number acl-number match-order auto | config 共三十三頁不同(b tn)匹配順序?qū)е陆Y(jié)果不同(b tn)接口(ji ku)接口DA=3.3.3.3 SA=1.1.1.1分組acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0接口接口DA=3.3.3.3 SA=1.1.1.1分組acl number 2000 match-order auto rule perm

16、it source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0共三十三頁在網(wǎng)絡(luò)中的正確(zhngqu)位置配置ACL包過濾盡可能在靠近數(shù)據(jù)源的路由器接口上配置ACL，以減少不必要的流量(liling)轉(zhuǎn)發(fā)高級ACL應該在靠近被過濾源的接口上應用ACL，以盡早阻止不必要的流量進入網(wǎng)絡(luò)基本ACL過于靠近被過濾源的基本ACL可能阻止該源訪問合法目的應在不影響其他合法訪問的前提下，盡可能使ACL靠近被過濾的源共三十三頁高級(goj)ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA要求PCA不能訪問NetworkA和Networ

17、kB，但可以(ky)訪問其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC acl number 3000RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound 共三十三頁基本(jbn)A

18、CL部署位置示例要求PCA不能訪問(fngwn)NetworkA和NetworkB，但可以訪問(fngwn)其他所有網(wǎng)絡(luò)PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTA firewall enableRTA acl number 2000RTA-acl-basic-2000 rule deny source 172.16.0.1 0RTA-Ethernet0/1 firewall packet-filter 2000 inbound共三十三頁