1.ACL訪問控制列表

拓撲結構


一、基礎知識

1.訪問控制列表ACL,分為基本ACL(2000~2999)、高級ACL(3000~3999)、二層ACL(4000~4999)、用戶自定義ACL(5000~5999)。

2.基本ACL只根據報文的源IP地址信息制定匹配規則,高級ACL根據報文的源/目IP地址,協議類型,端口號等三、四層信息定制匹配規則。

3.配置步長

4.配置時間段

time-range time-range-name{start-time to end-time days [ from time1?date1 ]?[ to time2?date2 ] ?| from time1?date1 [to time2?date2 ]?| to time2?date2

<Sysname>system-view

[Sysname]?time-range?test?8:00?to?18:00?working-day?

[Sysname]?display?time-range?test

Current?time?is?22:17:42?1/5/2006?Thursday

5.創建基本的ACL:

(1)創建ACL,并進入ACL視圖

acl acl-number?[?name?acl-name?]?[?match-order?{?auto?|?config?}?]

(2)定義規則

rule?[?rule-id?]?{?deny?|?permit?} [?fragment?|?logging?|?source {?sour-addr?sour-wildcard?|?any?}?| time-range?time-range-name?]?*

(3)定義步長

step?step-value

(4)定義描述信息

description?text

(5)定義規則的描述信息

rule?rule-id?comment?text


#ACL配置示例

#配置基本IPv4?ACL?2000,禁止源IP地址為1.1.1.1的報文通過。

<Sysname>system-view

[Sysname]?acl 2000

[Sysname-acl-basic-2000]?rule?deny?source?1.1.1.1?0

[Sysname-acl-basic-2000]?display?acl?2000

Basic?ACL??2000,?named?-none-,?1?rule, ACL's?step?is?5 rule?0?deny?source?1.1.1.1?0?(5?times?matched)


6.創建高級的ACL

(1)創建并進入高級ACL視圖

acl acl-number?[?name?acl-name?]?[?match-order?{?auto?|?config?}?]

(2)定義規則

rule?[?rule-id?]?{?deny?|?permit?}?protocol?[?{?established?|?{?ack?ack-value?|?fin?fin-value?|?psh?psh-value?|?rst?rst-value?|?syn?syn-value?|?urg?urg-value?}?*?}?|?destination?{?dest-addr?dest-wildcard?|?any?}?|?destination-port?operator?port1?[?port2?]?|?dscp?dscp?|?fragment?|?icmp-type?{?icmp-type?icmp-code?|?icmp-message?}?|?logging?|precedence?precedence?|?reflective?|?source?{?sour-addr?sour-wildcard?|?any?}?|?source-port?operator?port1 [?port2?]?|?time-range?time-range-name?|?tos?tos?]?*

#配置示例

#?配置高級IPv4?ACL?3000,允許129.9.0.0網段的主機向202.38.160.0網段的主機發送端口號為80的TCP報文。

<Sysname>system-view?

[Sysname]?acl?number?3000

[Sysname-acl-adv-3000]?rule?permit?tcp?source?129.9.0.0?0.0.255.255?destination?202.38.160.0?0.0.0.255?destination-port?eq?80

[Sysname-acl-adv-3000]?display?acl?3000?Advanced?ACL??3000,?named?-none-,?1?rule,?ACL's?step?is?5 rule?0?permit?tcp?source?129.9.0.0?0.0.255.255?destination?202.38.160.0?0.0.0.255?destination-port?eq?www?(5?times?matched)


7.應用ACL進行報文過濾

packet-filter過濾

8.outbound與inbound

從較高安全級別區域去往較低安全級別區域的報文稱為Outbound報文;

從較低安全級別區域去往較高安全級別區域的報文稱為Inbound報文。

二、配置步驟

1.配置路由器各接口ip地址(略)

2.為各部門創建安全區域

#配置域間防火墻,創建安全區域,并設置安全級別。

[R1]firewall zone HR

[R1-zone-HR]priority 12

[R1-zone-HR]firewall zone SALES

[R1-zone-SALES]priority 10

[R1-zone-SALES]fire zone IT

[R1-zone-IT]priority 8

[R1-zone-IT]fire zone trust

[R1-zone-trust]priority 14

#將R1上連接不同部門的接口加入到相應部門的安全區域中,GE2/0/1加入到trust區域中

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]zone HR

[R1-GigabitEthernet0/0/0]interg0/0/1

[R1-GigabitEthernet0/0/1]zone SALES

[R1-GigabitEthernet0/0/1]int g2/0/0

[R1-GigabitEthernet2/0/0]zone IT

[R1-GigabitEthernet2/0/0]int g2/0/1

[R1-GigabitEthernet2/0/1]zone trust

#使用命令display firewall zone查看相應區域的優先級、區域內包含接口名稱、接口數量等信息。

[R1]display firewall zone

zone IT

priority is 8

interface of the zone is (total number 1):

GigabitEthernet2/0/0

zone SALES

priority is 10

interface of the zone is (total number 1):

GigabitEthernet0/0/1

zone HR

priority is 12

interface of the zone is (total number 1):

GigabitEthernet0/0/0

zone trust

priority is 14

interface of the zone is (total number 1):

GigabitEthernet2/0/1

zone Local

priority is 15

interface of the zone is (total number 0):

total number is : 5

所有區域的配置工作已經完成,下面配置ACL訪問控制

3.禁止SALES部門和HR部門之間的互訪

#啟用SALES區域和HR區域的域間防火墻

[R1]firewall interzone SALES HR

[R1-interzone-HR-SALES]firewallenable

默認情況下,當域間防火墻啟用之后,安全級別較高的區域能夠訪問安全級別較低的區域,并且應答的報文也能夠返回到安全級別較高的區域,但是安全級別較低的區域無法訪問安全級別較高的區域。

#使用命令display firewall?interzone SALES HR查看區域間的默認策略

[R1]display firewall interzone SALESHR

interzone HR SALES

firewall enable

packet-filter default deny inbound(低到高)

packet-filter default permit outbound(高到低)

由于HR的安全級別(12)高于SALES的安全級別(10),因此HR到SALES的訪問是被允許的,而從SALES到HR的訪問是禁止的。

下面,為了禁止HR和SALES之間的互訪,可以使用在他們之間使用ACL達到目的,由于默認情況下,SALES已經無法訪問HR區域,因此,只需要在outbound方向上將HR去往SALES的報文全部過濾即可。

#創建高級ACL 3000來定義從HR到SALES之間的報文,步長設置為10,然后,在outbound方向上引用ACL 3000

[R1]acl 3000

[R1-acl-adv-3000]step 10

[R1-acl-adv-3000]rule deny ip source172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

[R1]firewall interzone HR SALES

[R1-interzone-HR-SALES]packet-filter3000 outbound

#查看ACL配置

[R1]display acl 3000

Advanced ACL 3000, 1 rule

Acl's step is 10

rule 10 deny ip source 172.16.1.0 0.0.0.255destination 172.16.2.0 0.0.0.255

#查看SALES和HR之間的域間Firewall策略

[R1]display firewall interzone SALESHR

interzone HR SALES

firewall enable

packet-filter default deny inbound

packet-filter default permit outbound

packet-filter 3000 outbound

此時SALES和HR之間已經無法通信了。

4.實現對WEB-Server和Ftp-server的訪問控制,SALES部門能夠訪問Web-server,禁止訪問Ftp-server

#開啟SALES和trust之間的域間防火墻

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]firewallenable

#創建acl 3001,允許SALES部門的用戶訪問web-server,并應用在SALES和trust的區域之間

[R1]acl 3001

[R1-acl-adv-3001]step 10

[R1-acl-adv-3001]rule permit tcpsource 172.16.2.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]packet-filter3001 inbound

配置完成后,SALES區域的用戶能夠訪問web-server,但是不能訪問ftp-server。

5.IP部門的用戶可以隨時訪問ftp-server,但只能在每天的14:00到16:00才能訪問web-server,另外還要求IT部門的用戶能夠隨時ping通ftp-server和web-server。

#開啟IT和trust之間的域間防火墻

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]firewallenable

#配置時間跨度為每天的14:00-16:00

[R1]time-range access-web 14:00 to16:00 daily

#創建ACL 3003,放行IT到trust的inbound方向的FTP、HTTP、ICMP的echo報文,步長設置為10

[R1]acl 3003

[R1-acl-adv-3003]step 10

[R1-acl-adv-3003]rule permit tcpsource 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80time-range access-web

[R1-acl-adv-3003]rule permit tcpsource 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq 21

[R1-acl-adv-3003]rule permit icmpsource 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

[R1-acl-adv-3003]rule permit icmpsource 172.16.3.0 0.0.0.255 destination 192.168.1.10 0

#查看ACL配置

[R1]display acl 3003

Advanced ACL 3003, 4 rules

Acl's step is 10

rule 10 permit tcp source 172.16.3.0 0.0.0.255destination 192.168.1.30 0 desti

nation-port eq www time-rangeaccess-web(Inactive)

rule 20 permit tcp source 172.16.3.0 0.0.0.255destination 192.168.1.10 0 desti

nation-port eq ftp

rule 30 permit icmp source 172.16.3.00.0.0.255 destination 192.168.1.30 0

rule 40 permit icmp source 172.16.3.00.0.0.255 destination 192.168.1.10 0

#將ACL 3003應用在IT區域和trust區域之間的inbound方向上

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]packet-filter3003 inbound

配置完成!

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容