《网络安全之ACL》由会员分享,可在线阅读,更多相关《网络安全之ACL(14页珍藏版)》请在金锄头文库上搜索。
1、细心整理网络平安之ACL(访问限制列表)【试验目的】1、驾驭根本ACL的原理及配置方法。2、熟悉高级ACL的应用场合并灵敏运用。【试验环境】H3C三层交换机1台,PC 3台,标准网线3根。【引入案例 1】 某公司建立了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机或路由器互联,并接入互联网。自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部埋怨研发部的人看了不该看的数据,一会儿领导埋怨员工上班时候成天偷偷泡网,等等。有什么方法能够解决这些问题呢?【案例分析】 网络应用与互联网的普及在大
2、幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的平安性、员工常常利用互联网做些与工作不相干的事等等。一方面,为了业务的开展,必需允许合法访问网络,另一方面,又必需确保企业数据和资源尽可能平安,限制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。网络平安接受的技术许多,通过ACLAccess Control List,访问限制列表对数据包进展过滤,实现访问限制,是实现根本网络平安的手段之一。【根本原理】ACL是依据数据特征实施通过或阻挡确定的过程限制方法,是包过滤防火墙的一种重要实现方式。ACL是在网络设备中定义的一个列表,由一系列的匹配规那
3、么rule组成,这些规那么包含了数据包的一些特征,比方源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略允许permint或制止Deny数据包通过。基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。每个端口的出站方向Outbound和入站方向Inbound均可配置独立的ACL进展包过滤。基于ACL的包过滤当路由器收到一个数据包时,假如进入端口处没有启动ACL包过滤,那么数据包干脆提交路由器转发进程处理,假如进入端口处启动了ACL包过滤,那么数据交给入站防火墙进展过滤,其工作流程如下图。入站包过滤工作流程一个ACL可以包含多条规那么,每条规那么都定义了一个匹配条件
4、及其相应的动作。ACL规那么的动作即允许或拒绝。1系统用ACL的第一条规那么的条件来尝试匹配数据包的信息。2假如数据包的特征与规那么的条件相符称数据包命中此规那么,那么执行规那么所设定的动作,假如是peimit,那么允许数据包穿过防火墙,交由路由转发进程处理,假如是deny,那么系统丢弃数据包。3假如数据包特征与规那么的条件不符,那么转下一条规那么接着尝试匹配。4假如数据包没有命中任何一条规那么的条件,那么执行防火墙的默认动作。须要留意的是,流程图中最终的默认规那么用来定义对ACL以外的数据包的处理方式,即在没有规那么去判定数据包是否可以通过的时候,防火墙所接受的策略是允许还是拒绝。同样地,当
5、路由器准备从某端口上发出一个数据包时,假如该端口处没有ACL启动包过滤,那么数据包干脆发出,假如该端口处启动了ACL包过滤,那么数据将交给出站防火墙进展过滤,其工作流程如下图。出站包过滤工作流程在配置ACL的时候,须要定义一个数字序号,并利用这个序号来唯一标识一个ACL。依据应用目的,ACL可以分为以下几种类型:l 根本ACL序号为20002999:也称为标准访问限制列表,只依据报文的源IP地址信息制定匹配规那么。l 高级ACL序号为30003999: 也称为扩展访问限制列表,依据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规那么。其中3998与
6、3999是系统为集群管理预留的编号,用户无法配置。l 二层ACL序号为40004999: 依据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定匹配规那么。l 用户自定义ACL序号为50005999 :可以以报文的报文头、IP头等为基准,指定从第几个字节起先与掩码进展“与”操作,将从报文提取出来的字符串和用户定义的字符串进展比拟,找到匹配的报文。【叮嘱介绍】1定义根本ACL,并进入相应的ACL视图acl number acl-number删除指定的ACL,或者删除全部ACL的叮嘱:undo acl all | number acl-number 视图系统视图参数l
7、number acl-number:ACL序号,根本IPv4 ACL的序号取值范围为20002999,高级IPv4 ACL的序号取值范围为30003999。2定义根本ACL规那么1指定要匹配的源IP地址范围。2指定动作是permit或deny。rule rule-id deny | permit rule-string 删除ACL规那么或者规那么中的某些属性信息的叮嘱:undo rule rule-id fragment | source | time-range *视图根本ACL视图参数l rule-id:ACL规那么编号,取值范围为065534。l deny:表示丢弃符合条件的数据包。l
8、permit:表示允许符合条件的数据包通过。l rule-string:ACL规那么信息,包括:1fragment:分片信息。定义规那么仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。2source sour-addr sour-wildcard | any :指定根本ACL规那么的源地址信息。sour-addr表示报文的源IP地址,接受点分十进制表示;sour-wildcard 表示目标子网的反掩码,接受点分十进制表示,sour-wildcard可以为0,代表主机地址;any表示随意源IP地址。3time-range time-name:指定规那么生效的时间。time-name:指
9、定规那么生效的时间段名称,为132个字符的字符串,不区分大小写,必需以英文字母az或AZ开头,为幸免混淆,时间段的名字不行以运用英文单词all。通配符掩码,也称反掩码,和子网掩码相像,也是由0和1组成的32位bit,以点分十进制形式表示。反掩码的作用是通过与IP地址执行比拟操作来标识网络,和子网掩码不同的是,反掩码的比特序列中,1表示“相应的地址位不须要检查”,0表示“相应的地址位必需被检查”。通配符掩码应用例如IP地址通配符掩码表示的地址范围.255.255.0例 创立根本ACL 2000,定义规那么1,制止源IP地址为的报文通过。 system-viewSystem View: retur
10、n to User View with Ctrl+Z.H3C acl number 2000H3C-acl-basic-2000 rule 1 deny source 192.168.0.1 0H3C-acl-basic-2000 quit3在端口上应用ACL将ACL应用到端口上,配置的ACL包过滤才能生效,并且须要指明在接口上应用的方向是Outbound还是Inboundpacket-filter inbound | outbound acl-rule取消ACL在端口上的应用的叮嘱:undo packet-filter inbound | outbound acl-rule视图以太网端口视图
11、参数l inbound:表示对端口接收的数据包进展过滤。l outbound:表示对端口发送的数据包进展过滤。l acl-rule:应用的ACL规那么,可以是多种ACL的组合。例如,1单独应用一个IP型ACL根本ACL或高级ACL中的全部规那么:ip-group acl-number2单独应用一个IP型ACL中的一条规那么:ip-group acl-number rule rule-id例端口Ethernet 1/0/1上应用根本ACL 2000中的全部规那么,对端口接收的数据包进展过滤。假设根本ACL 2000已经创立并且相关规那么已经存在。 system-viewSystem View:
12、return to User View with Ctrl+Z.H3C interface Ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000H3C-Ethernet1/0/1 quit4.ACL包过滤信息显示1显示ACL的配置信息。display acl all | acl-number 视图随意视图须要留意的是,假如用户在配置ACL的时候指定了match-order参数,那么在运用display acl叮嘱时,显示的是交换机遵照auto深度优先或config配置依次对ACL中的规那么进展排序后的结果。例显示
13、根本ACL 2000的配置信息。 display acl 2000Basic ACL 2000, 3 rules, match-order is autoThis acl is used in eth 1/0/1Acls step is 1rule 3 permit source rule 2 permit source rule 1 permit source display acl叮嘱显示信息描述表字段描述Basic ACL 2000该ACL属于根本ACL,序号为20003 rules该根本ACL包含3条规那么Match-order is auto该根本ACL的匹配依次为“深度优先”,假如
14、不显示此字段,那么表示匹配依次为config配置依次This acl is used in eth 1/0/1该根本ACL的描述信息Acls step is 1该根本ACL的规那么序号的步长值为1Rule 3 permit source 该根本ACL包含的规那么的详细信息5、显示包过滤的应用信息display packet-filter interface interface-type interface-number 视图随意视图参数l interface interface-type interface-number:端口类型和端口编号。l unitid unit-id:交换机的Unit ID。假如交换机没有形成Fabric交换机互连,构成一个“联合设备”,那么unit-id参数的取值只能为1,表示显示当前交换机上全部端口的包过滤的应用信息;假如交换机已经形成Fabric,那么unit-id参数的取值范围为18,表示显示指定Unit上全部端口的包过滤的应用信息。例 交换机没有形成Fabric,显示当前交换机全部端口上包过滤的应用信息。 display packet-filter unitid 1Ethernet1/0/1Inbound:Acl 2000 rule 0 runn
