1.ACL访问控制列表

拓扑结构


一、基础知识

1.访问控制列表ACL,分为基本ACL(2000~2999)、高级ACL(3000~3999)、二层ACL(4000~4999)、用户自定义ACL(5000~5999)。

2.基本ACL只根据报文的源IP地址信息制定匹配规则,高级ACL根据报文的源/目IP地址,协议类型,端口号等三、四层信息定制匹配规则。

3.配置步长

4.配置时间段

time-range time-range-name{start-time to end-time days [ from time1 date1 ] [ to time2 date2 ]  | from time1 date1 [to time2 date2 ] | to time2 date2

<Sysname>system-view

[Sysname] time-range test 8:00 to 18:00 working-day 

[Sysname] display time-range test

Current time is 22:17:42 1/5/2006 Thursday

5.创建基本的ACL:

(1)创建ACL,并进入ACL视图

acl acl-number [ name acl-name ] [ match-order { auto | config } ]

(2)定义规则

rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name ] *

(3)定义步长

step step-value

(4)定义描述信息

description text

(5)定义规则的描述信息

rule rule-id comment text


#ACL配置示例

#配置基本IPv4 ACL 2000,禁止源IP地址为1.1.1.1的报文通过。

<Sysname>system-view

[Sysname] acl 2000

[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0

[Sysname-acl-basic-2000] display acl 2000

Basic ACL  2000, named -none-, 1 rule, ACL's step is 5 rule 0 deny source 1.1.1.1 0 (5 times matched)


6.创建高级的ACL

(1)创建并进入高级ACL视图

acl acl-number [ name acl-name ] [ match-order { auto | config } ]

(2)定义规则

rule [ rule-id ] { deny | permit } protocol [ { established | { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * } | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type icmp-code | icmp-message } | logging |precedence precedence | reflective | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos ] *

#配置示例

# 配置高级IPv4 ACL 3000,允许129.9.0.0网段的主机向202.38.160.0网段的主机发送端口号为80的TCP报文。

<Sysname>system-view 

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

[Sysname-acl-adv-3000] display acl 3000 Advanced ACL  3000, named -none-, 1 rule, ACL's step is 5 rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www (5 times matched)


7.应用ACL进行报文过滤

packet-filter过滤

8.outbound与inbound

从较高安全级别区域去往较低安全级别区域的报文称为Outbound报文;

从较低安全级别区域去往较高安全级别区域的报文称为Inbound报文。

二、配置步骤

1.配置路由器各接口ip地址(略)

2.为各部门创建安全区域

#配置域间防火墙,创建安全区域,并设置安全级别。

[R1]firewall zone HR

[R1-zone-HR]priority 12

[R1-zone-HR]firewall zone SALES

[R1-zone-SALES]priority 10

[R1-zone-SALES]fire zone IT

[R1-zone-IT]priority 8

[R1-zone-IT]fire zone trust

[R1-zone-trust]priority 14

#将R1上连接不同部门的接口加入到相应部门的安全区域中,GE2/0/1加入到trust区域中

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]zone HR

[R1-GigabitEthernet0/0/0]interg0/0/1

[R1-GigabitEthernet0/0/1]zone SALES

[R1-GigabitEthernet0/0/1]int g2/0/0

[R1-GigabitEthernet2/0/0]zone IT

[R1-GigabitEthernet2/0/0]int g2/0/1

[R1-GigabitEthernet2/0/1]zone trust

#使用命令display firewall zone查看相应区域的优先级、区域内包含接口名称、接口数量等信息。

[R1]display firewall zone

zone IT

priority is 8

interface of the zone is (total number 1):

GigabitEthernet2/0/0

zone SALES

priority is 10

interface of the zone is (total number 1):

GigabitEthernet0/0/1

zone HR

priority is 12

interface of the zone is (total number 1):

GigabitEthernet0/0/0

zone trust

priority is 14

interface of the zone is (total number 1):

GigabitEthernet2/0/1

zone Local

priority is 15

interface of the zone is (total number 0):

total number is : 5

所有区域的配置工作已经完成,下面配置ACL访问控制

3.禁止SALES部门和HR部门之间的互访

#启用SALES区域和HR区域的域间防火墙

[R1]firewall interzone SALES HR

[R1-interzone-HR-SALES]firewallenable

默认情况下,当域间防火墙启用之后,安全级别较高的区域能够访问安全级别较低的区域,并且应答的报文也能够返回到安全级别较高的区域,但是安全级别较低的区域无法访问安全级别较高的区域。

#使用命令display firewall interzone SALES HR查看区域间的默认策略

[R1]display firewall interzone SALESHR

interzone HR SALES

firewall enable

packet-filter default deny inbound(低到高)

packet-filter default permit outbound(高到低)

由于HR的安全级别(12)高于SALES的安全级别(10),因此HR到SALES的访问是被允许的,而从SALES到HR的访问是禁止的。

下面,为了禁止HR和SALES之间的互访,可以使用在他们之间使用ACL达到目的,由于默认情况下,SALES已经无法访问HR区域,因此,只需要在outbound方向上将HR去往SALES的报文全部过滤即可。

#创建高级ACL 3000来定义从HR到SALES之间的报文,步长设置为10,然后,在outbound方向上引用ACL 3000

[R1]acl 3000

[R1-acl-adv-3000]step 10

[R1-acl-adv-3000]rule deny ip source172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

[R1]firewall interzone HR SALES

[R1-interzone-HR-SALES]packet-filter3000 outbound

#查看ACL配置

[R1]display acl 3000

Advanced ACL 3000, 1 rule

Acl's step is 10

rule 10 deny ip source 172.16.1.0 0.0.0.255destination 172.16.2.0 0.0.0.255

#查看SALES和HR之间的域间Firewall策略

[R1]display firewall interzone SALESHR

interzone HR SALES

firewall enable

packet-filter default deny inbound

packet-filter default permit outbound

packet-filter 3000 outbound

此时SALES和HR之间已经无法通信了。

4.实现对WEB-Server和Ftp-server的访问控制,SALES部门能够访问Web-server,禁止访问Ftp-server

#开启SALES和trust之间的域间防火墙

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]firewallenable

#创建acl 3001,允许SALES部门的用户访问web-server,并应用在SALES和trust的区域之间

[R1]acl 3001

[R1-acl-adv-3001]step 10

[R1-acl-adv-3001]rule permit tcpsource 172.16.2.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]packet-filter3001 inbound

配置完成后,SALES区域的用户能够访问web-server,但是不能访问ftp-server。

5.IP部门的用户可以随时访问ftp-server,但只能在每天的14:00到16:00才能访问web-server,另外还要求IT部门的用户能够随时ping通ftp-server和web-server。

#开启IT和trust之间的域间防火墙

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]firewallenable

#配置时间跨度为每天的14:00-16:00

[R1]time-range access-web 14:00 to16:00 daily

#创建ACL 3003,放行IT到trust的inbound方向的FTP、HTTP、ICMP的echo报文,步长设置为10

[R1]acl 3003

[R1-acl-adv-3003]step 10

[R1-acl-adv-3003]rule permit tcpsource 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80time-range access-web

[R1-acl-adv-3003]rule permit tcpsource 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq 21

[R1-acl-adv-3003]rule permit icmpsource 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

[R1-acl-adv-3003]rule permit icmpsource 172.16.3.0 0.0.0.255 destination 192.168.1.10 0

#查看ACL配置

[R1]display acl 3003

Advanced ACL 3003, 4 rules

Acl's step is 10

rule 10 permit tcp source 172.16.3.0 0.0.0.255destination 192.168.1.30 0 desti

nation-port eq www time-rangeaccess-web(Inactive)

rule 20 permit tcp source 172.16.3.0 0.0.0.255destination 192.168.1.10 0 desti

nation-port eq ftp

rule 30 permit icmp source 172.16.3.00.0.0.255 destination 192.168.1.30 0

rule 40 permit icmp source 172.16.3.00.0.0.255 destination 192.168.1.10 0

#将ACL 3003应用在IT区域和trust区域之间的inbound方向上

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]packet-filter3003 inbound

配置完成!

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 200,783评论 5 472
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,396评论 2 377
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 147,834评论 0 333
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,036评论 1 272
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,035评论 5 362
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,242评论 1 278
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,727评论 3 393
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,376评论 0 255
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,508评论 1 294
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,415评论 2 317
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,463评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,140评论 3 316
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,734评论 3 303
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,809评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,028评论 1 255
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,521评论 2 346
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,119评论 2 341

推荐阅读更多精彩内容