《高级路由技术（理论篇）》-教学PPT9：保护园区网络安全ACL

单元9：实现园区网安全访问《高级路由技术》(理论篇）主讲教师：XXX技术背景园区网络在功能和应用上日益提升的同时，安全问题也逐渐突出，各类黑客行为和攻击技术给企业的安全发展带来困扰。园区网络在外网上主要安全问题表现为：非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、漏洞利用、僵尸木马、信息泄露等已成为最大的安全威胁。园区网络安全问题主要表现为：带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制、病毒蠕虫扩散、信息泄露以及内部网络之间、内外网络之间的连接安全等。大部分园区网内部划分六个区域：互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、运维管理域，六个区域面临的安全风险也有所不同，需要实施访问控制安全防护措施，保护部门网络之间的安全。学习目标了解园区网安全技术掌握园区网中访问控制安全9.1认识ACLACL全称为接入控制列表（AccessControlList，ACL），也俗称为软防火墙，ACL通过定义一些规则对网络设备接口上的数据报文进行控制，允许数据包通过，或丢弃该数据包。ACL应用在交换机与路由器上的安全技术，其主要目的是对网络数据通信进行过滤，从而实现各种访问控制需求。ACL技术通过IP数据包中五元组（源IP地址、目标IP地址、协议号、源端口号、目标端口号）来区分特定的数据流，并对匹配预设规则的数据包采取相应的措施，允许（Permit）或拒绝（Deny）数据通过，从而实现对网络的安全控制。9.1.1什么是ACL9.1认识ACL通过在园区网络中的三层路由设备上配置ACL后，可以限制园区网络中的数据流量，允许特定设备访问特定的网络，指导特定接口检测IP数据包流向等，如可以配置ACL禁止部分办公网内的设备访问外部公共网络，或者禁止使用内网中的FTP服务。还可以使用

ACL限制网络流量，提升网络性能，如根据数据包的协议，使用ACL指定数据包的优先级；如限定或简化路由更新信息的长度，使用ACL限制通过路由器某一网段的IP通信流量，通过ACL提供网络中的通信流量安全访问控制手段，可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。9.1.2ACL作用在接入交换机、汇聚交换机、核心交换机完成基本VLAN、路由配置，VLAN内/外的PC可以相互通信如果想要控制个别数据交互，又不影响与其他数据交互，这种情况下就需要使用访问控制列表9.2访问控制列表的应用场景VLAN10VLAN20VLAN30接入交换机汇聚交换机核心交换机PCA0/24PCB0/24接入交换机汇聚交换机PCC0/24出于安全考虑，要求员工的PC不能访问到主管的网段，这该如何实现？9.2访问控制列表的应用场景1楼接入交换机办公室1交换机主管A办公室/242楼接入交换机汇聚交换机VLAN20VLAN10VLAN30VLAN20员工1PC0/24主管B办公室/24办公室2交换机员工2PC0/24ACL的全称为访问控制列表（AccessControlList），用于定义一系列不同的规则设备可以根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，可以用于以下功能：使用ACL匹配流量用于流量过滤：可以匹配指定流量，拒绝通过用于NAT：可以匹配指定流量，进行NAT转换用于QoS：可以根据数据包的协议，指定数据包的优先级使用ACL匹配路由用于路由策略：可以用来匹配路由，进行过滤以及修改属性的操作用于路由重分布：可以匹配路由，进行精确的协议间路由导入的操作9.3访问控制列表的功能对进出的数据逐个过滤，丢弃或允许通过ACL应用于接口上，每个接口的出入双向分别过滤。仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤9.3使用ACL匹配流量，应用于过滤入方向ACL出方向ACL出方向ACL入方向ACL路由转发进程9.4

ACL技术原理ACL使用数据包过滤技术，通过读取OSI模型中第3层和第4层数据包头中的特征信息，如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，在三层设备上对经过的数据包进行过滤，实现网络安全访问控制的目的。实施ACL访问控制安全，首先需要在三层设备中定义一直Acl过滤规则；然后把其应用在三层设备的某个接口上。如在路由器设备的接口而言，每一个访问控制列表ACL都需要控制两个方向，出接口和入接口的方向。出：已经过路由器的CPU处理，离开路由器的数据包。入：已到达路由器接口的数据包，将被路由器的CPU处理。ACL工作原理传输意义上ACL规则，无论是标准访问控制列表与扩展访问控制列表中，均使用列表的标识号进行区别。由于编号命名的不规范，目前更多使用名称访问控制列表，帮助区分不同类型的ACL，使用一个字母或数字组合的字符串来代替所数字列表标识号。使用名称访问控制列表不仅仅可以见名识意，还可以编辑列表，方便删除某一条特定的控制条目，方便修改。在使用名称访问控制列表时，不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。ACL分类9.4

ACL技术原理9.5配置IPACL标准IPACL中，对数据的检查元素仅是源IP地址。下面以一个园区网内部访问控制需求为例，描述标准IPACL应用步骤及注意事项。在网络场景中要求来自某部门（/24）网段中的计算机不可以访问单位的服务器/32，其他部门的计算机访问服务器不受限制。9.5.1配置标准IPACL9.5配置IPACL使用time-range参数把配置完成的时间段和ACL规则配合使用。需要注意的是，只有在time-range指定时间段内生效，其他未引用时间段规则将不受影响。如图9-10所示为某学校网络，需要配置访问控制规则，上班时间（9：00~18：00）不允许员工教学网主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。详细的配置规则如下所示。9.5.2配置基于时间ACL9.5配置IPACL为某企业网络，只允许公司财务部的计算机机（）访问公司的财务服务器（54），不允许其他任何员工的计算机机访问财务服务器。在网络安全访问控制中，使用基于IP的ACL可能无法满足网络需求。因为员工可以修改计算机的IP地址为，就能够绕过IPACL针对IP地址的检查，实现对财务服务器访问。因此，需要使用基于MAC的ACL就避免此现象产生。基于MAC的ACL9.5配置IPACL对于这样的需求，使用基于MAC地址过滤显然不能实现安全目标，因为MACACL控制列表技术不能像扩展ACL那样进行基于端口信息过滤。为了满足这种更复杂、更精确的数据包过滤需求，可以使用专家（Expert）ACL技术实现这样的效果。专家ACL能考虑到实际网络的复杂需求，将ACL的检测元素扩展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和协议，从而可以实现对数据的更精确的过滤，满足网络的复杂需求。对于专家ACL，一些交换机只支持入方向（in）过滤，在配置和应用专家ACL时需要考虑ACL规则配置方式，以及应用专家ACL的接口。基于专家ACL通配符也称“反掩码”，和IP地址结合使用，以描述一个地址范围反掩码和子网掩码相似，但含义不同0表示：对应位需要比较1表示：对应位不比较9.5访问控制列表的通配符IP地址通配符含义最终表示的网络地址55只比较前24位/2455只比较前22位/2255只比较前8位/8每一位都精确比较/3255每一位都不比较/055只比较前10位/10每一条语句也称为ACE，访问控制表项(AccessControlEntry：ACE) ACE匹配的顺序为从上至下，即编号从低到高进行匹配一旦被某条ACE匹配成功（无论动作是deny或permit）,跳出该ACL如果一个ACL中没有配置任意一条ACE，则相当于允许所有数据包如果一个ACL中配置了任意一条语句，那么将存在一条默认ACE：denyipanyany（不显示）9.5访问控制列表的ACEACL的动作分为两种：permit和denypermit：匹配允许permit后面语句的数据/路由deny：不匹配禁止deny后面语句的数据/路由9.6访问控制列表的两种动作9.6访问控制列表的入方向过滤工作流程数据包入站是否配置入方向ACL包过滤数据包进入转发流程丢弃匹配第一条ACE匹配第二条ACE匹配最后一条ACE检查默认ACE通过NoYesYesYesYesNoNoNoNoYesNoNoNo9.6访问控制列表的出方向过滤工作流程数据包出站是否配置出方向ACL包过滤数据包出站丢弃匹配第一条ACE匹配第二条ACE匹配最后一条ACE检查默认ACE通过NoYesYesYesYesNoNoNoNoYesNoNoNoIP标准ACL只能匹配IP数据包头中的源IP地址配置ACL的时候使用”standard”关键字IP扩展ACL匹配源IP/目的IP、协议（TCP/IP）、协议信息（端口号、标志代码）等配置ACL的时候使用”extended”关键字除了上面两种常用类型外，还有以下其他的ACL类型9.7访问控制列表的常用类型ACL类型可匹配内容IP标准ACL源IPIP扩展ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口号，Fragment，TOS，DSCP，PrecedenceMAC扩展ACL源MAC，目的MAC，COS，协议字段（包括各种协议）专家级ACLIP扩展可匹配内容，MAC扩展可匹配内容，VID，innerVID，innerCOS自定义ACL（ACL80）专家级ACL可匹配内容，报文前80字节的任何内容IPV6ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口号，Fragment，DSCP，flow-label标准ACL和扩展ACL能够匹配的数据流类型不同标准ACL：仅匹配数据包的源IP地址扩展ACL：能够匹配3层及以上多种协议，并且可以同时匹配源IP和目的IP等9.7标准ACL与扩展ACL的不同Ruijie(config)#ipaccess-liststandard13Ruijie(config-std-nacl)#permit?A.B.C.DSourceaddressanyAnysourcehosthostAsinglesourcehostRuijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#permit?<0-255>AnIPprotocolnumbereigrpEnhancedInteriorGatewayRoutingProtocolgreGeneralRoutingEncapsulationicmpInternetControlMessageProtocoligmpInternetGroupManagmentProtocolipAnyInternetProtocolipinipIPInIPnosNOSospfOpenShortestPathFirsttcpTransmissionControlProtocoludpUserDatagramProtocol数字命名默认的命名，需要注意标准和扩展两种类型ACL的数字命名范围是不一样的标准ACL常用数字命名为1-99，1300-1999扩展ACL常用数字命名为100-199，2000-2699自定义名称定义更具有代表意义的名称，推荐使用比如禁止VLAN10内的PC访问VLAN30，可以定义为DENY_VLAN10_TO_VLAN309.7访问控制列表的命名Ruijie(config)#ipaccess-liststandard?<1-99>IPstandardacl<1300-1999>IPstandardacl(expandedrange)WORDAclnameACL通过带条件的语句来标识数据包例如禁止PC1（IP:0）和PC2（IP:0）访问PC3（IP:0）的数据流使用下面的配置方法进行配置9.7访问控制列表的配置命令（扩展ACL）Ruijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#10denyip5555Ruijie(config-ext-nacl)#20denyip5555扩展ACL的名字ACL的类型ACE的动作源IP与通配符目的IP与通配符若存在多种不同的访问控制需求，就需要在一个ACL中定义多条语句不允许VLAN10内的PC访问/24内的所有PC不允许VLAN10内的PC访问/24内的所有PC仅允许VLAN10内的特定PC（0）访问/24内的所有PC允许VLAN10内PC仅可以访问的tcp80端口其他数据流放行配置思路首先确定是采用标准还是扩展ACL确定配置ACL中多条语句的顺序将格式相同（动作、数据流类型、子网号、反掩码等）的语句放置在一起配置根据需求配置多条语句时，要确认所配置的顺序能否满足需求。具体配置如下：9.8访问控制列表的多条语句配置方法Ruijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#permitiphost055Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#permittcp55hosteq80Ruijie(config-ext-nacl)#denyip55hostRuijie(config-ext-nacl)#permitipanyany序列号的作用，方便后续维护语句自动生成的序号，默认以10位单位递增。也可以在配置ACL中的语句时提前添加不同的序号。如果新增需求：禁止VLAN10内的PC访问/24。配置如下：9.8访问控制列表的序号ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555540permittcp55hosteqwww50denyip55host60permitipanyanyRuijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#31denyip5555ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany1、应用在接口的入方向还是出方向？数据流是从交换机的接口出入，需要将配置好的ACL应用在接口上接口可以是物理接口也可以是SVI应用的方向根据ACL的内容以及数据流进入接口的方向进行配置选择9.8访问控制列表的应用位置-1数据流的源IP是0ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany目标网络可以应用在出接口可以应用在入接口2、在什么设备上配置ACL？需要结合实际的需求来判断将ACL应用在什么层次的设备上控制VLAN内的数据流，则需要在接入交换机上配置ACL控制VLAN间的数据流，则需要在汇聚交换机（网关）配置ACL配置如下的ACL，应用在何处才能够使得PCA无法访问PCB？B是对的，因为同一个vlan内的数据流不需要经过汇聚交换机9.8访问控制列表的应用位置-2VLAN10接入交换机汇聚交换机PCA0/24PCB0/24VLAN20ipaccess-listextendedFOR_VLAN1010denyiphost0host020permitipanyanyA、应用在该接口，方向为inB、应用在该接口，方向为in2、在什么设备上配置ACL？要求VLAN10不能访问VLAN30，VLAN20不能访问VLAN40如果将ACL配置在接入交换机上，需要在多台交换机上配置，配置工作量较大，而且容易出错因此控制跨网段转发的数据，建议在汇聚网关(SVI接口)上配置ACL，这样可以减少配置量，并方便维护9.8访问控制列表的应用位置-2VLAN10接入交换机汇聚交换机VLAN20VLAN10VLAN20VLAN30VLAN40……………在网关交换机的SVI下配置ACLipaccess-listextendedFOR_VLAN10（为VLAN20配置的ACL略）10denyip555520permitipanyanyRuijie(config)#intvlan10Ruijie((config-VLAN10)#ipaccess-groupFOR_VLAN10inRuijie(config)#intvlan20Ruijie((config-VLAN20)#ipaccess-groupFOR_VLAN20in3、ACL是在靠近源的设备上应用还是靠近目的的设备上应用？需要结合ACL的类型以及实际的应用、配置的工作量进行考虑标准ACL（匹配源地址），在靠近报文目的的设备上进行配置如果应用在靠近数据源的设备上，会有什么问题？9.8访问控制列表的应用位置-3使用标准ACL控制PCA不能访问PCBipaccess-liststandardAtoB10deny5520permitipanyany内部网络PCA0/24PCB0/243、ACL是在靠近源的设备上应用还是靠近目的的设备上应用？需要结合ACL的类型以及实际的应用、配置的工作量进行考虑标准ACL（匹配源地址），在靠近报文目的的设备上进行配置扩展ACL（匹配目的地址），建议在靠近报文源的设备上进行配置避免数据包在网络中经过多个设备转发才在靠近目的的设备上被丢弃掉，会浪费网络资源9.8访问控制列表的应用位置-3使用扩展ACL控制PCA不能访问PCBipaccess-listextendedAtoB10denyip555520permitipanyany内部网络PCA0/24PCB0/243、ACL是在靠近源的设备上应用还是靠近目的的设备上应用？需要结合ACL的类型以及实际的应用、配置的工作量进行考虑标准ACL（匹配源地址），在靠近报文目的的设备上进行配置扩展ACL（匹配目的地址），建议在靠近报文源的设备上进行配置对于扩展ACL，如果想集中控制的话，也可以在报文目的设备上进行配置若要控制很多源IP网段不能访问PCB，可以在靠近PCB的设备上应用ACL，减少配置工作量，实现集中管理9.8访问控制列表的应用位置-3PCC0/24使用扩展ACL控制PCA和PCC不能访问PCBipaccess-listextendedtoB10denyip555520denyip555530permitipanyany内部网络PCA0/24PCB0/24在实际中除了使用ACL控制网段之间的互访外，还有一种比较常见的用法，就是封闭常见的病毒或木马占用的端口，并在三层网关SVI接口下应用，如下的防病毒ACL配置防病毒的ACL也可能会与某些应用的端口号重合，实施时需要注意控制互访和防病毒两种应用在实际中也多结合在一起，因此在配置的时候需要注意ACE的先后顺序防病毒应用ipaccess-listextendedantivirus10denytcpanyanyeq106820denytcpanyanyeq555430denytcpanyanyeq999540denytcpanyanyeq999650denytcpanyanye