第27章 用访问控制列表实现包过滤

用访问控制列表实现包过滤ISSUE1.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。引入了解ACL定义及应用掌握ACL包过滤工作原理掌握ACL的分类及应用掌握ACL包过滤的配置掌握ACL包过滤的配置应用注意事项课程目标学习完本课程，您应该能够：ACL概述ACL包过滤原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录概述ACL（AccessControlList，访问控制列表）是用来实现数据包识别功能的ACL可以应用于诸多方面包过滤防火墙功能NAT（NetworkAddressTranslation，网络地址转换）QoS（QualityofService，服务质量）的数据分类路由策略和过滤按需拨号ACL概述ACL包过滤原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录的包过滤技术对进出的数据包逐个过滤，丢弃或允许通过ACL应用于接口上，每个接口的出入双向分别过滤仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤入方向过滤入方向过滤出方向过滤出方向过滤接口接口路由转发进程位通配符掩码和IP地址结合使用以描述一个地址范围通配符掩码和子网掩码相似，但含义不同0表示对应位须比较1表示对应位不比较和192.168.2.0/24ACL概述ACL包过滤原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录的标识利用数字序号标识访问控制列表可以给访问控制列表指定名称，便于维护访问控制列表的分类数字序号的范围基本访问控制列表2000～2999扩展访问控制列表3000～3999基于二层的访问控制列表4000～4999用户自定义的访问控制列表5000～5999基本访问控制列表只根据报文的源IP地址信息制定规则接口接口从1.1.1.0/24来的数据包不能通过从2.2.2.0/28来的数据包可以通过DA=3.3.3.3SA=1.1.1.1DA=3.3.3.3SA=2.2.2.1分组分组高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则接口接口从1.1.1.0/24来，到3.3.3.1的TCP端口80去的数据包不能通过从1.1.1.0/24来，到2.2.2.1的TCP端口23去的数据包可以通过DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分组分组二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则用户自定义ACL可以根据任意位置的任意字串制定匹配规则报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。ACL概述ACL包过滤原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录包过滤配置任务启动包过滤防火墙功能，设置默认的过滤规则根据需要选择合适的ACL分类创建正确的规则设置匹配条件设置合适的动作（Permit/Deny)在路由器的接口上应用ACL，并指明过滤报文的方向（入站/出站）启动包过滤防火墙功能防火墙功能需要在路由器上启动后才能生效设置防火墙的默认过滤方式系统默认的默认过滤方式是permit[sysname]firewallenable[sysname]firewalldefault{permit|deny}[sysname]aclnumberacl-number配置基本ACL，并指定ACL序号基本IPv4ACL的序号取值范围为2000～2999[sysname-acl-basic-2000]rule[rule-id]{deny|permit}[fragment|logging|source{sour-addrsour-wildcard|any}|time-rangetime-name]定义规则制定要匹配的源IP地址范围指定动作是permit或deny配置高级IPv4ACL，并指定ACL序号高级IPv4ACL的序号取值范围为3000～3999[sysname-acl-adv-3000]rule[rule-id]{deny|permit}protocol[destination{dest-addrdest-wildcard|any}|destination-portoperatorport1[port2]established|fragment|source{sour-addrsour-wildcard|any}|source-portoperatorport1[port2]|time-rangetime-name][sysname]aclnumberacl-number定义规则需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息指定动作是permit或deny配置二层ACL，并指定ACL序号二层ACL的序号取值范围为4000～4999[sysname-acl-ethernetframe-3000]rule[rule-id]{deny|permit}[cosvlan-pri|dest-macdest-addrdest-mask|lsaplsap-codelsap-wildcard|source-macsour-addrsource-mask|time-rangetime-name][sysname]aclnumberacl-number定义规则需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息指定动作是permit或拒绝deny将ACL应用到接口上，配置的ACL包过滤才能生效指明在接口上应用的方向是Outbound还是Inbound[sysname-Serial2/0]firewallpacket-filter{acl-number|nameacl-name}{inbound|outbound}{all|interfaceinterface-typeinterface-number}查看以太网帧过滤情况的信息displayfirewallethernet-frame-filter{all|dlsw|interfaceinterface-typeinterface-number}清除防火墙的统计信息resetfirewall-statistics{all|interfaceinterface-typeinterface-number}显示配置的IPv4ACL信息displayacl{acl-number|all}清除IPv4ACL统计信息resetaclcounter{acl-number|all|}ACL概述ACL包过滤原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录规则的匹配顺序匹配顺序指ACL中规则的优先级。ACL支持两种匹配顺序：配置顺序（config）：按照用户配置规则的先后顺序进行规则匹配自动排序（auto）：按照“深度优先”的顺序进行规则匹配，即地址范围小的规则被优先进行匹配配置ACL的匹配顺序：[sysname]aclnumberacl-number[match-order{auto|config}]=3.3.3.3SA=1.1.1.1分组aclnumber2000match-orderconfigrulepermitsource1.1.1.00.0.0.255ruledenysource1.1.1.10接口接口DA=3.3.3.3SA=1.1.1.1分组aclnumber2000match-orderautorulepermitsource1.1.1.00.0.0.255ruledenysource1.1.1.10包过滤尽可能在靠近数据源的路由器接口上配置ACL，以减少不必要的流量转发高级ACL应该在靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络基本ACL过于靠近被过滤源的基本ACL可能阻止该源访问合法目的应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTC]firewallenable[RTC]aclnumber3000[RTC-acl-adv-3000]ruledenyipsource172.16.0.10destination192.168.0.00.0.1.255[RTC-Ethernet0/0]firewallpacket-filter3000inbound部署位置示例要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/2