第22章 用訪問(wèn)控制列表實(shí)現(xiàn)包過(guò)濾

1、用訪問(wèn)控制列表實(shí)現(xiàn)包過(guò)濾用訪問(wèn)控制列表實(shí)現(xiàn)包過(guò)濾n 要增強(qiáng)網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問(wèn)要增強(qiáng)網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問(wèn)或某些數(shù)據(jù)的能力?；蚰承?shù)據(jù)的能力。n ACL包過(guò)濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使包過(guò)濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使用用ACL來(lái)實(shí)現(xiàn)數(shù)據(jù)識(shí)別，并決定是轉(zhuǎn)發(fā)還是丟棄這些來(lái)實(shí)現(xiàn)數(shù)據(jù)識(shí)別，并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。數(shù)據(jù)包。n 由由ACL定義的報(bào)文匹配規(guī)則，還可以被其它需要對(duì)數(shù)定義的報(bào)文匹配規(guī)則，還可以被其它需要對(duì)數(shù)據(jù)進(jìn)行區(qū)分的場(chǎng)合引用。據(jù)進(jìn)行區(qū)分的場(chǎng)合引用。引入引入n 了解了解ACL定義及應(yīng)用定義及應(yīng)用n 掌握掌握ACL包過(guò)濾工作原理包過(guò)

2、濾工作原理n 掌握掌握ACL的分類及應(yīng)用的分類及應(yīng)用n 掌握掌握ACL包過(guò)濾的配置包過(guò)濾的配置n 掌握掌握ACL包過(guò)濾的配置應(yīng)用注意事項(xiàng)包過(guò)濾的配置應(yīng)用注意事項(xiàng)課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：n ACL概述概述n ACL包過(guò)濾原理包過(guò)濾原理n ACL分類分類n 配置配置ACL包過(guò)濾包過(guò)濾n ACL包過(guò)濾的注意事項(xiàng)包過(guò)濾的注意事項(xiàng)目錄目錄ACL概述 ACL（Access Control List，訪問(wèn)控制列表）是用來(lái)實(shí)現(xiàn)數(shù)據(jù)包識(shí)別功能的 ACL可以應(yīng)用于諸多方面 包過(guò)濾防火墻功能包過(guò)濾防火墻功能 NAT（Network Address Translation，

3、網(wǎng)絡(luò)地址轉(zhuǎn)換），網(wǎng)絡(luò)地址轉(zhuǎn)換） QoS（Quality of Service，服務(wù)質(zhì)量），服務(wù)質(zhì)量）的數(shù)據(jù)分類的數(shù)據(jù)分類 路由策略和過(guò)濾路由策略和過(guò)濾 按需撥號(hào)按需撥號(hào)n ACL概述概述n ACL包過(guò)濾原理包過(guò)濾原理n ACL分類分類n 配置配置ACL包過(guò)濾包過(guò)濾n ACL包過(guò)濾的注意事項(xiàng)包過(guò)濾的注意事項(xiàng)目錄目錄基于ACL的包過(guò)濾技術(shù) 對(duì)進(jìn)出的數(shù)據(jù)包逐個(gè)過(guò)濾，丟棄或允許通過(guò) ACL應(yīng)用于接口上，每個(gè)接口的出入雙向分別過(guò)濾 僅當(dāng)數(shù)據(jù)包經(jīng)過(guò)一個(gè)接口時(shí)，才能被此接口的此方向的ACL過(guò)濾入方向過(guò)濾入方向過(guò)濾入方向過(guò)濾入方向過(guò)濾出方向過(guò)濾出方向過(guò)濾出方向過(guò)濾出方向過(guò)濾接口接口接口接口路由轉(zhuǎn)發(fā)路由轉(zhuǎn)發(fā)進(jìn)程

4、進(jìn)程入站包過(guò)濾工作流程匹配第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過(guò)YesPermit是否配置入方向ACL包過(guò)濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程N(yùn)oNoNo檢查默認(rèn)規(guī)則設(shè)定出站包過(guò)濾工作流程匹配第一條規(guī)則數(shù)據(jù)包到達(dá)出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過(guò)YesPermit是否配置出方向ACL包過(guò)濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包出站NoNoNo檢查默認(rèn)規(guī)則設(shè)定通配符掩碼 通配符掩碼和IP地址結(jié)合使用以描述一個(gè)

5、地址范圍 通配符掩碼和子網(wǎng)掩碼相似，但含義不同 0表示對(duì)應(yīng)位須比較表示對(duì)應(yīng)位須比較 1表示對(duì)應(yīng)位不比較表示對(duì)應(yīng)位不比較通配符掩碼的應(yīng)用示例n ACL概述概述n ACL包過(guò)濾原理包過(guò)濾原理n ACL分類分類n 配置配置ACL包過(guò)濾包過(guò)濾n ACL包過(guò)濾的注意事項(xiàng)包過(guò)濾的注意事項(xiàng)目錄目錄ACL的標(biāo)識(shí)l 利用數(shù)字序號(hào)標(biāo)識(shí)訪問(wèn)控制列表利用數(shù)字序號(hào)標(biāo)識(shí)訪問(wèn)控制列表l 可以給訪問(wèn)控制列表指定名稱，便于維護(hù)可以給訪問(wèn)控制列表指定名稱，便于維護(hù)基本ACL 基本訪問(wèn)控制列表只根據(jù)報(bào)文的源IP地址信息制定規(guī)則接口接口接口接口從從1.1.1.0/24來(lái)的數(shù)據(jù)包不能通過(guò)來(lái)的數(shù)據(jù)包不能通過(guò)從從2.2.2.0/28來(lái)的數(shù)

6、據(jù)包可以通過(guò)來(lái)的數(shù)據(jù)包可以通過(guò)DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分組分組分組分組高級(jí)ACL 高級(jí)訪問(wèn)控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則接口接口接口接口從從1.1.1.0/24來(lái)，到來(lái)，到3.3.3.1的的TCP端口端口80去的數(shù)據(jù)包不能通過(guò)去的數(shù)據(jù)包不能通過(guò)從從1.1.1.0/24來(lái)，到來(lái)，到2.2.2.1的的TCP端口端口23去的數(shù)據(jù)包可以通過(guò)去的數(shù)據(jù)包可以通過(guò)DA=3.3.3.1, SA=1.1.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.

7、1TCP, DP=23, SP=3176分組分組分組分組二層ACL與用戶自定義ACL 二層ACL根據(jù)報(bào)文的源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定匹配規(guī)則 用戶自定義ACL可以根據(jù)任意位置的任意字串制定匹配規(guī)則 報(bào)文的報(bào)文頭、IP頭等為基準(zhǔn)，指定從第幾個(gè)字節(jié)開(kāi)始與掩碼進(jìn)行“與”操作，將從報(bào)文提取出來(lái)的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。n ACL概述概述n ACL包過(guò)濾原理包過(guò)濾原理n ACL分類分類n 配置配置ACL包過(guò)濾包過(guò)濾n ACL包過(guò)濾的注意事項(xiàng)包過(guò)濾的注意事項(xiàng)目錄目錄ACL包過(guò)濾配置任務(wù) 啟動(dòng)包過(guò)濾防火墻功能，設(shè)置默認(rèn)的過(guò)濾規(guī)則 根

8、據(jù)需要選擇合適的ACL分類 創(chuàng)建正確的規(guī)則 設(shè)置匹配條件 設(shè)置合適的動(dòng)作（Permit/Deny) 在路由器的接口上應(yīng)用ACL，并指明過(guò)濾報(bào)文的方向（入站/出站）啟動(dòng)包過(guò)濾防火墻功能l 防火墻功能需要在路由器上啟動(dòng)后才能生效防火墻功能需要在路由器上啟動(dòng)后才能生效l 設(shè)置防火墻的默認(rèn)過(guò)濾方式設(shè)置防火墻的默認(rèn)過(guò)濾方式系統(tǒng)默認(rèn)的默認(rèn)過(guò)濾方式是permit sysname firewall enable sysname firewall default permit | deny 配置基本ACLsysname acl number acl-number 配置基本ACL，并指定ACL序號(hào) 基本IPv4

9、ACL的序號(hào)取值范圍為20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name l 定義規(guī)則定義規(guī)則制定要匹配的源IP地址范圍指定動(dòng)作是permit或deny配置高級(jí)ACLl 配置高級(jí)配置高級(jí)IPv4 ACL，并指定，并指定ACL序號(hào)序號(hào)高級(jí)IPv4 ACL的序號(hào)取值范圍為30003999sysname-acl-adv-3000 rule rule-id deny | perm

10、it protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time-range time-name sysname acl number acl-numberl 定義規(guī)則定義規(guī)則需要配置規(guī)則來(lái)匹配源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議端口號(hào)等信息指定動(dòng)作是pe

11、rmit或deny配置二層ACLl 配置二層配置二層 ACL，并指定，并指定ACL序號(hào)序號(hào)二層ACL的序號(hào)取值范圍為40004999sysname-acl-ethernetframe-4000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-numberl 定義規(guī)則定義規(guī)則需要配置

12、規(guī)則來(lái)匹配源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息指定動(dòng)作是permit或拒絕deny在接口上應(yīng)用ACL 將ACL應(yīng)用到接口上，配置的ACL包過(guò)濾才能生效 指明在接口上應(yīng)用的方向是Outbound還是Inboundsysname-Serial2/0 firewall packet-filter acl-number | name acl-name inbound | outbound ACL包過(guò)濾顯示與調(diào)試n ACL概述概述n ACL包過(guò)濾原理包過(guò)濾原理n ACL分類分類n 配置配置ACL包過(guò)濾包過(guò)濾n ACL包過(guò)濾的注意事項(xiàng)包過(guò)濾的注意事項(xiàng)目錄目錄ACL規(guī)則的

13、匹配順序 匹配順序指ACL中規(guī)則的優(yōu)先級(jí)。 ACL支持兩種匹配順序： 配置順序(config)：按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配 自動(dòng)排序(auto)：按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配，即地址范圍小的規(guī)則被優(yōu)先進(jìn)行匹配 配置ACL的匹配順序： sysname acl number acl-number match-order auto | config 不同匹配順序?qū)е陆Y(jié)果不同接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分組分組acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 r

14、ule deny source 1.1.1.1 0接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分組分組acl number 2000 match-order auto rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0在網(wǎng)絡(luò)中的正確位置配置ACL包過(guò)濾 盡可能在靠近數(shù)據(jù)源的路由器接口上配置ACL，以減少不必要的流量轉(zhuǎn)發(fā) 高級(jí)ACL 應(yīng)該在靠近被過(guò)濾源的接口上應(yīng)用ACL，以盡早阻止不必要的流量進(jìn)入網(wǎng)絡(luò) 基本ACL 過(guò)于靠近被過(guò)濾源的基本ACL可能阻止該源訪問(wèn)合法目的 應(yīng)在不影響其他合法訪問(wèn)的前提下，盡可能使

15、ACL靠近被過(guò)濾的源高級(jí)ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA 要求PCA不能訪問(wèn)NetworkA和NetworkB，但可以訪問(wèn)其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC firewall enableRTC acl number 3000RTC acl number 3000RTC-acl-adv-3000 rule deny ip source 1

16、72.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound RTC-Ethernet0/0 firewall packet-filter 3000 inbound 基本ACL部署位置示例 要求PCA不能訪問(wèn)NetworkA和NetworkB，但可以訪問(wèn)其他所有網(wǎng)絡(luò)PCA172.16.0.1E0/1E

17、0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTA firewall enableRTA firewall enableRTA acl number 2000RTA acl number 2000RTA-acl-basic-2000 rule deny source 172.16.0.1 0RTA-acl-basic-2000 rule deny source 172.16.0.1 0RTA-Ethernet0/1 firewall packet-filter 2000 inboundRTA-Ethernet0/1 firewall packet-filter 2000 inboundACL包過(guò)濾的局限性 ACL包過(guò)濾防火墻是根據(jù)數(shù)據(jù)包頭中的二、三、四層信息來(lái)進(jìn)行報(bào)文過(guò)濾的，對(duì)應(yīng)用層的信息無(wú)法識(shí)別 無(wú)法根據(jù)用戶名來(lái)決定數(shù)據(jù)是否通過(guò) 無(wú)法給不同的用戶授予不同的權(quán)限級(jí)別 ACL包