收藏
下载资源

acl等安全特性培训

上传人:繁星 文档编号:88246912 上传时间:2019-04-22 格式:PPT 页数:81 大小:599KB
返回 下载 相关 举报
acl等安全特性培训_第1页
第1页 / 共81页
acl等安全特性培训_第2页
第2页 / 共81页
acl等安全特性培训_第3页
第3页 / 共81页
acl等安全特性培训_第4页
第4页 / 共81页
acl等安全特性培训_第5页
第5页 / 共81页
点击查看更多>>
资源描述

《acl等安全特性培训》由会员分享,可在线阅读,更多相关《acl等安全特性培训(81页珍藏版)》请在金锄头文库上搜索。

1、Acl、filter等安全特性培训,华为公司数据通信 VRP测试部,内容,ACL:访问控制列表 FILTER:包过滤 BLACKLIST:黑名单 MACBINDING:MAC绑定 DEFEND:防攻击,Acl的定义,ACL(Access Control List),即访问控制列表,是一个有序的语句集,通过匹配接收的报文中信息与访问控制列表中的参数,对数据包进行分类,来permit/deny匹配的报文通过某个接口。,acl number 2000 rule 5 permit source 1.1.1.0 0.0.0.255 rule 10 deny source 3.3.0.0 0.0.255.

2、255 acl number 3000 rule 5 permit icmp source 1.1.1.1 0 time-range time1 #,Acl的定义,acl number 2000 match-order auto rule 5 permit source 1.1.1.0 0.0.0.255 time-range time1,Acl编号,匹配顺序,子规则编号,动作,子规则,源地址,其它选项,rule 10 permit source 2.2.2.0 0.0.0.255 vpn-instance vrf1,rule 4294967294 deny,一条acl,ACL(Access

3、Control List),即访问控制列表,是一个有序的语句集,通过匹配接收的报文中信息与访问控制列表中的参数,对数据包进行分类,来permit/deny匹配的报文通过某个接口。,Acl的分类,按表示方法 数字表示,用1,199和1000,1999之间的数字,称为ACL规则的序号; 名字表示,称为ACL规则的名字。(目前已将命名的acl去掉) 按用途 标准的ACL规则。序号为2000,2999 ,仅包括IP报文的源地址。 扩展的ACL规则(或高级acl规则)。序号为3000,3999,包括ip报文的服务类型、协议类型、源/目的地址,以及UDP和TCP报文的源/目的端口号等。 基于接口过滤的AC

4、L规则。序号为1000,1999。,标准acl,标准acl(续),OSPF_RT1acl 2000 rule 5 deny source 131.108.0.0 0.0.255.255 rule 10 permit source 13.0.0.0 0.255.255.255 time time1,标准acl子规则的元素有: 1、源地址 2、其它选项: timerange(时间段) fragment vpn-instance logging,扩展acl,OSPF_RT1acl 3000 rule 5 permit tcp source 1.1.0.0 0.0.255.255 source-por

5、t eq 14 destination 6.6.6.6 0 destination-port gt 1000,扩展acl (续),扩展acl(续),扩展acl子规则的元素有: 1、协议号、源地址、目的地址 2、根据协议不同 Tcp、udp(源端口号、目的端口号) Icmp(type,code) 3、其它选项: timerange(时间段) fragment vpn-instance logging tos precedence,OSPF_RT1acl 3000 rule 5 permit tcp source 1.1.0.0 0.0.255.255 source-port eq 14 dest

6、ination 6.6.6.6 0 destination-port gt 1000,当只需根据源ip地址进行包过滤时,虽然标准acl和扩展acl都能实现,但尽量用标准acl,因为标准的acl处理速度快。,基于接口的acl,基于接口的acl子规则的元素有: 1、接口 timerange(时间段) logging,OSPF_RT1acl 1000 rule 5 permit interface Ethernet5/2/0 rule 10 deny interface Pos3/0/0,基于接口acl(续),基于接口的acl应用于防火墙时:主要控制从某个接口(acl中配置的接口)进来的数据包是否允

7、许从某个接口(在该接口上配置包过滤防火墙)出去,主要用于数据的转发,一般对本地产生的数据包不起作用,但如果acl中定义了any接口则对本地数据包进行匹配时就不检查数据包的入接口了,即认为匹配,直接执行相应的动作(permit/deny)。 基于接口的acl只能作用在接口的出口方向上。当接口的出接口上同时配置有基于接口的acl和标准或扩展的acl时,基于接口的acl优先级高,如果基于接口的acl满足匹配,则不再进行其它的acl匹配,当基于接口的acl不匹配时,标准或扩展的acl才进行匹配。,通配符屏蔽字,Acl的源地址和目的地址的掩码使用的是通配符屏蔽字(反掩码方式),通配符屏蔽字规定了当一个I

8、 P地址与其他的I P地址进行比较时,该I P地址中哪些位应该被忽略。通配符屏蔽字中的“ 1”表示忽略I P地址中对应的位,而“ 0”则表示该位必须保留,进行比较匹配。 支持不连续的反掩码,但必须满足通配符屏蔽字的匹配规则(“忽略1,匹配0”,记住并理解这句话,就可以了)。,acl number 2000 rule 5 permit source 1.2.3.4 12.34.56.78 1.2.3.4-00000001.00000010.00000011.00000100 12.34.56.78-00001100.00100010.00111000.01001110,1.2.3.4-00000

9、001.00000010.00000011.00000100,Acl的匹配顺序,由于一条ACL由多条规则组成,因此这些规则可能存在重复或矛盾等冲突地方,在将一个数据包和acl的规则进行匹配的时候,到底采用哪些规则呢?此时判断的依据就是规则的匹配顺序,在创建acl规则时指定的,有两种:配置顺序和自动排序。,OSPF_RT1acl 3000 rule 5 permit tcp source 1.1.0.0 0.0.255.255 source-port eq 14 destination 6.6.6.6 0 destination-port gt 1000 rule 10 permit ip so

10、urce 2.2.2.2 0.0.0.0 rule 15 deny ip source 3.3.3.3 0.0.0.0 rule 20 permit ip rule 25 deny ip source 2.2.2.2 0.0.0.0 。,Acl匹配顺序配置顺序,配置顺序,按照配置规则的先后顺序进行匹配。 当创建acl时如果不指定匹配顺序,则缺省是配置顺序。,OSPF_RT1 acl 3000 match-order config OSPF_RT1 rule 5 permit tcp source-port eq 17 OSPF_RT1 rule permit tcp source-port e

11、q 16 OSPF_RT1-acl-if-1000 dis acl 3000 Advanced ACL 3000, 2 rules Acls step is 5 rule 5 permit tcp source-port eq 17 (0 times matched) rule 10 permit tcp source-port eq 16 (0 times matched),配置顺序(续)step步长,为解决用户可以随意修改匹配顺序,将一条子规则插入到当前的acl规则组中,增加步长step的概念: 按照步长(1-20)自动调整规则号,即当不指定具体规则号时,自动为其分配子规则号,步长为ste

12、p指定的值,这样可以在某个子规则之前添加新的子规则,缺省步长为5。注意自动分配的子规则号不是当前最大子规则号步长,而是大于当前最大子规则号的步长的最小整数倍,比如步长为10,当前最大的子规则号为18,则下一次自动分配的子规则号是20,而不是28。 8070a-acl-basic-2000step 10 8070a-acl-basic-2000undo step,Acl的匹配顺序自动匹配,按照“深度优先”的原则,“深度优先”规则是把指定数据包范围最小的语句排在最前面系统。 具体标准为: 对于标准acl:直接比较源地址掩码长度,相同的则按配置顺序 对于接口acl:配置了“any”的规则排在后面,其

13、它按配置顺序 对于扩展acl:将按照如下顺序匹配, 协议号; 源地址掩码长度; 目的地址掩码长度; 源端口号; 目的端口号; 在上述条件相同的情况下,按照配置先后排序。,Acl的匹配顺序自动匹配(续),现在自动匹配的acl不能进行编辑,也不能指定子规则号。 ne16acl number 2003 match-order auto ne16-acl-basic-2003rule permit ne16-acl-basic-2003dis acl 2003 Basic ACL 2003, 1 rule, match-order is auto Acls step is 5 rule 0 permi

14、t (0 times matched) ne16-acl-basic-2003rule 0 p s 1.1.1.1 0 Cant edit rule,when match-order is auto /不能编辑 ne16-acl-basic-2003rule 3 p The ACLs matchorder is auto, so cant specify subitem /不能指定子规则号,Acl的匹配顺序注意事项,缺省情况下匹配顺序为按用户的配置排序,即“config”。 自动匹配时,具体协议号优先于IP协议,各个具体协议号之间无优先次序(按照配置顺序); 自动匹配时,具体端口优先于没有指定

15、端口,各个具体端口号之间无优先次序; 用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序,除非把该ACL的rule内容全部删除,再重新指定其匹配顺序。 使用display acl命令就可以看出是哪条规则首先生效。显示时,无论是哪种排序,列在前面的规则首先生效。 对一条报文进行匹配时,如果前面有一条规则匹配上,则停止匹配,不再与后面的规则匹配。如果前面没有规则匹配上才按照一定的顺序继续匹配。,Rule子规则组的编辑功能,对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分是不受影响的。即rule规则具有局部编辑功能。但如果编辑规则时没有指定编号,则认为是增加

16、新规则。 只能增加有效的规则,对无效的规则增加不上。有时有效的规则可能与配置的命令行不完全一样,但逻辑相同,比如端口号gt 65534,改为eq 65535。,OSPF_RT1-acl-adv-3000dis acl 3000 rule 15 permit tcp source 1.1.0.0 0.0.255.255 source-port eq 14 destination 6.6.6.6 0 destination-port gt 1000 OSPF_RT1-acl-adv-3000rule 15 p tc s 4.4.4.4 0.0.0.0 OSPF_RT1-acl-adv-3000dis acl 3000 rule 15 permit tcp source 4.4.4.4 0 source-port eq 14 destination 6.6.6.6 0 dest

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作范文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号