版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、用访问控制列表实现包过滤用访问控制列表实现包过滤n要增强网络安全性,网络设备需要具备控制某些访问或某些数据的能要增强网络安全性,网络设备需要具备控制某些访问或某些数据的能力。力。nACL包过滤是一种被广泛使用的网络安全技术。它使用包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数来实现数据识别,并决定是转发还是丢弃这些数据包。据识别,并决定是转发还是丢弃这些数据包。n由由ACL定义的报文匹配规则,还可以被其它需要对数据进行区分的场定义的报文匹配规则,还可以被其它需要对数据进行区分的场合引用。合引用。引入引入n 了解了解ACL定义及应用定义及应用n 掌握掌握ACL包过滤工作原理包过滤工作
2、原理n 掌握掌握ACL的分类及应用的分类及应用n 掌握掌握ACL包过滤的配置包过滤的配置n 掌握掌握ACL包过滤的配置应用注意事项包过滤的配置应用注意事项课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n ACL概述概述n ACL包过滤原理包过滤原理n ACL分类分类n 配置配置ACL包过滤包过滤n ACL包过滤的注意事项包过滤的注意事项目录目录ACL概述概述l ACL(Access Control List,访问控制列,访问控制列表)是用来实现数据包识别功能的表)是用来实现数据包识别功能的l ACL可以应用于诸多方面可以应用于诸多方面包过滤防火墙功能包过滤防火墙功能 NA
3、T(Network Address Translation,网络,网络地址转换)地址转换)QoS(Quality of Service,服务质量)的数据,服务质量)的数据分类分类路由策略和过滤路由策略和过滤按需拨号按需拨号n ACL概述概述n ACL包过滤原理包过滤原理n ACL分类分类n 配置配置ACL包过滤包过滤n ACL包过滤的注意事项包过滤的注意事项目录目录基于基于ACL的包过滤技术的包过滤技术l对进出的数据包逐个过滤,丢弃或允许通过对进出的数据包逐个过滤,丢弃或允许通过lACL应用于接口上,每个接口的出入双向分别应用于接口上,每个接口的出入双向分别过滤过滤l仅当数据包经过一个接口时,
4、才能被此接口的仅当数据包经过一个接口时,才能被此接口的此方向的此方向的ACL过滤过滤入方向过滤入方向过滤入方向过滤入方向过滤出方向过滤出方向过滤出方向过滤出方向过滤接口接口接口接口路由转发路由转发进程进程入站包过滤工作流程入站包过滤工作流程匹配第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置入方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包进入转发流程NoNoNo检查默认规则设定出站包过滤工作流程出站包过滤工作流程匹配第一条规则数据包到达出接口匹配第二条规则匹配最后一条规则丢弃通过
5、YesPermit是否配置出方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包出站NoNoNo检查默认规则设定通配符掩码通配符掩码通配符掩码通配符掩码含义含义0.0.0.255只比较前只比较前24位位0.0.3.255只比较前只比较前22位位0.255.255.255只比较前只比较前8位位l 通配符掩码和通配符掩码和IP地址结合使用以描述一个地址地址结合使用以描述一个地址范围范围l 通配符掩码和子网掩码相似,但含义不同通配符掩码和子网掩码相似,但含义不同0表示对应位须比较表示对应位须比较1表示对应位不比较表示对应位不比
6、较通配符掩码的应用示例通配符掩码的应用示例IP地址地址通配符掩码通配符掩码表示的地址范围表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24n ACL概述概述n ACL包过滤原理包过滤原理n ACL分类分类
7、n 配置配置ACL包过滤包过滤n ACL包过滤的注意事项包过滤的注意事项目录目录ACL的标识的标识l 利用数字序号标识访问控制列表利用数字序号标识访问控制列表l 可以给访问控制列表指定名称,便于维护可以给访问控制列表指定名称,便于维护访问控制列表的分类访问控制列表的分类数字序号的范围数字序号的范围基本访问控制列表基本访问控制列表 20002999 扩展访问控制列表扩展访问控制列表 30003999 基于二层的访问控制列表基于二层的访问控制列表 40004999 用户自定义的访问控制列表用户自定义的访问控制列表 50005999 基本基本ACLl 基本访问控制列表只根据报文的源基本访问控制列表只
8、根据报文的源IP地址信息制地址信息制定规则定规则接口接口接口接口从从1.1.1.0/24来的数据包不能通过来的数据包不能通过从从2.2.2.0/28来的数据包可以通过来的数据包可以通过DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分组分组分组分组高级高级ACLl 高级访问控制列表根据报文的源高级访问控制列表根据报文的源IP地址、目的地址、目的IP地址、地址、IP承载的协议类型、协议特性等三、四层承载的协议类型、协议特性等三、四层信息制定规则信息制定规则接口接口接口接口从从1.1.1.0/24来,到来,到3.3.3.1的的TCP端口端口80去的数据包不能通过
9、去的数据包不能通过从从1.1.1.0/24来,到来,到2.2.2.1的的TCP端口端口23去的数据包可以通过去的数据包可以通过DA=3.3.3.1, SA=1.1.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1TCP, DP=23, SP=3176分组分组分组分组二层二层ACL与用户自定义与用户自定义ACLl 二层二层ACL根据报文的源根据报文的源MAC地址、目的地址、目的MAC地址、地址、802.1p优先级、二层协议类型等二层信息制定匹配规优先级、二层协议类型等二层信息制定匹配规则则l 用户自定义用户自定义ACL可以根据任意位置的任意字串制定匹可以根
10、据任意位置的任意字串制定匹配规则配规则 报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。n ACL概述概述n ACL包过滤原理包过滤原理n ACL分类分类n 配置配置ACL包过滤包过滤n ACL包过滤的注意事项包过滤的注意事项目录目录ACL包过滤配置任务包过滤配置任务l 启动包过滤防火墙功能,设置默认的过滤规则启动包过滤防火墙功能,设置默认的过滤规则 l 根据需要选择合适的根据需要选择合适的ACL分类分类l 创建正确的规则创建正确的规则设置匹配条件设置合适的动作(Permit/Deny)l 在路由器的接
11、口上应用在路由器的接口上应用ACL,并指明过滤报,并指明过滤报文的方向(入站文的方向(入站/出站)出站)启动包过滤防火墙功能启动包过滤防火墙功能l 防火墙功能需要在路由器上启动后才能生效防火墙功能需要在路由器上启动后才能生效l 设置防火墙的默认过滤方式设置防火墙的默认过滤方式系统默认的默认过滤方式是permit sysname firewall enable sysname firewall default permit | deny 配置基本配置基本ACLsysname acl number acl-numberl 配置基本配置基本ACL,并指定,并指定ACL序号序号基本IPv4 ACL的序
12、号取值范围为20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name l 定义规则定义规则制定要匹配的源IP地址范围指定动作是permit或deny配置高级配置高级ACLl 配置高级配置高级IPv4 ACL,并指定,并指定ACL序号序号高级IPv4 ACL的序号取值范围为30003999sysname-acl-adv-3000 rule rule-id deny | permi
13、t protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time-range time-name sysname acl number acl-numberl 定义规则定义规则需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息指定动作是per
14、mit或deny配置二层配置二层ACLl 配置二层配置二层 ACL,并指定,并指定ACL序号序号二层ACL的序号取值范围为40004999sysname-acl-ethernetframe-3000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-numberl 定义规则定义规则需
15、要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息指定动作是permit或拒绝deny在接口上应用在接口上应用ACLl 将将ACL应用到接口上,配置的应用到接口上,配置的ACL包过滤才能生包过滤才能生效效l 指明在接口上应用的方向是指明在接口上应用的方向是Outbound还是还是Inboundsysname-Serial2/0 firewall packet-filter acl-number | name acl-name inbound | outbound ACL包过滤显示与调试包过滤显示与调试操作操作命令命令查看防火墙的统计信息查看防火墙的统计信息
16、display firewall-statistics all | interface interface-type interface-number查看以太网帧过滤情况的信息查看以太网帧过滤情况的信息display firewall ethernet-frame-filter all | dlsw | interface interface-type interface-number 清除防火墙的统计信息清除防火墙的统计信息reset firewall-statistics all | interface interface-type interface-number显示配置的显示配置的IP
17、v4 ACL信息信息display acl acl-number | all清除清除IPv4 ACL统计信息统计信息reset acl counter acl-number | all |n ACL概述概述n ACL包过滤原理包过滤原理n ACL分类分类n 配置配置ACL包过滤包过滤n ACL包过滤的注意事项包过滤的注意事项目录目录ACL规则的匹配顺序规则的匹配顺序l 匹配顺序指匹配顺序指ACL中规则的优先级。中规则的优先级。l ACL支持两种匹配顺序:支持两种匹配顺序:配置顺序(config):按照用户配置规则的先后顺序进行规则匹配自动排序(auto):按照“深度优先”的顺序进行规则匹配,即
18、地址范围小的规则被优先进行匹配l 配置配置ACL的匹配顺序:的匹配顺序: sysname acl number acl-number match-order auto | config 不同匹配顺序导致结果不同不同匹配顺序导致结果不同接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分组分组acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分组分组acl number 2000 mat
19、ch-order auto rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0在网络中的正确位置配置在网络中的正确位置配置ACL包过滤包过滤l 尽可能在靠近数据源的路由器接口上配置尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发以减少不必要的流量转发l 高级高级ACL应该在靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络l 基本基本ACL过于靠近被过滤源的基本ACL可能阻止该源访问合法目的应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源高级高级ACL部署位置示例部署位置示例P
20、CA172.16.0.1E0/1E0/0RTCRTBRTAl要求要求PCA不能访问不能访问NetworkA和和NetworkB,但可以访问其他所有网络,但可以访问其他所有网络NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC acl number 3000RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound 基本基本ACL部署位置示例部署位置示例l要求要求PCA不能访问不能访问NetworkA和和NetworkB,但可以访问其他所有网络,但可以访问其他所有网络PCA172.16.0.1E0/1E0/0RTCRTBRTAN
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 年度安全总结(32篇)
- 新教材高考地理二轮复习一8类识图技法专项训练技法3原理示意图判读含答案
- 《必修二 技术与设计二》 复习提纲
- 云南省保山市智源高级中学2024-2025学年高一上学期11月期中化学试卷
- 辽宁省沈阳市南昌中学2024-2025学年八年级上学期期中地理试题(含答案)
- 广东省韶关市2025届高三综合测试一地理试卷( 含答案)
- 2025年高中思想政治教师资格考试学科知识与教学能力试题及解答参考
- 重庆市高考语文五年试题汇编-古诗词赏析
- 履约保证函格式及范本
- 建设工程施工合同补充保证书格式
- 北师大版(2024新版)七年级上册数学第三章《整式及其加减》测试卷(含答案解析)
- 2024年新人教版地理七年级上册全册课件
- 护理文献检索步骤
- 2024年有子女无财产离婚协议参考范文(四篇)
- 2024欠款还款协议书
- 阿米巴巴长知识竞赛考试题库(含答案)
- 2024-2025学年部编版(2024)七年级历史上册知识点提纲
- 2024至2030年中国鸡蛋行业市场发展现状及投资规划建议报告
- 小学三年级下一字多义(答案)
- 六年级上册道德与法治全册教学课件
- XX集团内部审计人才库管理办法(专业完整格式模板)
评论
0/150
提交评论