课程编码 ACL访问控制列表.ppt

课程编码 ACL访问控制列表,ISSUE 1.0,2,学习目标,理解访问控制列表的基本原理掌握访问控制列表的应用组网和配置方法,学习完本课程，您应该能够：,3,课程内容,第一章 ACL概述第二章 ACL的类型第三章 ACL的使用特性第四章 典型组网配置,4,IP包过滤技术介绍,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,5,ACL概述,为了匹配数据包，需要配置一系列的规则，以决定什么样的数据包能够匹配，这些规则就是通过访问控制列表ACL（Access Control List）定义的。访问控制列表是由permit|deny语句组成的一系列有顺序的规则。规则根据数据包的源/目的IP地址、TCP/UDP的源/目的端口号、ICMP类型、QOS优先级字段、物理接口编号、源/目的MAC地址、以太网类型字段等来描述。,6,访问控制列表的作用,访问控制列表常用于防火墙技术；访问控制列表可用于QoS（Quality of Service），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于网络地址转换NAT；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,7,访问控制列表的定义,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：,8,课程内容,第一章 ACL概述第二章 ACL的类型第三章 ACL的使用特性第四章 典型组网配置,9,访问控制列表的分类,按照访问控制列表的用途可以分为四类:基本的访问控制列表（basic acl）高级的访问控制列表（advanced acl）基于接口的访问控制列表（interface-based acl）基于MAC的访问控制列表（mac-based acl）,10,访问控制列表的标识,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,11,基本访问控制列表,基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,12,基本访问控制列表的配置,配置基本访问列表的命令格式如下：acl number acl-number match-order config|auto rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging fragment vpn-instance vpn-instanc-name,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?,13,反掩码的使用,反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。,14,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,15,高级访问控制列表的配置,高级访问控制列表规则的配置命令：rule rule-id permit|deny protocol source sour-addr sour-wildcard|any destination dest-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name,16,高级访问控制列表操作符,17,高级访问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging,18,基于接口的访问控制列表,基于接口的访问控制列表，是一种特殊的访问控制列表，可以根据接收报文的接口指定规则。基于接口的访问控制列表的配置acl number acl-number match-order config|auto rule permit|deny interface interface-name time-range time-name logging undo rule rule-idinterface interface-type interface-number：指定数据包的接口信息。如果不指定，表示所有的接口都匹配。any代表所有的接口。,19,基于MAC地址的访问控制列表,基于以太网的MAC地址的访问控制列表acl-number取值范围是40004999。可以根据源或目的MAC掩码、桥接报文的封装格式、以太网类型域值进行匹配,20,基于MAC地址的访问控制列表的配置命令,rule rule-id deny|permit type type-code type-mask|lsap lsap-code lsap-mask source-mac sour-addr sour-mask dest-mac dest-addr dest-mask type-code为 十六进制数，匹配以太网类型域值lsap-code为 十六进制数，匹配接口上桥接报文的封装格式,常见以太网类型域值 RFC1700,21,课程内容,第一章 ACL概述第二章 ACL的类型第三章 ACL的使用特性第四章 典型组网配置,22,访问控制列表的使用,防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上,公司总部网络,启用防火墙,将访问控制列表应用到接口上,Internet,23,防火墙的属性配置命令,打开或者关闭防火墙firewall enable|disable 设置防火墙的缺省过滤模式firewall default permit|deny 显示防火墙的统计信息display firewall-statistics all|interface interface-name|fragments-inspect 打开防火墙包过滤调试信息开关debugging firewall all|icmp|tcp|udp|others interface interface-name,24,访问控制列表的显示,访问控制列表的显示与调试display acl all|acl-number reset acl counter all|acl-number,25,在接口上应用访问控制列表,将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewall packet-filter acl-number inbound|outbound match-fragments normally|exactly,Ethernet0/0,Serial1/0,26,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,27,时间段的配置命令,time range 命令time-range time-name start-time to end-time days from time1 date1 to time2 date2 显示 time range 命令display time-range all|time-name,28,访问控制列表的匹配规则,一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较rule deny 202.38.0.0 0.0.255.255 rule permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主 机（202.38.160.0）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,29,ACL对分片报文的支持,传统的包过滤只对首片IP分片报文进行处理，后续分片放行。VRP平台的基本和高级控制控制列表提供了对分片报文过滤的功能。对所有的分片报文进行三层（IP层）的匹配过滤对于包含扩展信息的ACL规则项（例如包含TCP/UDP端口号，ICMP类型），提供两种匹配方式。标准匹配 即三层信息的匹配，匹配将忽略三层以外的信息；精确匹配 即则对所有的ACL项条件进行匹配，这就要求防火墙必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的功能方式为标准匹配方式。,30,ACL处理分片报文的配置命令,在ACL的规则配置项中，通过关键字fragment来标识该ACL规则仅对非首片分片报文有效，而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规则项对所有报文均有效。,Quidway-basic-2000 rule deny source 202.101.1.0 0.0.0.255 fragmentQuidway-basic-2000 rule permit source 202.101.2.0 0.0.0.255Quidway-adv-3001 rule permit ip destination 171.16.23.1 0 fragmentQuidway-adv-3001 rule deny ip destination 171.16.23.2 0上述规则项中，所有项对非首片分片报文均有效；第一，三项对非分片和首片分片报文是被忽略的，仅仅对非首片分片报文有效。,31,课程内容,第一章 ACL概述第二章 ACL的类型第三章 ACL的使用特性第四章 常见组网配置,32,包过滤防火墙的配置例,Eth0/0,S1/0,需求：只允许内网网段192.168.1.0/24访问Internet，其余内网网段不允许访问外网。禁止Internet方向来的目的端口445的TCP报文进入,内网,外网,Internet,33,包过滤防火墙的配置例子,#在路由器Quidway上允许防火墙。Quidway firewall enable#设置防火墙缺省过滤方式为允许包通过。Quidway firewall default permit#创建访问控制列表3001。默认匹配顺序是用户配置顺序Quidway acl number 3001#配置规则允许特定网段访问外部网。Quidway-acl-adv-3001 rule permit ip source 192.168.1.0 0.0.0.255#配置规则禁止所有IP包通过Quidway-acl-adv-3001 rule deny ip#创建访问控制列表3002Quidway acl number 3002#配置规则禁止某些特定端口的报文从从外部网访问内部网。Quidway-acl-adv-3002 rule deny tcp destination-port eq 445#将规则3001作用于从接口Ethernet0/0进入的包。Quidway-Ethernet0/0 firewall packet-filter 3001 inbound#将规则3002作用于从接口Serial1/0进入的包。Quidway-Serial1/0 firewall packet-filter 3002 inbound,34,总结,ACL访问控制列表的基本工作原理四种ACL类型以及用法如何利用ACL实现包过滤防火墙及其扩展应用ACL以及包过滤防火墙的配置,华为3Com技术有限公司,华为3Com公司网址:www.huawei-华为3Com技术论坛网址:forum.huawei-,