网络安全之——ACL(访问控制列表).docVIP

网络安全之——ACL(访问控制列表) 【实验目的】 1、掌握基本ACL的原理及配置方法。 2、熟悉ACL的应用场合并灵活运用。 【实验环境】 H3C三层交换机1台，PC 3台，标准网线3根。 【引入案例 1】 某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并接入互联网。自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一会儿领导抱怨员工上班时候整天偷偷泡网，等等。有什么办法能够解决这些问题呢？ 【案例分析】 网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的事等等。一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负面影响，这就成了摆在网络管理员面前的一个重要课题。网络安全采用的技术很多，通过ACL（Access Control List，访问控制列表）对数据包进行过滤，实现访问控制，是实现基本网络安全的手段之一。 【基本原理】 ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙的一种重要实现方式。ACL是在网络设备中定义的一个列表，由一系列的匹配规则（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、协议类型以及端口号等信息，并预先设定了相应的策略——允许（permint）或禁止（Deny）数据包通过。 基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL进行包过滤。 基于ACL的包过滤 当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数据交给入站防火墙进行过滤，其工作流程如图所示。 入站包过滤工作流程 一个ACL可以包含多条规则，每条规则都定义了一个匹配条件及其相应的动作。ACL规则的动作即允许或拒绝。 （1）系统用ACL的第一条规则的条件来尝试匹配数据包的信息。 （2）如果数据包的特征与规则的条件相符（称数据包命中此规则），则执行规则所设定的动作，如果是peimit，则允许数据包穿过防火墙，交由路由转发进程处理，如果是deny，则系统丢弃数据包。 （3）如果数据包特征与规则的条件不符，则转下一条规则继续尝试匹配。 （4）如果数据包没有命中任何一条规则的条件，则执行防火墙的默认动作。 需要注意的是，流程图中最后的默认规则用来定义对ACL以外的数据包的处理方式，即在没有规则去判定数据包是否可以通过的时候，防火墙所采取的策略是允许还是拒绝。 同样地，当路由器准备从某端口上发出一个数据包时，如果该端口处没有ACL启动包过滤，则数据包直接发出，如果该端口处启动了ACL包过滤，则数据将交给出站防火墙进行过滤，其工作流程如图所示。 出站包过滤工作流程 在配置ACL的时候，需要定义一个数字序号，并利用这个序号来唯一标识一个ACL。 根据应用目的，ACL可以分为以下几种类型： 基本ACL（序号为2000~2999）:也称为标准访问控制列表，只根据报文的源IP地址信息制定匹配规则。 高级ACL（序号为3000~3999）: 也称为扩展访问控制列表，根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。其中3998与3999是系统为集群管理预留的编号，用户无法配置。 二层ACL（序号为4000~4999）: 根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定匹配规则。 用户自定义ACL（序号为5000~5999） ：可以以报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。 【命令介绍】 1．定义基本ACL，并进入相应的ACL视图 acl number acl-number 删除指定的ACL，或者删除全部ACL的命令： undo acl { all | number acl-number } 〖视图〗 系统视图 〖参数〗 number acl-number：ACL序号，基本IPv4 ACL的序号取值范围为2000～2999，高级IPv4 ACL的序号取值范围为3000～3999。 2．定义ACL规则 （1）指定要匹配的源IP地址范围。 （2）指定动作是permit或deny。 rule [