ACL原理及配置
访问控制列表原理及配置技巧(acl)
1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表
ACL配置命令
ACL配置命令 12.2.2.1 access-list(extended) 命令:access-list [num] {deny | permit} icmp {{[sipaddr] [smask]} | any-source | {host-s ource [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[i cmp-type] [[icmp-code]]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} igmp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[igmp-ty pe]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} tcp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [ack | fin | psh | rst | syn | urg] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} udp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} {eigrp | gre | igrp | ipinip | ip | [int]} {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [precedence [prec]] [tos [tos]] no access-list [num] 功能:创建一条匹配特定ip协议或所有ip协议的数字扩展ip访问规则;如果此编号数字扩展访问列表不存在,则创建此访问列表。 参数: [num]为访问表标号,100-199;[sipaddr]为源ip地址,格式为点分十进制;[smask ]为源i p的反掩码,格式为点分十进制;[dipaddr]为目的ip地址,格式为点分十进制;[dmask]为目的ip的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;[igmp-type],igmp的类型;[icmp-type],icm p的类型;[icmp-code],icmp的协议编号;[prec],ip优先级,0-7;[tos],tos值,0-15;[sport],源端口号,0-65535;[dport],目的端口号,0-65535; 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定[num]时,创建此编号的acl,之后在此acl中添加表项。 举例:创建编号为110的数字扩展访问列表。拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
ACL配置规范
ACL配置规范: ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:XXX_YY_Z 各字段含义如下: ?XXX:所属部门名称单字的首拼音大写,如委办局则为WBJ; ?YY:区分不同的部门,如果为VLAN_10使用,则XX字段为10。 ?Z:在默认情况下是数字0,如果遇到XXX_XX都一致时,X就从1往上加。 ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:XXX_YYYYY ?XXX:所属部门名称首字的首拼音大写 ?YYYYY:所实现的功能,最多20个字符 举例说明:委办局的不能访问管理平台的ACL,则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下: ?启用ACL时,必须按照规划的ACL,编写Number、Name和description;
ACL配置命令总结
ACL配置命令总结 A.标准ACL 1.access-list access-list-number {deny|permit} {source[source-wildcard] | any} [log] 创建ACL 2.ip access-group access-list-number in/out 在接口应用ACL 3.no access-list access-list-number 删除acl 4.no ip access-group access-list-number in/out 取消在接口应用ACL 5.[no] ip access-list standarded 名字 [no] Deny …… Permit ….. 创建/删除命名的acl Ip access-group 名字in/out 6.show access-lists 查看acl 7.no number 删除行 B.扩展ACL 1.扩展的编辑功能: 例子:ip access-list extended 100 15 permit ……. 插入编号15 2.Ip access-list resequence access-list-number start increase重新编号,有开始编号以及步长值
3.Established使用:只允许带有established的TCP包进入同理有:access-list 100 permit icmp any any echo-replay 即是单向ping有效 4.使用acl限制远程登录 Access-list 1 permit ip地址 Line vty 0 4 Access-class 1 in C.反射ACL 1.ip access-list extended out-acl Permit ip any any reflect out-ip 创建反射 Exit Ip access-list extended in-acl Evaluate out-ip 评估反射列表 Int s0/0/1 Ip access-group out-acl out 外出时叫做反射 Ip access-group in-acl in 进入时叫做评估
acl配置实验
ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)
1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;
PC0 ping PC2
PC1 ping 服务器 服务器ping PC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2 Router(config)#access-list 1 permit any Router(config)#int f 0/1 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit pc1 ping pc2和服务器
ACL详解
A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应
Cisco_ACL配置
1 / 9ACL的使用 ACL的处理过程: 1、语句排序 一旦某条语句匹配,后续语句不再处理。 2、隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包 要点: ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 如果在语句结尾增加deny any的话可以看到拒绝记录 Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www 允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止 Cisco-3750(config)#access-list 100(100-199、2000-2699)permit tcp any host 172.17.31.222 eq 远程配置业务与方案承接 【价格实惠 帮您解决工作上的问题】 https://www.wendangku.net/doc/d710045995.html,/UL4GXf
13-ACL配置 MyPower S4330 V1.0 系列交换机配置手册
ACL配置
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划:研究院资料服务处 * * * 迈普通信技术有限公司 地址:成都市高新区九兴大道16号迈普大厦 技术支持热线:400-886-8669 传真:(+8628)85148948 E-mail:support@https://www.wendangku.net/doc/d710045995.html, 网址:https://www.wendangku.net/doc/d710045995.html, 邮编:610041 版本:2011年 8月v1.0版
目录 第1章 ACL配置 (1) 1.1 ACL简介 (1) 1.1.1 ACL的匹配顺序 (1) 1.1.2 支持的ACL (2) 1.2 配置时间段 (3) 1.2.1 配置过程 (3) 1.2.2 配置举例 (4) 1.3 定义基本ACL (5) 1.3.1 配置过程 (5) 1.3.2 配置举例 (6) 1.4 定义扩展ACL (6) 1.4.1 配置过程 (6) 1.4.2 配置举例 (8) 1.5 定义二层ACL (9) 1.5.1 配置二层ACL (9) 1.5.2 配置举例 (10) 1.6 激活ACL (10) 1.6.1 激活ACL (10) 1.6.2 配置举例 (11) 1.7 ACL的显示和调试 (12)
第1章ACL配置 1.1 ACL简介 ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。 ACL根据一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。 由ACL定义的数据包匹配规则,还可以被其它需要对流进行区分的场合引用,如QoS 中流分类规则的定义。 根据应用目的,可将ACL 分为下面几种: ●基本ACL:只根据源IP地址制定规则。 ●扩展ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。 ●二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。 1.1.1 ACL的匹配顺序 由于同一条ACL可以配置多个子项,所以就出现了匹配顺序的问题。ACL支持两种匹配顺序: ●配置顺序:根据配置顺序匹配ACL规则。 ●自动排序:根据“深度优先”规则匹配ACL规则。 深度优先指的是最长的子项先匹配。
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
ACL简单的配置
ACL简单的配置 ACL(Access Control List,访问控制列表),简单说就是包过滤,根据数据包的报头中的ip地址、协议端口号等信息进行过滤。利用ACL可以实现安全控制。编号:1-99 or 1300-1999(standard IP),100-199 or 2000-2699(Extended IP)。ACL并不复杂,但在实际应用中的,要想恰当地应用ACL,必需要制定合理的策略。
Router 销售部: Router(config)#router rip Router(config-router)#network 192.168.3.0 Router(config-router)#network 172.17.0.0 Router(config-router)#network 172.18.0.0 Router 财务处: Router(config)#router rip Router(config-router)#network 192.168.2.0 Router(config-router)#network 172.16.0.0 Router(config-router)#network 172.17.0.0 Router 人事处: Router(config)#router rip Router(config-router)#network 192.168.1.0 Router(config-router)#network 172.16.0.0 Router(config-router)#network 172.18.0.0 三、配置简单的ACL 1、配置ACL限制远程登录到路由器的主机
ACL配置
1.5 ACL典型配置举例 1.5.1 在接口上应用包过滤的ACL典型配置举例 1. 组网需求 ?某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。 ?通过配置,允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。 2. 组网图 图1-1 ACL典型配置组网图 3. 配置步骤 # 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
ACL配置规范
ACL实施配置指导 ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.2.标准ACL只匹配源ip地址, 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下:
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:AAA_BB_N 各字段含义如下: ?AAA:所属学校名称单字的首拼音大写,如西安工业大学则为XAGYDX; ?BB:区分不同的部门,如果为校内使用,则BB字段为XN。如果是校外使用,则BB字段为XW。如果是管理节点使用,则BB字段为GL。如果是 测试用户使用,则BB字段为CS; ?N:在默认情况下是数字1,如果遇到AAA_BB都一致时,N就从1往上加。ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:Aaa-Bbb_TYCE ?A:A所属学校名称首字的首拼音大写,a为首字拼音的小写; ?B:所属部门名称第二字的拼音大写,b为其他字拼音的小写: ?TYCE:通用策略。 举例说明:财务部的ACL,则描述为XAGYDX-CWB ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下:
ACL配置详解
NGFW—ACL精确控制 一、netfilter架构 1.NGFW的底层架构是netfilter架构,而netfilter架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT 等,甚至可以是用户自定义的功能)。 IP层的五个HOOK点的位置如下图所示 [1]:NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点; [2]:NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点; [3]:NF_IP_FORWARD:要转发的包通过此检测点; [4]:NF_IP_POST_ROUTING:所有马上要通过网络设备出去的包通过此检测点; [5]:NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点; 2.每个HOOK点(A、B、C、D、E)上罗列了可以调用的策略,并且已按优先级进行排列(越靠前的优先级越高);
需求:防火墙犹如放置在边界的一堵墙,作用是保护内网,隔离外网。防火墙中内置了很多的关卡,比如:NAT、路由、ACL、流控等策略,数据包进入防火墙后就会经过这些关卡,只要任何一道关卡出现问题,数据包就无法再继续转发;为了发挥防火墙的最大功效,对每道关卡都要精确配置; 要实现安全策略(ACL)的细化控制,就必须要知道需要ACL控制的流量在经过ACL控制点的时候源地址,目的地址,甚至端口分别是什么,而影响数据流量的主要要素是NAT策略、VPN策略,下面分析VPN策略和NAT策略对数据的影响以及ACL的配置。 一、IPSEC数据NGFW处理(IPSEC处理) 1.分支VPN数据包处理:数据包进入—HOOKA—HOOKC(路由查找、ACL过滤) ---HOOKE(VPN封装) 注意点:(1)放通的流量也是私网到私网 (2)做分支IPSEC策略时,进行NAT排除,放通流量是 私网到私网 2.总部vpn数据包处理:数据包进入—HOOKA(判断)—HOOKB(解密) ---HOOKA---HOOKC(路由、ACL)---HOOKE 注意点: (1)放通的流量应该是私网到私网的流量 (2)做IPSEC策略时,进行NAT排除,放通流量是私网 到私网 二、SSL(客户端)数据NGFW处理(SSL处理)
交换机 ACL原理及配置详解
Cisco ACL原理及配置详解 作者: 佚名, 出处:中国IT实验室,责任编辑: 白志飞, 2010-04-22 09:49 标准访问控制列表实例二 配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而 172.16.4.0/24中的其他计算机可以正常访问。 路由器配置命令: access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过 access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯 int e 1 进入E1端口 ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。 配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。 总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表: 上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。 扩展访问控制列表的格式 刚刚我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL 号为100到199。 扩展访问控制列表的格式: 扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下: access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。 小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。 扩展访问控制列表实例
交换机配置ACL基本配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机配置ACL基本配置 交换机配置(三)ACL 基本配置 1,二层 ACL . 组网需求: 通过二层访问控制列表,实现在每天 8:00~18:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。 该主机从 GigabitEthernet0/1 接入。 .配置步骤: (1)定义时间段 # 定义 8:00 至 18:00 的周期时间段。 [Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL。 # 将 traffic-of-link 的 ACL 激活。 [Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2,三层 ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天 8:00~18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤。 1 / 11
华为ACL配置教程
华为ACL配置教程 一、ACL基本配置 1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间) 某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。 [Huawei]time-range test ?