《第13章-访问控制列表.pptx》由会员分享,可在线阅读,更多相关《第13章-访问控制列表.pptx(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、课程主讲人:第13章-访问控制列表第13章 访问控制列表主讲:耿家礼2 ACL分类1 ACL概述33 ACL配置实例2第13章ACL 概 述第13章ACL概述ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的ACL可以应用于诸多方面u包过滤防火墙功能 uNAT(Network Address Translation,网络地址转换)uQoS(Quality of Service,服务质量)的数据分类u路由策略和过滤u按需拨号第13章基于ACL的包过滤技术对进出的数据包逐个过滤,丢弃或允许通过ACL应用于接口上,每个接口的出入双向分别过滤仅当数据包经过一个接口
2、时,才能被此接口的此方向的ACL过滤入方向过滤入方向过滤入方向过滤入方向过滤出方向过滤出方向过滤出方向过滤出方向过滤接口接口接口接口路由转发路由转发进程进程第13章入站包过滤工作流程匹配第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置入方向ACL包过滤NoPermitDenyPermitDefault PermitDenyDenyDefault Deny数据包进入转发流程NoNoNo检查默认规则设定第13章出站包过滤工作流程匹配第一条规则数据包到达出接口匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置出方向ACL包过滤NoPermitDeny
3、PermitDefault PermitDenyDenyDefault Deny数据包出站NoNoNo检查默认规则设定第13章通配符掩码通配符掩码含义0.0.0.255只比较前只比较前24位位0.0.3.255只比较前只比较前22位位0.255.255.255只比较前只比较前8位位通配符掩码和IP地址结合使用以描述一个地址范围通配符掩码和子网掩码相似,但含义不同u0表示对应位须比较u1表示对应位不比较第13章通配符掩码的应用示例IP地址地址通配符掩码通配符掩码表示的地址范围表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255
4、192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24第13章谢 谢 !第13章ACL 分 类第13章ACL分类l利用数字序号标识访问控制列表l可以给访问控制列表指定名称,便于维护访问控制列表的分类访问控制列表的分类数字序号的范围数字序号的范围基本访问控制列表基本访问控制列表 20002999 扩展访问控制列表扩展访问控制列表
5、30003999 基于二层的访问控制列表基于二层的访问控制列表 40004999 用户自定义的访问控制列表用户自定义的访问控制列表 50005999 第13章基本ACL 基本访问控制列表只根据报文的源IP地址信息制定规则接口接口接口接口从来的数据包不能通过从来的数据包不能通过从来的数据包可以通过从来的数据包可以通过分组分组分组分组第13章高级ACL高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则接口接口接口接口从来,到的从来,到的TCP端口端口80去的数据包不能通过去的数据包不能通过从来,到的从来,到的TCP端口端口23去的数据包可以通过去
6、的数据包可以通过TCP, DP=80, SP=2032TCP, DP=23, SP=3176分组分组分组分组第13章二层ACL与用户自定义ACL二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则用户自定义ACL可以根据任意位置的任意字串制定匹配规则 报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。第13章谢 谢 !第13章配置ACL包过滤第13章配置ACL包过滤条件启动包过滤防火墙功能,设置默认的过滤规则 根据需要选择合适的ACL分类创建正确的规则u
7、设置匹配条件u设置合适的动作(Permit/Deny) 在路由器的接口上应用ACL,并指明过滤报文的方向(入站/出站)第13章启动包过滤防火墙功能l防火墙功能需要在路由器上启动后才能生效l设置防火墙的默认过滤方式系统默认的默认过滤方式是permit sysname firewall enable sysname firewall default permit | deny 第13章配置基本ACLsysname acl number acl-numberl配置基本ACL,并指定ACL序号 基本IPv4 ACL的序号取值范围为20002999sysname-acl-basic-2000 rule
8、rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name l定义规则制定要匹配的源IP地址范围指定动作是permit或deny第13章配置高级ACLl配置高级IPv4 ACL,并指定ACL序号高级IPv4 ACL的序号取值范围为30003999sysname-acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | des
9、tination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time-range time-name sysname acl number acl-numberl定义规则需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息指定动作是permit或deny第13章配置二层ACLl配置二层 ACL,并指定ACL序号二层ACL的序号取值范围为40004999sysna
10、me-acl-ethernetframe-3000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-numberl定义规则需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息指定动作是permit或拒绝deny第13章在接口上应用ACL将ACL
11、应用到接口上,配置的ACL包过滤才能生效指明在接口上应用的方向是Outbound还是Inboundsysname-Serial2/0 firewall packet-filter acl-number | name acl-name inbound | outbound 第13章ACL包过滤显示与调试操作操作命令命令查看防火墙的统计信息查看防火墙的统计信息display firewall-statistics all | interface interface-type interface-number查看以太网帧过滤情况的信息查看以太网帧过滤情况的信息display firewall eth
12、ernet-frame-filter all | dlsw | interface interface-type interface-number 清除防火墙的统计信息清除防火墙的统计信息reset firewall-statistics all | interface interface-type interface-number显示配置的显示配置的IPv4 ACL信息信息display acl acl-number | all清除清除IPv4 ACL统计信息统计信息reset acl counter acl-number | all |第13章ACL规则的匹配顺序匹配顺序指ACL中规则的优
13、先级。ACL支持两种匹配顺序:u配置顺序(config):按照用户配置规则的先后顺序进行规则匹配u自动排序(auto):按照“深度优先”的顺序进行规则匹配,即地址范围小的规则被优先进行匹配配置ACL的匹配顺序: sysname acl number acl-number match-order auto | config 第13章不同匹配顺序导致结果不同接口接口接口接口分组分组acl number 2000 match-order config rule deny source 1.1.1.1 0接口接口接口接口分组分组acl number 2000 match-order auto rule
14、 deny source 1.1.1.1 0第13章在网络中的正确位置配置ACL包过滤尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发。l高级ACL应该在靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络。l基本ACL过于靠近被过滤源的基本ACL可能阻止该源访问合法目的。应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源。第13章高级ACL部署位置实例PCAE0/1E0/0RTCRTBRTA要求PCA不能访问NetworkA和NetworkB,但可以访问其他所有网络NetworkANetworkBNetworkCNetworkDE0/0E0/1RTC f
15、irewall enableRTC acl number 3000RTC-Ethernet0/0 firewall packet-filter 3000 inbound 第13章基本ACL部署位置实例要求PCA不能访问NetworkA和NetworkB,但可以访问其他所有网络PCAE0/1E0/0RTCRTBRTANetworkANetworkBNetworkCNetworkDE0/0E0/1RTA firewall enableRTA acl number 2000RTA-acl-basic-2000 rule deny source 172.16.0.1 0RTA-Ethernet0/1 firewall packet-filter 2000 inbound 第13章ACL包过滤的局限性lACL包过滤防火墙是根据数据包头中的二、三、四层信息来进行报文过滤的,对应用层的信息无法识别。无法根据用户名来决定数据是否通过。无法给不同的用户授予不同的权限级别。lACL包过滤防火墙是静态防火墙,无法对应用层协议进行动态检测。第13章谢 谢 !