推荐acl应用规则精选word文档 14页.docx
《推荐acl应用规则精选word文档 14页.docx》由会员分享,可在线阅读,更多相关《推荐acl应用规则精选word文档 14页.docx(11页珍藏版)》请在冰豆网上搜索。
推荐acl应用规则精选word文档14页
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!
==本文为word格式,下载后可方便编辑和修改!
==
acl应用规则
篇一:
ACL规则设置
ACL规则设置:
ACL配置
【网讯网络通信学院】定义选择标准
acl规则中的选择标准描述了分组的特性。
我们可以定义一个基于源地址过滤的acl,也可以定义一个基于源和目的的特定流的acl。
通常使用下列标准来定义一个acl语句:
源ip地址
目的ip地址
源端口号
目的端口号
协议类型
这些选择标准被指定为acl规则的域。
在定义acl时,编号在1~99之间的acl称为标准acl,在标准acl中仅对源地址进行定义。
编号在100~199之间的acl称为扩展acl,在扩展acl中我们可以对源地址、目的地址、源端口号、目的端口号、协议号进行定义。
定义acl规则的操作如下:
1.定义标准访问控制列表
(1)在全局配置模式下定义一个标准访问控制列表
ipaccess-liststandard{[access-list-number]|alias[acl-alias]|name[acl-name]}[match-order{auto|config}]
(2)为标准访问控制列表设置条件
{permit|deny}{{[source][[source-wildcard]]}|any}[log]
2.定义扩展访问控制列表
(1)在全局配置模式下定义一个扩展访问控制列表
ipaccess-listextended{[access-list-number]|alias[acl-alias]|name[acl-name]}[match-order{auto|config}]
(2)为扩展访问控制列表设置条件
{permit|deny}{[protocolnumber]|[protocolkeyword]}{{[sourceaddress][source-wildcard]}|any}[[sourceport]]{{[destinationaddress][destination-wildcard]}|any}[[destinationport]][log]
acl规则的每个域都对位置敏感。
例如tcp的规则,源地址之后必须跟随目的地址,源端口和目的端口必须分别在源地址和目的地址后面。
并不是acl规则的所有域都需要指定。
如果没有指定特定的域,则会被当作通配符来处理或不作考虑。
如果指定了特定的域,则该域将与分组相匹配。
每个协议都有很多不同域相匹配。
由于每个域都对位置敏感,有时需要“跳过”某些域,以便为另一个域指定值,可以使用关键字any跳过源地址域或目的地址域。
13.2.2使用acl
当我们定义了acl的一组选择标准后,acl并没有生效。
acl只有被接口或某些策略使用才可以生效。
下面列举了常见的acl使用。
把acl应用于接口,该接口准许或拒绝路由器接收或发出的数据报。
以这种方法使用的acl被称为“接口acl”。
把acl应用于服务,该服务准许或拒绝路由器接收或发出的数据报。
以这种方法使用的acl被称为“服务acl”。
把acl与ippolicy,nat等命令相关联,它指定了分组、地址、流为与这些路由器特性相关而必须符合的标准。
以这种方法使用的acl被称为“策略acl”。
13.2.3acl日志功能
1.配置命令上标准acl与扩展acl对log关键字的支持。
在rule的结尾加上“[log]”。
{permit|deny}{{[source][[source-wildcard]]}|any}[log]{permit|deny}{[protocolnumber]|[protocolkeyword]}{{[sourceaddress][source-wildcard]}|any}[[sourceport]]{{[destinationaddress][destination-wildcard]}|any}[[destinationport]][log]功能:
如果配置rule时配了log,则给该规则分配日志表索引。
说明:
目前考虑系统最大支持1024个日志表项(1~1024),因此日志索引范围为1024。
日志索引为0时表示未配log。
2.日志模式配置
acl-log[count|time]
说明:
用户用此命令来确定acl日志方式。
时间单位:
秒,最少30秒。
3.查询统计
showacl-statistics[[interface]]
说明:
可以指定接口或者不指定。
能根据接口号查询,如果不指定则查询所有接口上的in和out方向的统计信息。
显示结果可以如下:
4.清空acl统计
clear-acl-statistics[[interface]]
不指定接口号则清空所有接口的统计信息,否则只清空指定接口的统计信息。
5.查看系统记录的acl日志内容
showloggingalarm[[typeid]acl]
13.2.4acl注意事项
1.对于有多条规则的acl,这些规则的顺序是很重要的,acl严格按生效的顺序进行匹配。
可以使用showrunning-config或showaccess-list命令查看生效的acl规则顺序。
如果分组与某条规则相匹配,则根据规则中的关键字permit或deny进行操作,所有的后续规则均被忽略。
也就是说采用的是首先匹配的算法。
路由器从开始往下检查列表,一次一条规则,直至发现匹配项。
因此,更为具体的规则应始终排列在较不具体的规则的前面。
例如,以下acl准许除发自子网10.2.0.0/16之外的所有tcp数据报。
zxr10(config)#ipaccess-listextended101
zxr10(config-ext-acl)#denytcp10.2.0.00.0.255.255any
zxr10(config-ext-acl)#permittcpanyany
当tcp分组从子网10.2.0.0/16中发出时,它发现与第一项规则相匹配,从而使得该分组被丢弃。
发自其他子网的tcp分组不与第一项规则相匹配,而是与第二项规则匹配,由此这些分组得以通过。
2.在每个acl的最后,系统自动附加一条隐式deny的规则,这条规则拒绝所有数据报。
对于不与用户指定的任何规则相匹配的分组,隐式拒绝规则起到了截流的作用,所有分组均与该规则相匹配。
这样做是出于安全考虑。
如果acl被误配置,使得应该允许通过的分组因为隐式拒绝规则而被阻塞,最坏的结果就是无法发送或接收数据。
而另一方面,如果应该拒绝通过的分组被发送出去,就会出现安全漏洞。
因此,隐式拒绝规则为acl的意外误配置设置了一道防线。
如以下的acl配置:
zxr10(config)#ipaccess-listextended101
zxr10(config-ext-acl)#permitip1.2.3.40.0.0.255any
zxr10(config-ext-acl)#permitip4.3.2.10.0.0.255any
由于隐式拒绝规则,该acl实际上有3条规则:
zxr10(config)#ipaccess-listextended101
zxr10(config-ext-acl)#permitip1.2.3.40.0.0.255any
zxr10(config-ext-acl)#permitip4.3.2.10.0.0.255any
zxr10(config-ext-acl)#denyipanyany
如果进来的分组并不与前两条规则相匹配,则该分组被丢弃。
这是因为第三条规则(隐式拒绝规则)匹配所有分组。
篇二:
访问控制列表-细说ACL那些事儿(ACL应用篇)
访问控制列表-细说ACL那些事儿(ACL应用篇)
铛铛铛铛铛,小伙伴们,小编又跟大家见面了!
今天小编继续给大家说说ACL那些事儿,但不再是说ACL的基本概念,也不再说抽象的ACL理论。
这一期,小编将给大家呈现丰富多彩的ACL应用,为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异,并且带领大家一起动手配置真实的ACL应用案例。
1ACL应用范围
通过前两期的ACL理论学习,大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果,而是需要应用到具体的业务模块才能实现上述功能。
那么ACL到底可以应用在哪些业务中呢?
小编总结了一下,ACL应用的业务模块非常多,但主要分为以下四类:
2ACL业务模块的处理机制
各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。
例如,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过;但在Telnet中应用ACL,这种情况下,该报文就无法正常通过了。
再如,在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃,其他模块却不存在这种情况。
所以,大家在配置ACL规则并应用到业务模块中时,一定要格外小心。
为了方便大家查阅,小编特地将常用ACL业务模块的处理机制进行了整理。
3ACL应用方式
每个业务模块的ACL应用方式,风格也是各不相同。
为此,小编同样进行了一番整理,供大家参考查阅。
篇三:
acl访问规则
访问控制列表(ACL)学习笔记
1、ACL分配唯一的表号
IP协议:
ACL号为1-99
ExtendedIP:
ACL号为100-177
命令:
先创建一个access-listnumber,然后进入某个端口,使用ipaccess-groupnumber将规则加入端口中,下面有示例。
2、访问控制列表应用到出站接口,比应用到入站接口效率要高
原因:
进口唯一,出口多,在入站口使用ACL会影响处理的效率(见最后)
3、通配符any
指明是任何IP地址
eg.拒绝一个特定主机的通信流量
access-list1denyhost172.16.4.130.0.0.0//拒绝该主机
access-list1permit0.0.0.0255.255.255.255//允许其它主机(后一句可以用access-list1permitany代替)
4、通配符host
指明是单个IP地址
eg.如上例
5、标准访问控制列表
表号为1~99,允许或者限制源网段、源主机或者所有地址进出端口eg.1.一个实例的配置过程
Router(config)#access-list50?
denySpecifypacketstoreject
permitSpecifypacketstoforward
remarkAccesslistentrycomment
Router(config)#access-list50per
Router(config)#access-list50permit?
A.B.C.DAddresstomatch//网段
anyAnysourcehost//主机
hostAsinglehostaddress//所有
Router(config)#access-list50permit10.16.0.00.0.0.255?
Router(config)#access-list50permit10.16.0.00.0.0.255
注:
当使用ipaccess-liststandardnumber时可以实现一个表号下有多条规则
eg.2.一个完成的实例
ipaccess-liststandard6
10permit10.31.197.00.0.0.31
20permit10.31.197.640.0.0.31
30permithost10.0.250.254
40permithost10.31.197.65
6、扩展访问控制列表
表号为100~199,在标准访问控制列表的基础上,还可以允许或者限制目的网段、主机和所有主机进出路由端口,另外还可以基于协议、端口进行限制。
此外,表号还可以根据实际情况用名字表示。
eg.1.一个配置实例
Router(config)#ipaccess-listextended110
Router(config-ext-nacl)#?
defaultSetacommandtoitsdefaults
denySpecifypacketstoreject
exitExitfromaccess-listconfigurationmode
noNegateacommandorsetitsdefaults
permitSpecifypacketstoforward
remarkAccesslistentrycomment
Router(config-ext-nacl)#permit?
icmpInternetControlMessageProtocol
ipAnyInternetProtocol
tcpTransmissionControlProtocol
udpUserDatagramProtocol
Router(config-ext-nacl)#permittcp10.31.197.00.0.0.31anyeqtelnetestablished
eg.2.基于扩展的完成实例
ipaccess-listextended120
permittcp10.31.197.00.0.0.31anyeqtelnetestablished
permittcp10.31.197.640.0.0.31anyeqtelnetestablished
eg.3.基于扩展的完成实例
ipaccess-listextendeddenyvirus//扩展的名字列表
10denytcpanyanyeq135
20denytcpanyanyeq139
30denytcpanyanyeq593
40denytcpanyanyeq4444
50denytcpanyanyeq5800
60denytcpanyanyeq5900
70denyudpanyanyeq135
80denyudpanyanyeq593
90denyudpanyanyeq1434
100permitipanyany
注:
当使用ipaccess-liststandardnumber时可以实现一个表号下有多条规则
7、相关重点
ACL控制和管理通信流量
防止不必要的流量进入与流出,如限制用户的TELNET,但是要开放MAIL、FTP、WWW等等
ACL放置的位置
进入路由器为in,出路由器为out。
尽可能的把ACL放置在离要被拒绝的通信流量的来源最近处。
有些资料建议把ACL放置在出站口要比入站口好,我的理解是入站口是唯一的(相对该线路上过
来的数据包而言),当数据包较多时,入口要对进入该口中发往各出口的数据包进行比较核对,延时长还说还容易造成数据拥塞甚至丢失;而进入路由器后,数据包要根据实际的目标网络发往各个出口,因此流量就相对而言要分散些,故在他们要出的站口进行ACL比较效率相对高些。
ACL放置的顺序
在顺序上要严格的比对,因为ACL是一条条比较的,比如在DENY列表中,假如第一条已经满足条件了就直接丢掉,而后面的条件根本不在比对,
这就有可能造成一些失误的通信故障,所以在设设置列表的顺序时需要缜密地比较分析后才可以使用。
定义编辑访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(NetworkAddressTranslation,NAT)、按需拨号路由(DialonDemandRouting,DDR)、路由重分布(RoutingRedistribution)、策略路由(Policy-BasedRouting,PBR)等很多场合都需要访问控制列表。
访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。
简要总结编辑
标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。
编号范围是从1到99的访问控制列表是标准IP访问控制列表。
扩展IP访问
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
篇四:
H3C路由器acl匹配原则
访问控制列表的匹配顺序
一个访问控制列表可以由多条“permit|deny”语句组成,每一条语句描述的规则
是不相同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表
的规则进行匹配的时候,到底采用哪些规则呢?
就需要确定规则的匹配顺序。
有两种匹配顺序:
配置顺序
自动排序
"配置顺序",是指按照用户配置ACL的规则的先后进行匹配。
自动排序使用“深度优先”的原则。
“深度优先”规则是把指定数据包范围最小的语句排在最前面。
这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。
比如129.102.1.10.0.0.0指定了一台主机:
129.102.1.1,而129.102.1.10.0.255.255则指定了一个网段:
129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。
具体标准为:
对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;
对于基于接口的访问控制规则,配置了“any”的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
使用displayacl命令就可以看出是哪条规则首先生效。
显示时,列在前面的规则首先生效。
注:
①访问控制列表能被匹配的前提是FirewallEnable。
②要注意Firewall默认的规则是Permit还是Deny
>如果默认为permit,则没有被匹配的数据流采取的动作为允许。
>如果默认为deny,则没有被匹配的数据流采取的动作为禁止。
例如:
Aclnumber3000
rule0permitipsource192.168.1.30
(rule1denyipany)-----在最后隐藏了这样一条命令,也就是说来此非192.168.1.3的数据流都被拒绝。
③防火墙开关与否对Nat的Acl匹配没有影响。
具体解解释:
在一条ACL中可以制定多条规则,这些规则可能产生交集,即某些报文可能同时符合一条ACL中的多条规则。
例如在ACL3001种配置有如下规
则:
rulepermitipsource1.0.0.00.255.255.255destination5.5.0.00.0.255.255
ruledenyipsource1.0.0.00.255.255.255destination5.5.5.50
rulepermittcpsource1.1.1.10
ruledenyudpsource1.1.0.00.0.255.255
将这个ACL应用到接口上,就会产生这样一个问题。
即对于一个源地址为
1.1.1.1,目的地址为5.5.5.5的IP报文,它符合ACL3001中的所有规则,那么对这个报文应该采取哪条规则定义的动作来操作呢?
为了解决这一问题,我们定义了ACL中各规则的匹配顺序称为匹配规则,各规则依据匹配规则重新排序,报文按其顺序依次匹配。
目前主要定义有如下两种匹配规则:
1按照配置顺序的匹配规则:
这种方式比较易于理解,即按设计者录入规则的先后顺序对报文进行匹配。
对于上例,匹配顺序如下:
[AR29-acl-adv-3001]displaythis
#
aclnumber3001
rule0permitipsource1.0.0.00.255.255.255destination5.5.0.00.0.255.255
rule1denyipsource1.0.0.00.255.255.255destination5.5.5.50
rule2permittcpsource1.1.1.10
rule3denyudpsource1.1.1.10.0.255.255
#
return
因而,对于源为1.1.1.1,目的为5.5.5.5的报文就被匹配了第一条规则,而允许通过了。
华为产品默认的是这种匹配顺序。
指定这种匹配规则的命令是aclnum3001match-orderconfig。
2按照深度的匹配规则
所谓深度就是一条规则所限制范围的大小,限制范围越小深度就越深。
这里要特别指出的是,我们认为所有含有四层信息的规则都比只含三层信息的规则“深”。
下面详细介绍一下,在深度匹配中最为重要的反掩码的原理。
所谓反掩码顾名思义就是将原来掩码中的“1”改写为“0”,“0”改写为“1”。
例如:
255(11111111).255(11111111).128(10000000).0(00000000)改写为0(00000000).0(00000000).127(01111111).255(11111111)。
于是在原掩码中“1”对应的网络位变为反掩码中“0”所对应得位。
但反掩码的一个特点是它允许0位不连续,即能出现0.255.0.127的情况。
之所以使用反掩码也正是由于它的这个特点,因为在掩码中是严格要求0或1必须连续分布的。
反掩码的这一特点大大扩展了ACL应用的灵活性,使得原本需要多条规则才能涵盖的范围用一条规则就能完全覆盖。
结合深度的定义,我
升级会员 