第7章-ACL原理和基本配置PPT学习课件.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,杭州华三通信技术有限公司,ACL,原理和基本配置,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。,ACL,包过滤是一种被广泛使用的网络安全技术。它使用,ACL,来实现数据识别，并决定是转发还是丢弃这些数据包。,由,ACL,定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。,引入,ACL,概述,ACL,包过滤原理,ACL,分类,配置,ACL,包过滤,ACL,包过滤的注意事项,目录,ACL,概述,ACL,（,A,ccess,C,on

2、trol,L,ist,，访问控制列表）是用来,实现数据包识别功能,的,ACL,可以应用于诸多方面,包过滤防火墙功能,NAT,（,Network Address Translation,，网络地址转换）,QoS,（,Quality of Service,，服务质量）的数据分类,路由策略和过滤,按需拨号,ACL,概述,ACL,包过滤原理,ACL,分类,配置,ACL,包过滤,ACL,包过滤的注意事项,目录,基于,ACL,的包过滤技术,对,进出的数据包,逐个过滤，,丢弃,或,允许,通过,ACL,应用于接口上，每个接口的出入,双向分别,过滤,仅当数据包经过一个接口时，才能被此接口的此方向的,ACL,过滤

3、入方向过滤,入方向过滤,出方向过滤,出方向过滤,接口,接口,路由转发进程,入站包过滤工作流程,匹配第一条规则,数据包入站,匹配第二条规则,匹配最后一条规则,丢弃,通过,Yes,Permit,是否配置,入方向,ACL,包过滤,No,Permit,Deny,Permit,Default Permit,Deny,Deny,Default Deny,数据包进入,转发流程,No,No,No,检查,默认,规则设定,出站包过滤工作流程,匹配第一条规则,数据包到达,出接口,匹配第二条规则,匹配最后一条规则,丢弃,通过,Yes,Permit,是否配置,出方向,ACL,包过滤,No,Permit,Deny,Pe

4、rmit,Default Permit,Deny,Deny,Default Deny,数据包出站,No,No,No,检查,默认,规则设定,通配符掩码,通配符掩码,含义,0.0.0.255,只比较前,24,位,0.0.3.255,只比较前,22,位,0.255.255.255,只比较前,8,位,通配符掩码和,IP,地址结合使用以描述一个地址范围,通配符掩码和子网掩码相似，但含义不同,0,表示对应位须比较,1,表示对应位不比较,通配符掩码的应用示例,IP,地址,通配符掩码,表示的地址范围,192.168.0.1,0.0.0.255,192.168.0.0/24,192.168.0.1,0.0.3.

5、255,192.168.0.0/22,192.168.0.1,0.255.255.255,192.0.0.0/8,192.168.0.1,0.0.0.0,192.168.0.1,192.168.0.1,255.255.255.255,0.0.0.0/0,192.168.0.1,0.0.2.255,192.168.0.0/24,和,192.168.2.0/24,ACL,概述,ACL,包过滤原理,ACL,分类,配置,ACL,包过滤,ACL,包过滤的注意事项,目录,ACL,的标识,利用数字序号标识访问控制列表,可以给访问控制列表指定名称，便于维护,访问控制列表的分类,数字序号的范围,基本,访问控制列

6、表,2,000,2999,扩展,访问控制列表,3,000,3999,基于,二层,的访问控制列表,4,000,4999,用户,自定义,的访问控制列表,5,000,5999,基本,ACL,基本访问控制列表只根据报文的,源,IP,地址,信息制定规则,接口,接口,从,1.1.1.0/24,来的数据包不能通过,从,2.2.2.0/28,来的数据包可以通过,DA=3.3.3.3 SA=1.1.1.1,DA=3.3.3.3 SA=2.2.2.1,分组,分组,高级,ACL,高级访问控制列表根据报文的,源,IP,地址,、,目的,IP,地址,、,IP,承载的协议类型,、协议特性等,三、四层信息,制定规则,接口,接

7、口,从,1.1.1.0/24,来，到,3.3.3.1,的,TCP,端口,80,去的数据包不能通过,从,1.1.1.0/24,来，到,2.2.2.1,的,TCP,端口,23,去的数据包可以通过,DA=3.3.3.1,SA=1.1.1.1,TCP,DP=80,SP=2032,DA=2.2.2.1,SA=1.1.1.1,TCP,DP=23,SP=3176,分组,分组,二层,ACL,与用户自定义,ACL,二层,ACL,根据报文的,源,MAC,地址,、,目的,MAC,地址,、,802.1p,优先级,、,二层协议类型,等二层信息制定匹配规则,用户自定义,ACL,可以根据,任意位置的任意字串,制定匹配规则,

8、报文的报文头、,IP,头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。,ACL,概述,ACL,包过滤原理,ACL,分类,配置,ACL,包过滤,ACL,包过滤的注意事项,目录,ACL,包过滤配置任务,启动包过滤防火墙功能，设置默认的过滤规则,根据需要选择合适的,ACL,分类,创建正确的规则,设置匹配条件,设置合适的动作（,Permit/Deny),在路由器的接口上应用,ACL,，并指明过滤报文的方向（入站,/,出站）,启动包过滤防火墙功能,防火墙功能需要在路由器上启动后才能生效,设置防火墙的默认过滤方式,系统默认的默认过滤

9、方式是,permit,sysname,firewall enable,sysname,firewall default permit|deny,配置基本,ACL,sysname,acl number,acl-number,配置基本,ACL,，并指定,ACL,序号,基本,IPv4 ACL,的序号取值范围为,2000,2999,sysname-acl-basic-2000,rule,rule-id,deny|permit fragment|logging|source,sour-addr sour-wildcard,|any|time-range,time-name,定义规则,制定要匹配的源,IP

10、地址范围,指定动作是,permit,或,deny,配置高级,ACL,配置高级,IPv4 ACL,，并指定,ACL,序号,高级,IPv4 ACL,的序号取值范围为,3000,3999,sysname-acl-adv-3000,rule,rule-id,deny|permit,protocol,destination,dest-addr dest-wildcard,|any|destination-port,operator port1,port2,established,|,fragment|source,sour-addr sour-wildcard,|,any|source-port,op

11、erator port1,port2,|,time-range,time-name,sysname,acl number,acl-number,定义规则,需要配置规则来匹配源,IP,地址、目的,IP,地址、,IP,承载的协议类型、协议端口号等信息,指定动作是,permit,或,deny,配置二层,ACL,配置二层,ACL,，并指定,ACL,序号,二层,ACL,的序号取值范围为,4000,4999,sysname-acl-ethernetframe-3000,rule,rule-id,deny,|,permit,cos,vlan-pri,|dest-mac,dest-addr,dest-mask

12、lsap,lsap-code,lsap-wildcard,|source-mac,sour-addr,source-mask,|,time-range,time-name,sysname,acl number,acl-number,定义规则,需要配置规则来匹配源,MAC,地址、目的,MAC,地址、,802.1p,优先级、二层协议类型等二层信息,指定动作是,permit,或拒绝,deny,在接口上应用,ACL,将,ACL,应用到接口上，配置的,ACL,包过滤才能生效,指明在接口上应用的方向是,Outbound,还是,Inbound,sysname-Serial2/0,firewall pac

13、ket-filter,acl-number|,name,acl-name,inbound,|,outbound,ACL,包过滤显示与调试,操作,命令,查看防火墙的统计信息,display firewall-statistics all|interface,interface-type interface-number,查看以太网帧过滤情况的信息,display firewall ethernet-frame-filter all|dlsw|interface,interface-type interface-number,清除防火墙的统计信息,reset firewall-statistics

14、 all|interface,interface-type interface-number,显示配置的,IPv4 ACL,信息,display acl,acl-number,|all,清除,IPv4 ACL,统计信息,reset acl counter,acl-number,|all|,ACL,概述,ACL,包过滤原理,ACL,分类,配置,ACL,包过滤,ACL,包过滤的注意事项,目录,ACL,规则的匹配顺序,匹配顺序指,ACL,中规则的优先级。,ACL,支持两种匹配顺序：,配置顺序（,config,）：按照用户配置规则的先后顺序进行规则匹配,自动排序（,auto,）：按照“深度优先”的顺序

15、进行规则匹配，即地址范围小的规则被优先进行匹配,配置,ACL,的匹配顺序：,sysname,acl number,acl-number,match-order auto|config,不同匹配顺序导致结果不同,接口,接口,DA=3.3.3.3 SA=1.1.1.1,分组,acl number 2000 match-order config,rule permit source 1.1.1.0 0.0.0.255,rule deny source 1.1.1.1 0,接口,接口,DA=3.3.3.3 SA=1.1.1.1,分组,acl number 2000 match-order auto,r

16、ule permit source 1.1.1.0 0.0.0.255,rule deny source 1.1.1.1 0,在网络中的正确位置配置,ACL,包过滤,尽可能在,靠近数据源,的路由器接口上配置,ACL,，以减少不必要的流量转发,高级,ACL,应该在靠近被过滤源的接口上应用,ACL,，以尽早阻止不必要的流量进入网络,基本,ACL,过于靠近被过滤源的基本,ACL,可能阻止该源访问合法目的,应在不影响其他合法访问的前提下，尽可能使,ACL,靠近被过滤的源,高级,ACL,部署位置示例,PCA,172.16.0.1,E0/1,E0/0,RTC,RTB,RTA,要求,PCA,不能访问,Net

17、workA,和,NetworkB,，但可以访问其他所有网络,NetworkA,192.168.0.0/24,NetworkB,192.168.1.0/24,NetworkC,192.168.2.0/24,NetworkD,192.168.3.0/24,E0/0,E0/1,RTC firewall enable,RTC acl number 3000,RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255,RTC-Ethernet0/0 firewall packet-filter 3

18、000 inbound,基本,ACL,部署位置示例,要求,PCA,不能访问,NetworkA,和,NetworkB,，但可以访问其他所有网络,PCA,172.16.0.1,E0/1,E0/0,RTC,RTB,RTA,NetworkA,192.168.0.0/24,NetworkB,192.168.1.0/24,NetworkC,192.168.2.0/24,NetworkD,192.168.3.0/24,E0/0,E0/1,RTA firewall enable,RTA acl number 2000,RTA-acl-basic-2000 rule deny source 172.16.0.1 0,RTA-Ethernet0/1 firewall packet-filter 2000 inbound,