M0000145ACL技术与配置.docVIP

11.1 防火墙 410 11.1.1 防火墙简介 410 11.1.2 ACL 411  M000 0145 ACL 技术与配置 Huawei Technologies 防火墙 防火墙简介 前面我们介绍了对单个远程用户接入网络的访问控制，现在我们在网络层层次讨论针对单个报文进行的访问控制。对于报文的访问控制技术一般被称为防火墙技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。正如防火墙这一词语本身所显示的那样，防火墙一般部署于一个网络的边缘，用于控制进入网络的数据包的种类。图11-11给出了防火墙运用在一个企业网络的示意图。 如图11-11所示，为了对进入网络实施访问控制功能，防火墙需要对要进入某个网络的每一个数据包进行检验，看其是否符合预先设定的规则（如允许Http报文进入而不允许ICMP报文进入），如果符合，那么就将其转发进入网络，否则丢弃并根据需要作系统日志。 防火墙示意图 防火墙需要对进入网络的所有报文进行过滤的功能决定了防火墙的实现和报文转发机制紧密相关。对于报文转发，目前主要的设备类型是数据链路层的交换机（如Lan Switch）或是网络层的路由器，所以防火墙功能常常被集成到这些转发设备中。我们这里将以Quidway系列路由器上的防火墙功能为例说明防火墙技术，图11-12给出了防火墙技术和路由器的报文转发相结合的示意图。 路由器实现防火墙功能 如图11-12所示，防火墙实现的一个关键部件就是确定访问控制规则。基于规则的重要性，我们将在本节随后内容中讨论有关规则的如下两个问题： 如何定义规则的语法才能满足数据包访问控制的需求？ 为了尽可能减少维护工作，如何自动生成规则？ 对于第一个问题，我们将以Quidway路由器中实现的ACL（Access Control List）为例来讲述一个良好定义的（Well-Defined）规则语法体系，对于第二个问题，我们将以Quidway路由器中实现的ASPF（Application Specific Packet Filter）功能来讲述一种规则自动生成机制。 ACL 在Quidway系列路由器中，防火墙功能的实现有两种，一是本小节中要讨论的基于静态配置的规则（也称为无状态防火墙），另外一种是我们在下一小节中要讨论的ASPF（也称为状态防火墙）。为了在一个网络中部署基于静态配置规则的防火墙，首先需要清晰地理解网络的实际需求，最终得到的分析结果必须清晰地表达出网络允许输入/输出的数据流的细致特征（需要精确到可以和不允许输入/输出的数据流的区别）；其次是需要对防火墙产品如何描述数据流规则（即语法）和实现防火墙功能有全面而清晰的认识。下面我们首先介绍华为Quidway路由器的无状态防火墙是如何定义和配置的。 华为Quidway路由器的防火墙配置包括两个内容，一是定义对特定数据流的访问控制规则，即定义访问控制列表ACL；二是定义将特定的规则应用到具体的接口上，从而过滤特定方向的数据流。 常用的访问控制列表可以分为两种：标准访问控制列表和扩展访问控制列表。标准访问控制列表仅仅可以根据IP报文的源地址域区分不同的数据流，扩展访问控制列表则可以根据IP报文中的更多域（如目的IP地址，上层协议信息等）来区分不同的数据流。所有访问控制列表都有一个编号，标准访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制列表编号范围为1-99，扩展访问控制列表为100-199。 定义标准访问控制列表规则的命令格式（语法）为： acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 命令中各关键字含义为： acl定义一个访问列表，此命令只能在系统视图下执行；acl-number指定该访问列表的号码，1~99为基本的IP ACL，100~199是扩展的ACL，200~299为以太网协议的ACL，700~799是有关MAC地址的ACL。match-order：指定ACL的配置顺序。config：表示该ACL使用配置顺序匹配。缺省情况，ACL的配置顺序是config顺序。auto：表示该ACL使用按照“深度优先”的原则使用自动顺序匹配，即当该ACL配置多条规则，这些规则的匹配顺序缺省是类似于路由表中的“深度优先”匹配方法，即匹配最匹配的规则，这个我们在后面的例子中还会讨论到。 rule命令为某一个访问列表定义规则，在ACL配置视图下执行。一个访问控制列表可能包含多条规则。 normal或special是可选参数，Special用于指示该规则是否仅在特定的时间段