《网络安全之——ACL》由会员分享,可在线阅读,更多相关《网络安全之——ACL(14页珍藏版)》请在金锄头文库上搜索。
1、网络安全之ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。2、熟悉高级ACL的应用场合并灵活运用。【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。【引入案例 1】某公司建设了 Intranet,划分为经理办公室、档案室、网络中心、财务部、 研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并 接入互联网。自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者 登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一 会儿领导抱怨员工上班时候整天偷偷泡网,等等。有什么办法能够解决这些问题 呢?【案例分析】 网络应用与互联网的普
2、及在大幅提高企业的生产经营效率的同时也带来了 许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的 事等等。一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须 确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负 面影响,这就成了摆在网络管理员面前的一个重要课题。网络安全采用的技术很 多,通过ACL(Access Control List,访问控制列表)对数据包进行过滤,实现 访问控制,是实现基本网络安全的手段之一。【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙 的一种重要实现方式。 ACL 是在网络设备中定义的
3、一个列表,由一系列的匹配 规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、 协议类型以及端口号等信息,并预先设定了相应的策略一一允许(permint)或 禁止(Den y)数据包通过。基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。 每个端口的出站方向(0utbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。入方向过滤出方向过滤基于 ACL 的包过滤当路由器收到一个数据包时,如果进入端口处没有启动 ACL 包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了 ACL 包过滤,则数 据交给入站防火墙进行过滤,其工作
4、流程如图所示。丢弃No数据包入站YesPermitDeNoDenyerm itDenyACL包过滤是否配置入方向匹配第一条规则匹配第二条规则NoPermitNoDefault PernitDefault De入站包过滤工作流程匹配最后一条规则检查默认规则设通过数据包进入 转发流程/一个 ACL 可以包含多条规则,每条规则都定义了一个匹配条件及其相应的 动作。ACL规则的动作即允许或拒绝。(1) 系统用ACL的第一条规则的条件来尝试匹配数据包的信息。(2) 如果数据包的特征与规则的条件相符(称数据包命中此规则),则执行 规则所设定的动作,如果是peimit,则允许数据包穿过防火墙,交由路由转发进
5、 程处理,如果是deny,则系统丢弃数据包。(3) 如果数据包特征与规则的条件不符,则转下一条规则继续尝试匹配。(4)如果数据包没有命中任何一条规则的条件,则执行防火墙的默认动作。 需要注意的是,流程图中最后的默认规则用来定义对ACL以外的数据包的 处理方式,即在没有规则去判定数据包是否可以通过的时候,防火墙所采取的策 略是允许还是拒绝。同样地,当路由器准备从某端口上发出一个数据包时,如果该端口处没有ACL启动包过滤,则数据包直接发出,如果该端口处启动了 ACL包过滤,则数 据将交给出站防火墙进行过滤,其工作流程如图所示。数据包到达 出接口是否配置出万向DenyI匹配第一条规则rmit匹配第二
6、条规则查默认规则设出站包过滤工作流程配最后一条规则在配置ACL的时候,需要定义一个数字序号,并利用这个序号来唯一标识 一个 ACL。根据应用目的,ACL可以分为以下几种类型: 基本ACL (序号为20002999):也称为标准访问控制列表,只根据报文 的源IP地址信息制定匹配规则。 高级ACL (序号为30003999):也称为扩展访问控制列表,根据报文 的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性 等三、四层信息制定匹配规则。其中3998与3999是系统为集群管理预 留的编号,用户无法配置。 二层ACL (序号为40004999):根据报文的源MAC地址、目的MAC 地
7、址、 VLAN 优先级、二层协议类型等二层信息制定匹配规则。用户自定义ACL (序号为50005999):可以以报文的报文头、IP头 等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取 出来的字符串和用户定义的字符串进行比较,找到匹配的报文。【命令介绍】1. 定义基本ACL,并进入相应的ACL视图acl number acl-number删除指定的ACL,或者删除全部ACL的命令:undo acl all | number acl-number 视图系统视图参数 number acl-number: ACL 序号,基本 IPv4 ACL 的序号取值范围为 20002999,高级I
8、Pv4 ACL的序号取值范围为30003999。2. 定义基本ACL规则(1)指定要匹配的源 IP 地址范围。( 2)指定动作是 permit 或 deny。rule rule-id deny | permit rule-string 删除ACL规则或者规则中的某些属性信息的命令:undo rule rule-id fragment | source | time-range *视图基本 ACL 视图参数 rule-id: ACL规则编号,取值范围为065534。 deny:表示丢弃符合条件的数据包。 permit:表示允许符合条件的数据包通过。 rule-string: ACL规则信息,包括
9、:(1) fragment:分片信息。定义规则仅对非首片分片报文有效,而对非分 片报文和首片分片报文无效。(2) source sour-addr sour-wildcard | any :指定基本 ACL 规则的源地址 信息。sour-addr表示报文的源IP地址,采用点分十进制表示;sour-wildcard表 示目标子网的反掩码,采用点分十进制表示,sour-wildcard可以为0代表主机 地址; any 表示任意源 IP 地址。(3) time-range time-name:指定规则生效的时间。time-name:指定规则生 效的时间段名称,为132个字符的字符串,不区分大小写,必
10、须以英文字母a z或AZ开头,为避免混淆,时间段的名字不可以使用英文单词all。通配符掩码,也称反掩码,和子网掩码相似,也是由 0和 1 组成的 32 位 bit, 以点分十进制形式表示。反掩码的作用是通过与 IP 地址执行比较操作来标识网 络,和子网掩码不同的是,反掩码的比特序列中, 1 表示“相应的地址位不需要 检查”, 0表示“相应的地址位必须被检查”。通配符掩码应用示例IP地址通配符掩码表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.25519
11、2.0.0.0/8192.168.0.10.0.0.0192.168.0.1例 创建基本 ACL 2000,定义规则 1,禁止源 IP 地址为 192.168.0.1 的 报文通过。 system-viewSystem View: return to User View with Ctrl+Z.H3C acl number 2000H3C-acl-basic-2000 rule 1 deny source 192.168.0.1 0 H3C-acl-basic-2000 quit3在端口上应用 ACL将 ACL 应用到端口上,配置的 ACL 包过滤才能生效,并且需要指明在接口 上应用的方向是
12、Outbound 还是 Inboundpacket-filter inbound | outbound acl-rule取消ACL在端口上的应用的命令:undo packet-filter inbound | outbound acl-rule视图以太网端口视图参数 inbound:表示对端口接收的数据包进行过滤。 outbound:表示对端口发送的数据包进行过滤。 acl-rule:应用的ACL规则,可以是多种ACL的组合。例如,(1)单独应用一个IP型ACL (基本ACL或高级ACL)中的所有规则:ip-group acl-number(2)单独应用一个IP型ACL中的一条规则:ip-gr
13、oup acl-number rule rule-id例端口 Ethernet 1/0/1上应用基本ACL 2000中的所有规则,对端口接收 的数据包进行过滤。假设基本ACL 2000已经创建并且相关规则已经存在。 system-viewSystem View: return to User View with Ctrl+Z.H3C interface Ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000H3C-Ethernet1/0/1 quit4.ACL包过滤信息显示1)显示 ACL 的配置信息。displa
14、y acl all | acl-number视图任意视图需要注意的是,如果用户在配置 ACL 的时候指定了 match-order 参数,则在 使用display acl命令时,显示的是交换机按照auto (深度优先)或config (配置 顺序)对 ACL 中的规则进行排序后的结果。例显示基本 ACL 2000的配置信息。 display acl 2000Basic ACL 2000, 3 rules, match-order is autoThis acl is used in eth 1/0/1Acls step is 1rule 3 permit source 3.3.3.0 0.0.
15、0.255rule 2 permit source 2.2.0.0 0.0.255.255rule 1 permit source 1.0.0.0 0.255.255.255display acl 命令显示信息描述表字段描述Basic ACL 2000该ACL属于基本ACL,序号为20003 rules该基本ACL包含3条规则Match-order is auto该基本ACL的匹配顺序为“深度优先”,如果不显 示此字段,则表示匹配顺序为config (配置顺序)This acl is used in eth 1/0/1该基本ACL的描述信息Acls step is 1该基本ACL的规则序号的步长值为1Rule 3 permit source 3.3.3.00.0.0.255该基本ACL包含的规则的详细信息
