浅析口袋书系列-防火墙产品公共知识--基本管理.docxVIP

排版及打印说明：安全产品特性原理学习口袋书，本文已经排好板式，可直接设置每张两页双面打印出32开本的小册子随身携带，闲时翻阅。适用产品：USG2000/5100 系列V1R5版本；USG5300/5500系列 V2R1版本。ACLACL是设备实现数据控制的重要手段，它可以应用到包过滤、IPSec、QoS（Qulity of Service）、路由策略等功能中。定义访问控制列表是一系列有顺序的规则组的集合，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL（Access Control List）通过规则对数据包进行分类，这些规则应用到路由设备上，路由设备根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。例如可以用访问列表描述：拒绝任何用户终端使用Telnet登录本机。允许每个用户终端经由SMTP向本机发送电子邮件。每个ACL中可以定义多个规则，ACL规则是一个匹配选项的集合，由用户根据不同业务进行选择配置。针对不同的业务，ACL的匹配选项支持情况不相同。ACL的类型划分方式有以下几种，如表1-3。ACL的分类ACL类型划分依据ACL类型按照ACL规则的功能基本ACL：限制数据包的源地址。数字范围是2000～2999，即支持1000个基本ACL。高级ACL：限制数据包的源地址、目的地址、协议号、源端口和目的端口号的五元组，数字范围是3000～3999。基于MAC地址的ACL：根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则，编号范围为4000～4999。硬件包过滤ACL：根据报文源IP地址、目的IP地址、源MAC地址、目的MAC地址、协议等维度来进行流量匹配，编号范围为9000～9499。硬件包过滤ACL是一种特殊的ACL，主要用于硬件包过滤功能。将硬件包过滤ACL下发到接口卡上后，接口卡通过硬件实现包过滤功能，比普通的软件包过滤速度更快，消耗系统资源更少。根据ACL功能划分的ACL，分别支持的过滤选项如表1-4。不同类型ACL所支持的过滤选项ACL规则类型支持的过滤选项基本ACL源IP地址：指定ACL规则的源地址信息。如果不配置，表示任何源地址的报文都匹配。生效时间段：指定规则生效的时间范围。如果不配置，表示规则配置后马上生效。高级ACL协议类型：用名字或数字表示的协议类型。如果用整数形式，取值范围是1～255；如果用字符串形式，可以选取：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp、service-set。对不同的协议类型，有不同的参数组合，TCP和UDP有源端口和目的端口可选项，其它协议类型没有。源IP地址：指定ACL规则的源地址信息。如果不配置，表示报文的任何源地址都匹配。目的IP地址：指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。源端口和目的端口：指定UDP或者TCP报文的目的端口信息，仅在规则指定的协议号是TCP或者UDP时有效。如果不指定，表示TCP/UDP报文的任何目的端口信息都匹配。分片报文类型：指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。优先级：数据包可以依据优先级字段（IP包TOS字段的高3位）进行过滤。用关键字或数字表示，数字的取值范围是0～7的整数。TCP flag：指定TCP-FLAG的值，取值范围是0～63。TOS：数据包可以依据服务类型字段进行过滤，取值范围是0～15。ICMP：ICMP包可以依据ICMP的消息名称、消息类型或消息码进行过滤，仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。生效时间段：指定规则生效的时间范围。如果不配置，表示规则配置后马上生效。基于MAC地址的ACL源MAC地址：指定ACL规则的源MAC地址信息。目的MAC地址：指定ACL规则的目的MAC地址信息。协议类型：指定二层协议的类型。cos值：指定cos的优先级。硬件包过滤ACL源IP地址：指定ACL规则的源地址信息。目的IP地址：指定ACL规则的目的地址信息。协议类型：用名字或数字表示的协议类型。指定帧的协议类型：以太网帧头部中的一个字段，用于标识该帧的协议类型。cos值：指定cos的优先级。目的各种业务通过引用ACL，对路由或报文进行规则匹配后处理。原理描述步长步长的含义是：自动为ACL规则分配编号时，规则编号之间的差值。例如，如果步长设定为5，规则编号分配是按照5、10、15这样的规则分配的。使用步长设定可以方便在规则之间插入新的规则。例如配置了4条规则，规则编号为：5、10、15、20。此时希望在第一条规则（即编号为5的规则）之前插入一条规则，则可以使用rule 1命令在规则5之前插入一条编号为1的规则。缺省情况下，ACL规则