在进行网络管理的时候,可能会遇到一些恶意的入侵。我们可以用华为的一个安全解决方案——ACL(Access Control List,访问控制列表),它可以根据一系列规则组成的集合,通过这些规则来对报文进行分类,例如IP报文、TCP报文、ICMP报文,并对这些报文的网络访问行为进行控制。主要动作有permit(允许)和拒绝(Deny)。
今天进行了一个ACL的基础应用,上面是搭建的一个拓扑图。首先为客户端分为不同的部门,为其设置不同的优先级,然后部署ACL使得HR和SALES部门不可以互相访问,SALES可以访问公司的Web-Server不可以访问ftp-Server。以上是该拓扑图需要满足的基本需求。
在实验的时候要注意我们使用了华为AR系列防火墙的域间防火墙特性来提高安全性,所以我们需要先通过各个安全区域的安全级别来判断流量的方向。从较高安全级别区域去往较低安全级别区域的报文称为Outbound报文,从较低安全级别区域去往较高安全级别区域的报文称为Inbound报文。我们在启用域间防火墙后,缺省情况下,安全级别较高的区域能够访问安全级别较低的区域,并且应答的报文也能够返回到安全级别较高的区域,但是安全级别较低的区域不能够访问安全级别较高的区域。
我们可以通过基本ACL和高级ACL对其进行基本的流量过滤。首先,在此讲解一下我们ACL的几种分类。
一、基本ACL。基本ACL通过IP包中的源IP地址、分片标记和时间段信息对IPv4报文进行分类,从而实现过滤网络流量。其acl-number范围为2000~2999。当路由器查看到编号在这个范围内,则明白只检查源IP地址部分。
基本ACL的配置
【第一步】创建基本ACL
从图中可以看到,基本ACL的acl-number为2000~2999,所以可以在这个范围内任取一个数字,如图所示。
【第二步】描述具体的rule-id。
图中的rule是指代具体的规则,在默认情况下华为的步长是5,也就是说如果我们在创建命令的时候没有具体指明步长的编号就会按照5、10、15…的顺序来创建规则,这样做的好处是为路由器留出了空余的位置方便后续为其继续添加规则。如果我们在其中插入一个rule,后面默认的rule步长仍为5。每个规则的主要动作都为permit和拒绝。
二、高级ACL。高级ACL可以根据源IP地址、目标IP地址,以及协议或端口来控制路由器允许或拒绝数据包。高级ACL比基本ACL更加详细且精度更高。基本ACL只能居于原地址过滤,而高级ACL是根据源和目的地址来过滤的。其acl-number范围为3000~3999。
高级ACL的语法为:
rule[ rule-id ]{ deny | permit }ip [ destination {destination-address destination-wilecard | any } source { source-address source-wilecard | any } ]
如果是TCP或者UDP协议,还要加上源端口号和目标端口号
三、时间ACL。时间ACL可以设置特定的时间段内进行数据传输。
【配置时间ACL】
[R2] time-range tongxing 08:00 to 17:00 working-day ---取名为通行
调用在ACL后面:
[R2-acl-adv-30000] rule 5 permit tcp source 172.16.1.100 0 destination 12.1.1.2 0 destination-port eq telnet time-range tongxing
四、小结
扫一扫
1033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
