网络安全之——ACL访问控制列表

1、网络安全之ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。2、熟悉高级ACL的应用场合并灵活运用。【实验环境】H3C三层交换机1台，PC 3台，标准网线3根。【引入案例 1】 某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并接入互联网。自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一会儿领导抱怨员工上班时候整天偷偷泡网，等等。有什么办法能够解决这些问题呢？【案例分析】 网络应用与互联网的普及在大幅提

2、高企业的生产经营效率的同时也带来了许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的事等等。一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负面影响，这就成了摆在网络管理员面前的一个重要课题。网络安全采用的技术很多，通过ACL（Access Control List，访问控制列表）对数据包进行过滤，实现访问控制，是实现基本网络安全的手段之一。【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙的一种重要实现方式。ACL是在网络设备中定义的一个列表，由一系列的匹配规则

3、（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、协议类型以及端口号等信息，并预先设定了相应的策略允许（permint）或禁止（Deny）数据包通过。基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL进行包过滤。基于ACL的包过滤当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数据交给入站防火墙进行过滤，其工作流程如图所示。入站包过滤工作流程一个ACL可以包含多条规则，每条规则都定义了一

4、个匹配条件及其相应的动作。ACL规则的动作即允许或拒绝。（1）系统用ACL的第一条规则的条件来尝试匹配数据包的信息。（2）如果数据包的特征与规则的条件相符（称数据包命中此规则），则执行规则所设定的动作，如果是peimit，则允许数据包穿过防火墙，交由路由转发进程处理，如果是deny，则系统丢弃数据包。（3）如果数据包特征与规则的条件不符，则转下一条规则继续尝试匹配。（4）如果数据包没有命中任何一条规则的条件，则执行防火墙的默认动作。需要注意的是，流程图中最后的默认规则用来定义对ACL以外的数据包的处理方式，即在没有规则去判定数据包是否可以通过的时候，防火墙所采取的策略是允许还是拒绝。同样地，当

5、路由器准备从某端口上发出一个数据包时，如果该端口处没有ACL启动包过滤，则数据包直接发出，如果该端口处启动了ACL包过滤，则数据将交给出站防火墙进行过滤，其工作流程如图所示。出站包过滤工作流程在配置ACL的时候，需要定义一个数字序号，并利用这个序号来唯一标识一个ACL。根据应用目的，ACL可以分为以下几种类型：l 基本ACL（序号为20002999）:也称为标准访问控制列表，只根据报文的源IP地址信息制定匹配规则。l 高级ACL（序号为30003999）: 也称为扩展访问控制列表，根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。其中3998

6、与3999是系统为集群管理预留的编号，用户无法配置。l 二层ACL（序号为40004999）: 根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定匹配规则。l 用户自定义ACL（序号为50005999） ：可以以报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。【命令介绍】1定义基本ACL，并进入相应的ACL视图acl number acl-number删除指定的ACL，或者删除全部ACL的命令：undo acl all | number acl-number 视图系统视图

7、参数l number acl-number：ACL序号，基本IPv4 ACL的序号取值范围为20002999，高级IPv4 ACL的序号取值范围为30003999。2定义基本ACL规则（1）指定要匹配的源IP地址范围。（2）指定动作是permit或deny。rule rule-id deny | permit rule-string 删除ACL规则或者规则中的某些属性信息的命令：undo rule rule-id fragment | source | time-range *视图基本ACL视图参数l rule-id：ACL规则编号，取值范围为065534。l deny：表示丢弃符合条件的数据

8、包。l permit：表示允许符合条件的数据包通过。l rule-string：ACL规则信息，包括：（1）fragment：分片信息。定义规则仅对非首片分片报文有效，而对非分片报文和首片分片报文无效。（2）source sour-addr sour-wildcard | any ：指定基本ACL规则的源地址信息。sour-addr表示报文的源IP地址，采用点分十进制表示；sour-wildcard 表示目标子网的反掩码，采用点分十进制表示，sour-wildcard可以为0，代表主机地址；any表示任意源IP地址。（3）time-range time-name：指定规则生效的时间。time-

9、name：指定规则生效的时间段名称，为132个字符的字符串，不区分大小写，必须以英文字母az或AZ开头，为避免混淆，时间段的名字不可以使用英文单词all。通配符掩码，也称反掩码，和子网掩码相似，也是由0和1组成的32位bit，以点分十进制形式表示。反掩码的作用是通过与IP地址执行比较操作来标识网络，和子网掩码不同的是，反掩码的比特序列中，1表示“相应的地址位不需要检查”，0表示“相应的地址位必须被检查”。通配符掩码应用示例IP地址通配符掩码表示的地址范围.255.255.0例 创建基本ACL 2000，定义规则1，禁止源IP地址为的报文通过。<H3C> system-viewSys

10、tem View: return to User View with Ctrl+Z.H3C acl number 2000H3C-acl-basic-2000 rule 1 deny source 0H3C-acl-basic-2000 quit3在端口上应用ACL将ACL应用到端口上，配置的ACL包过滤才能生效，并且需要指明在接口上应用的方向是Outbound还是Inboundpacket-filter inbound | outbound acl-rule取消ACL在端口上的应用的命令：undo packet-filter inbound | outbound ac

11、l-rule视图以太网端口视图参数l inbound：表示对端口接收的数据包进行过滤。l outbound：表示对端口发送的数据包进行过滤。l acl-rule：应用的ACL规则，可以是多种ACL的组合。例如，（1）单独应用一个IP型ACL（基本ACL或高级ACL）中的所有规则：ip-group acl-number（2）单独应用一个IP型ACL中的一条规则：ip-group acl-number rule rule-id例端口Ethernet 1/0/1上应用基本ACL 2000中的所有规则，对端口接收的数据包进行过滤。假设基本ACL 2000已经创建并且相关规则已经存在。<H3C&g

12、t; system-viewSystem View: return to User View with Ctrl+Z.H3C interface Ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000H3C-Ethernet1/0/1 quit4.ACL包过滤信息显示（1）显示ACL的配置信息。display acl all | acl-number 视图任意视图需要注意的是，如果用户在配置ACL的时候指定了match-order参数，则在使用display acl命令时，显示的是交换机按照auto（深度优先）或c

13、onfig（配置顺序）对ACL中的规则进行排序后的结果。例显示基本ACL 2000的配置信息。<Sysname> display acl 2000Basic ACL  2000, 3 rules, match-order is autoThis acl is used in eth 1/0/1Acl's step is 1 rule 3 permit source  rule 2 permit source  rule 1 permit source display acl命令显示信息描述表字段描述Basic ACL  20

14、00该ACL属于基本ACL，序号为20003 rules该基本ACL包含3条规则Match-order is auto该基本ACL的匹配顺序为“深度优先”，如果不显示此字段，则表示匹配顺序为config（配置顺序）This acl is used in eth 1/0/1该基本ACL的描述信息Acl's step is 1该基本ACL的规则序号的步长值为1Rule 3 permit source 该基本ACL包含的规则的详细信息5、显示包过滤的应用信息display packet-filter interface  interface-type interface-numbe

15、r 视图任意视图参数l interface interface-type interface-number：端口类型和端口编号。l unitid unit-id：交换机的Unit ID。如果交换机没有形成Fabric（交换机互连，构成一个“联合设备”），则unit-id参数的取值只能为1，表示显示当前交换机上所有端口的包过滤的应用信息；如果交换机已经形成Fabric，则unit-id参数的取值范围为18，表示显示指定Unit上所有端口的包过滤的应用信息。例 交换机没有形成Fabric，显示当前交换机所有端口上包过滤的应用信息。<Sysname> display packet-fil

16、ter unitid 1Ethernet1/0/1 Inbound: Acl 2000 rule 0  runningEthernet1/0/2 Outbound: Acl 2001 rule 0  not runningdisplay packet-filter命令显示信息描述表字段描述Ethernet1/0/1应用包过滤的端口Inbound应用包过滤的方向，包含以下两种：Inbound：表示入方向；Outbound：表示出方向Acl 2000 rule 0过滤规则为基本ACL 2000的0号规则Running规则的下发状态，包含以

17、下两种：running：表示激活；not running：表示没有激活，通常是由于此规则引用的时间段不生效所致6、进入单一用户界面视图或多个用户界面视图user-interface type first-number last-number 视图系统视图参数l type：指用户界面的类型，包括AUX用户界面和VTY用户界面。指定type参数时还应该给该类型中的用户界面编号，当用户界面类型为AUX时，取值为0；当用户界面类型为VTY时，取值范围为04。如果不指定type参数，则表示绝对用户界面编号，取值范围为05。l first-number：需要配置的第一个用户界面。l last-number

18、：需要配置的最后一个用户界面，取值必须大于first-number。例1从系统视图进入VTY0用户界面进行配置。H3C user-interface vty 0H3C-ui-vty0例2从系统视图同时进入VTY0VTY3用户界面进行配置。H3C user-interface vty 0 3H3C-ui-vty0-37、设置登录用户的认证方式。authentication-mode none | password | scheme 【视图】用户界面视图【参数】none：不需要认证。password：进行口令认证。scheme：进行本地或远端用户名和口令认证。【例】在VTY用户界面视图下，设置通过

19、VTY0登录交换机的Telnet用户不需要进行认证。 H3C-ui-vty0 authentication-mode none8、设置从用户界面登录后可以访问的命令级别。user privilege level level undo user privilege level 【视图】用户界面视图【参数】level：从用户界面登录后可以访问的命令级别，取值范围为03。缺省情况下，从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别为0级。命令级别共分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3，说明如下：访问级（0级）：用于网络诊断等功能的命令

20、。包括ping、tracert、telnet等命令，执行该级别命令的结果不能被保存到配置文件中。监控级（1级）：用于系统维护、业务故障诊断等功能的命令。包括debugging、terminal等命令，执行该级别命令的结果不能被保存到配置文件中。系统级（2级）：用于业务配置的命令。包括路由等网络层次的命令，用于向用户提供网络服务。管理级（3级）：关系到系统的基本运行、系统支撑模块功能的命令，这些命令对业务提供支撑作用。包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等。【例】在VTY用户界面视图下，设置从VTY0用户界面登录后可以访问的命令级别为1。 H3C-ui-v

21、ty0 user privilege level 1 9、配置用户界面支持的协议。protocol inbound all | telnet 【视图】VTY用户界面视图【参数】all：支持所有的协议。telnet：支持Telnet协议。【例】配置VTY0用户界面只支持Telnet协议 . H3C-ui-vty0 protocol inbound telnet 10、设置本地认证的口令。set authentication password cipher | simple password undo set authentication password 【视图】用户界面视图【参数】cipher

22、：设置本地认证口令以密文方式存储。simple：设置本地认证口令以明文方式存储password：口令字符串。如果验证方式是simple，则password必须是明文口令。如果验证方式是cipher，则用户在设置password时有两种方式：（1）一种是输入小于等于16字符的明文口令，系统会自动转化为24位的密文形式；（2）另一种是直接输入24字符的密文口令，这种方式要求用户必须知道其对应的明文形式。如：明文“123456”对应的密文是“OUM!K%F<+$Q=QMAF4<1!”。【实验内容】实验1 基本ACL实现一、实验需求以三层交换机连接档案室、经理办公室以及网络中心的设备为例，

23、在交换机上划分VLAN3、VLAN4、VLAN5 三个VLAN，分别把Ethernet 1/0/1，Ethernet 1/0/2，Ethernet 1/0/3分配给3个VLAN，连接档案室、经理办公室以及网络中心三个部门的PC。公司内部网络地址是.0/16，档案室获得的网络地址是，经理办公室的网络地址是，网络中心的网络地址是，实验拓扑如图5.9所示。配置基本ACL，实现档案室的PC1只允许经理办公室的PC2访问，而不允许网络中心的PC3访问。二、拓扑图三、实验步骤 1、按拓扑图连接好设备，IP地址规划如下表： 设备名称端口IP地址网关PC1（档案室）Ethernet1/0/1.16/24.25

24、4/24PC2（经理办公室）Ethernet1/0/2.16/24.254/24PC3（网络中心）Ethernet1/0/3.16/24.254/24交换机SWAVLAN 3.254/24VLAN 4.254/24VLAN 5.254/242、完成三个VLAN之间的互通：创建VLAN 3，将端口Ethernet1/0/1加入到VLAN 3，并按IP地址规划表配置VLAN3接口IP地址；创建VLAN 4，将端口Ethernet1/0/2加入到VLAN 4，并按IP地址规划表配置VLAN4接口IP地址；创建VLAN 5，将端口Ethernet1/0/3加入到VLAN 5，并按IP地址规划表配置VL

25、AN5接口IP地址。3、在交换机上定义基本ACL 2000，定义规则1禁止网络中心访问档案室，定义规则2允许经理办公室访问档案室。4、将ACL 2000应用于连接档案室的Ethernet1/0/1出方向的包过滤。5、验证ACL作用。在交换机上通过display来查看ACL包过滤信息。在PC2上使用Ping命令来测试从PC2到PC1的可达性。在PC3上使用Ping命令来测试从PC3到PC1的可达性。实验2 高级ACL实现一、实验需求除了网络管理员，不允许普通用户能telnet到网络设备。基本ACL只能过滤特定源IP地址的数据包，如果要针对IP承载的协议特征进行访问控制，则需要使用高级ACL。因此

26、，定义的高级ACL应包含两条规则：检查访问网络设备（交换机或路由器）的数据包，一条规则匹配网络管理员PC的IP地址，他能够进行telnet操作，动作是permit；另一条规则匹配其他部门IP地址，动作是deny。二、高级ACL的命令介绍1定义规则（1）指定要匹配的源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息。（2）指定动作是permit或deny。rule rule-id deny | permit protocol rule-string 删除ACL规则或者规则中的某些属性信息的命令：undo rule rule-id  destination | destina

27、tion-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos *视图高级ACL视图参数l rule-id：ACL规则编号，取值范围为065534。l deny：表示丢弃符合条件的数据包。l permit：表示允许符合条件的数据包通过。l protocol：IP承载的协议类型。用数字表示时，取值范围为1255；用名字表示时，可以选取gre（47）、icmp（1）、igmp（2）、ip、ipinip（4）、ospf（89）、tcp（6）、udp（17）。l rule-st

28、ring：ACL规则信息，主要有：（1）source sour-addr sour-wildcard | any ：sour-addr sour-wildcard用来确定数据包的源地址，点分十进制表示；any代表任意源地址。（2）destination dest-addr sour-wildcard | any ：dest-addr sour-wildcard指定规则的目的IP地址，点分十进制表示；any代表任意源地址。（3）precedence precedence：报文IP的优先级，用数字表示时，取值范围为07。（4）dscp dscp：报文DSCP优先级，用数字表示时，取值范围为063。（5）tos tos：报文ToS优先级，用数字表示时，取值范围为015。（6）time-range time-name：指定规则生效的时间。当protocol协议类型选择为TCP或者UDP时，