第22章 用访问控制列表实现包过滤

1、用访问控制列表实现(shxin)包过滤共三十三页要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。ACL包过滤是一种被广泛使用的网络安全技术(jsh)。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。引入共三十三页了解ACL定义及应用掌握(zhngw)ACL包过滤工作原理掌握ACL的分类及应用掌握ACL包过滤的配置掌握ACL包过滤的配置应用注意事项课程目标学习完本课程(kchng)，您应该能够：共三十三页ACL概述ACL包过滤原理(yunl)ACL分类配置ACL包过滤ACL包过滤的注意事项目录(ml

2、)共三十三页ACL概述(i sh)ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的ACL可以应用于诸多方面包过滤防火墙功能 NAT（Network Address Translation，网络地址转换(zhunhun)）QoS（Quality of Service，服务质量）的数据分类路由策略和过滤按需拨号共三十三页ACL概述ACL包过滤(gul)原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录(ml)共三十三页基于(jy)ACL的包过滤技术对进出的数据包逐个过滤，丢弃(diq)或允许通过ACL应用于接口上，每个接口的出入双向分别过滤仅当数据包经

3、过一个接口时，才能被此接口的此方向的ACL过滤入方向过滤入方向过滤出方向过滤出方向过滤接口接口路由转发进程共三十三页入站包过滤(gul)工作流程匹配(ppi)第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置入方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包进入转发流程NoNoNo检查默认规则设定共三十三页出站包过滤工作(gngzu)流程匹配(ppi)第一条规则数据包到达出接口匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置出方向ACL包过滤NoPermitDenyP

4、ermitDefault PermitDenyDenyDefault Deny数据包出站NoNoNo检查默认规则设定共三十三页通配符掩码通配符掩码含义0.0.0.255只比较前24位0.0.3.255只比较前22位0.255.255.255只比较前8位通配符掩码和IP地址结合使用以描述一个地址范围(fnwi)通配符掩码和子网掩码相似，但含义不同0表示对应位须比较1表示对应位不比较共三十三页通配符掩码的应用(yngyng)示例IP地址通配符掩码表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/2219

5、2.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24共三十三页ACL概述ACL包过滤原理(yunl)ACL分类配置ACL包过滤ACL包过滤的注意事项目录(ml)共三十三页ACL的标识(biozh)利用数字序号标识(biozh)访问控制列表可以给访问控制列表指定名称，便于维护访问控制列表的分类数字序号的范围基本访问控制列表 20002999 扩展访问控制列表

6、30003999 基于二层的访问控制列表 40004999 用户自定义的访问控制列表 50005999 共三十三页基本(jbn)ACL基本访问控制列表只根据报文的源IP地址信息制定(zhdng)规则接口接口从1.1.1.0/24来的数据包不能通过从2.2.2.0/28来的数据包可以通过DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分组分组共三十三页高级(goj)ACL高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性(txng)等三、四层信息制定规则接口接口从1.1.1.0/24来，到3.3.3.1的TCP端口80去的数据包不

7、能通过从1.1.1.0/24来，到2.2.2.1的TCP端口23去的数据包可以通过DA=3.3.3.1, SA=1.1.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1TCP, DP=23, SP=3176分组分组共三十三页二层ACL与用户(yngh)自定义ACL二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型(lixng)等二层信息制定匹配规则用户自定义ACL可以根据任意位置的任意字串制定匹配规则报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，

8、找到匹配的报文。共三十三页ACL概述ACL包过滤(gul)原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录(ml)共三十三页ACL包过滤配置(pizh)任务启动包过滤防火墙功能，设置默认的过滤规则 根据需要选择合适的ACL分类创建正确(zhngqu)的规则设置匹配条件设置合适的动作（Permit/Deny)在路由器的接口上应用ACL，并指明过滤报文的方向（入站/出站）共三十三页启动包过滤(gul)防火墙功能防火墙功能需要在路由器上启动后才能生效设置防火墙的默认过滤(gul)方式系统默认的默认过滤方式是permit sysname firewall enable sysname fire

9、wall default permit | deny 共三十三页配置(pizh)基本ACLsysname acl number acl-number配置基本ACL，并指定(zhdng)ACL序号基本IPv4 ACL的序号取值范围为20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name 定义规则制定要匹配的源IP地址范围指定动作是permit或deny共三十三页配置(pizh)

10、高级ACL配置(pizh)高级IPv4 ACL，并指定ACL序号高级IPv4 ACL的序号取值范围为30003999sysname-acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time

11、-range time-name sysname acl number acl-number定义规则需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息指定动作是permit或deny共三十三页配置(pizh)二层ACL配置(pizh)二层 ACL，并指定ACL序号二层ACL的序号取值范围为40004999sysname-acl-ethernetframe-4000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard

12、 | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-number定义规则需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息指定动作是permit或拒绝deny共三十三页在接口(ji ku)上应用ACL将ACL应用到接口上，配置的ACL包过滤才能生效指明在接口上应用的方向(fngxing)是Outbound还是Inboundsysname-Serial2/0 firewall packet-filter acl-number | name acl

13、-name inbound | outbound 共三十三页ACL包过滤(gul)显示与调试操作命令查看防火墙的统计信息display firewall-statistics all | interface interface-type interface-number查看以太网帧过滤情况的信息display firewall ethernet-frame-filter all | dlsw | interface interface-type interface-number 清除防火墙的统计信息reset firewall-statistics all | interface interf

14、ace-type interface-number显示配置的IPv4 ACL信息display acl acl-number | all清除IPv4 ACL统计信息reset acl counter acl-number | all |共三十三页ACL概述(i sh)ACL包过滤原理ACL分类配置ACL包过滤ACL包过滤的注意事项目录(ml)共三十三页ACL规则的匹配(ppi)顺序匹配顺序指ACL中规则(guz)的优先级。ACL支持两种匹配顺序：配置顺序(config)：按照用户配置规则的先后顺序进行规则匹配自动排序(auto)：按照“深度优先”的顺序进行规则匹配，即地址范围小的规则被优先进行

15、匹配配置ACL的匹配顺序： sysname acl number acl-number match-order auto | config 共三十三页不同(b tn)匹配顺序导致结果不同(b tn)接口(ji ku)接口DA=3.3.3.3 SA=1.1.1.1分组acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0接口接口DA=3.3.3.3 SA=1.1.1.1分组acl number 2000 match-order auto rule perm

16、it source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0共三十三页在网络中的正确(zhngqu)位置配置ACL包过滤尽可能在靠近数据源的路由器接口上配置ACL，以减少不必要的流量(liling)转发高级ACL应该在靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络基本ACL过于靠近被过滤源的基本ACL可能阻止该源访问合法目的应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源共三十三页高级(goj)ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA要求PCA不能访问NetworkA和Networ

17、kB，但可以(ky)访问其他所有网络NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC acl number 3000RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound 共三十三页基本(jbn)A

18、CL部署位置示例要求PCA不能访问(fngwn)NetworkA和NetworkB，但可以访问(fngwn)其他所有网络PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTA firewall enableRTA acl number 2000RTA-acl-basic-2000 rule deny source 172.16.0.1 0RTA-Ethernet0/1 firewall packet-filter 2000 inbound共三十三页