华为基础过滤工具ACL(Access Control List)是华为网络设备的一种配置工具,用于设置网络设备中数据包的访问控制列表,控制网络设备中数据包的流动和访问权限。其主要功能包括:
1. 允许或禁止特定的IP地址、网络协议、端口号等对网络设备的访问和使用;
2. 实现基于源地址、目的地址、协议、端口等的流量过滤和限制;
3. 通过配置ACL规则,可以实现对网络中不同层次的设备和用户的精细化控制,提高网络安全性和控制性;
4. 实现基于时间、日期等的访问控制,减少网络设备的负荷和资源占用。
华为基础过滤工具ACL是华为网络设备中重要的安全配置工具之一,广泛应用于企业、政府等组织的网络管理和安全保障中。
1.安全概述:
网络安全威胁:
网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。
在网络中占有重要地位的交换机,不可避免的成为黑客攻击的重点对象。交换机的核心在于“交换”,因此交换机安全最重要的任务就是能够正常转发数据,并保证数据在传输过程中不被截获或者篡改。交换机的网络安全主要包括以下三个方面:
1)保密性:交换机存储、处理和传输的信息,不会被泄露到非授权的用户、实体或过程。即信息只为授权用户使用。
2)完整性:信息未经授权不能进行改变的特性。即网络信息在交换机存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性。
3)可用性:在要求的外部资源得到保证的前提下,交换机在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。业务持续可用,满足电信级服务质量要求。
为了满足上述要求,交换机从以下三个平面对网络安全进行规划和部署。如图1所示。
图1 交换机安全规划部署图
2. 管理平面
管理平面的安全重点在于确保设备能够被合法管理,包括哪些用户可以登录设备,登录到设备上的用户又可以进行哪些操作等。如图1所示,交换机管理平面的安全主要通过只允许管理员登录设备来实现。管理员登录就是保证管理员安全的管理设备,交换机通过设置用户名和密码、ACL限制用户登录,通过STelnet登录方式保证管理员登录过程安全,通过设置用户的级别控制用户操作权限。详细的原理和配置可以参见《S300, S500, S2700, S5700, S6700 V200R023C00 配置指南-基础配置》 登录设备命令行界面和登录设备Web网管界面。
3. 控制平面
控制平面主要通过CPU实现转发控制。CPU就像我们的大脑,指挥着设备各项机能的正常运转。CPU的安全是设备和协议正常运行的前提。如果上送CPU处理的协议报文过多导致CPU繁忙,设备性能就会下降,业务就会中断。因此,作为交换机的核心部件,CPU也就成为非法用户攻击的对象。交换机支持的控制平面的安全配置主要包括本机防攻击和攻击防范。
如图2所示,为了保证CPU的正常运行,交换机使用默认的CPCAR值对上送的协议报文进行限速。如果经过交换机默认的CPCAR限速后,上送CPU的报文依然超过了CPU可以处理的范围,CPU利用率很高,还可以通过以下方式做进一步的处理:
调整CPCAR值:缩小CPCAR值,减少上送CPU的协议报文的数量。
攻击溯源:对上送CPU的报文进行分析统计,设置检查阈值,对于超过检查阈值的报文执行相应的惩罚措施,如丢弃报文、Shutdown接口、设置黑名单等。
4. 转发平面
转发平面的作用就是通过查询转发表项指导数据流量正确转发,因此针对转发平面的攻击主要为以下两种:
-
耗尽转发表资源,导致合法用户的转发表无法被学习,合法用户的流量无法被转发。
-
篡改转发表,导致合法用户的流量转发至错误的地方。
基于交换机网络部署位置,主要分为二层网络的防攻击方法和三层网络的防攻击方法。
-
二层网络:二层网络数据转发依赖MAC表,所有数据流量的转发都需要查找MAC表,因此MAC表也就成为非法用户攻击二层网络的主要目标。非法用户通过发送大量的报文,迅速耗尽MAC表资源,使报文因查找不到MAC表项进行广播,从而占用带宽资源,产生广播风暴。交换机支持通过MAC学习控制、端口安全、DHCP Snooping和风暴抑制等方式来保护MAC表的安全。
-
三层网络:三层网络数据转发依赖ARP表和路由表。路由表是通过路由协议协商生成的,因此非法用户很难对此进行攻击。ARP表是通过协议报文生成的,非法用户可以发送大量的协议报文或者伪造协议报文使ARP表项出现异常。因此ARP表是交换机在三层网络中保护的主要对象。交换机支持通过ARP安全、DAI、EAI、IPSG防止此类攻击。
-
ACL简介:ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
图1是一个典型的ACL应用组网场景。
配置基本ACL:
前提条件
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见(可选)配置ACL的生效时间段。
背景信息
基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
操作步骤
-
执行命令system-view,进入系统视图。
-
创建基本ACL。可使用编号或者名称两种方式创建。
缺省情况下,未创建ACL。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见ACL的匹配机制。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见ACL的步长设定;关于步长调整的具体操作,请参见调整ACL规则的步长。
-
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
-
执行命令rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | { vpn-instance vpn-instance-name | public } ] *,配置基本ACL的规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、源IP地址及其通配符掩码和IP分片信息的详细介绍,请参见交换机支持的ACL及常用匹配项。详细的规则配置示例,请参见配置基本ACL规则。
-
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
后续任务
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。具体支持的应用模块和配置请参见应用ACL。
配置示例
配置基本ACL规则
-
配置基于源IP地址(主机地址)过滤报文的规则
在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过
<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
配置基于源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permit only 192.168.1.3 through。
<HUAWEI> system-view [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0 [HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 [HUAWEI-acl-basic-2001] description permit only 192.168.1.3 through
配置基于时间的ACL规则
创建时间段working-time(周一到周五每天8:00到18:00),并在名称为work-acl的ACL中配置规则,在working-time限定的时间范围内,拒绝源IP地址是192.168.1.0/24网段地址的报文通过。
<HUAWEI> system-view [HUAWEI] time-range working-time 8:00 to 18:00 working-day [HUAWEI] acl name work-acl basic [HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,拒绝源IP地址是192.168.1.0/24网段地址的非首片分片报文通过。
<HUAWEI> system-view [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 fragment
使用基本ACL限制STelnet登录权限示例
1.拓扑图
2. 配置脚本-全网互通
R1 system-view undo info-center enable sysname R1
interface GigabitEthernet 0/0/1 ip address 192.168.1.1 30
quit
ip route-static 10.1.10.0 255.255.255.0 GigabitEthernet 0/0/1 192.168.1.2
ip route-static 10.1.20.0 255.255.255.0 GigabitEthernet 0/0/1 192.168.1.2 quit
save y
SW1
system-view
undo info-center enable
sysname SW1
vlan batch 10 20 30
interface Vlanif 10
ip address 10.1.10.1 24
interface Vlanif 20
ip address 10.1.20.1 24
interface Vlanif 30
ip address 192.168.1.2 30
quit
interface GigabitEthernet0/0/1
port link-type access
port default vlan 30
interface GigabitEthernet0/0/24
port link-type access
port default vlan 10
interface GigabitEthernet0/0/23
port link-type access
port default vlan 20
quit
save y SW2(可以不配)
system-view
undo info-center enable
sysname SW2
vlan 20
quit
interface Vlanif 20
ip address 10.1.20.20 24
quit
interface gigabitethernet 0/0/23
port link-type access
port default vlan 20
quit
ip route-static 192.168.1.0 255.255.255.252 GigabitEthernet 0/0/23 10.1.20.1
ip route-static 10.1.10.0 255.255.255.0 GigabitEthernet 0/0/23 10.1.20.1
R2(可以不配) system-view
undo info-center enable
sysname R3
interface gigabitethernet 0/0/1
ip address 10.1.10.10 24
quit
ip route-static 192.168.1.0 30 GigabitEthernet 0/0/1 10.1.10.1
ip route-static 10.1.20.0 24 GigabitEthernet 0/0/1 10.1.10.1
3. 配置脚本-配置SSH
R1 <HUAWEI>system-view
[HUAWEI]undo info-center enable
[Huawei]rsa local-key-pair create // local-key-pair的含义:Local RSA public key pair operations,create:Create new local public key pairs
[Huawei] aaa
[Huawei-aaa] local-user huawei password cipher 123456 //创建与SSH用户同名的本地用户和对应的登录密码
[Huawei-aaa]local-user huawei priviledge level 15 [Huawei-aaa]local-user huawei service-type ssh
[Huawei-aaa]quit [Huawei]ssh user huawei authenticaiton-type password
[Huawei]stelnet server enable //使能设备的STelnet服务器功能
[Huawei]user-interface vty 0 4 //可以同时5个用户登录,用户0到用户4
[Huawei-ui-vty0-4]authentication-mode aaa //配置VTY用户界面认证方式为AAA认证
[Huawei-ui-vty0-4]protocol inbound ssh //配置VTY用户界面支持的协议为SSH,默认情况下即SSH
[Huawei-ui-vty0-4]quit //退出vty配置模式 说明:通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。
[Huawei]ssh client first-time enable //第一次登录ssh需要配置该条命令。注意:这条命令是在客户端配,而且这个客户端是路由器或交换机或防火墙等设备,如果是PC则不需要。
SW1
system-view
[Huawei]undo info-center enable
[Huawei]rsa local-key-pair create
[Huawei]aaa
[Huawei-aaa]local-user huawei password cipher 123456
[Huawei-aaa]local-user huawei privilege level 15
[Huawei-aaa]local-user huawei service-type ssh
[Huawei-aaa]quit
[Huawei]stelnet server enable
[Huawei]ssh user huawei
[Huawei]ssh user huawei authentication-type password
[Huawei]ssh user huawei service-type stelnet
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]protocol inbound ssh
[Huawei-ui-vty0-4]quit
[Huawei]ssh client first-time enable //第一次登录ssh需要配置该条命令。注意:这条命令是在客户端配,而且这个客户端是路由器或交换机或防火墙等设备,如果是PC则不需要。
4. 配置脚本-配置ACL
R1不允许192.168.1.2这个IP通过SSH登录 R1上的配置
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule deny source 192.168.1.2 0
[Huawei-acl-basic-2001]quit
[Huawei--ui-vty0-4]user-interface vty 0 4
[Huawei--ui-vty0-4]protocol inbound ssh
[Huawei--ui-vty0-4]acl 2001 inbound //执行完该条命令后,SW1无法通过SSH访问R1
配置完ACL后,SW1无法Stelnet R1
5. 其它
eNSP中的PC没有SSH功能,本想使用R2和SW2代替PC,分别 Stelnet R1和SW1。不知什么原因,R2可以ping通R1但无法stelnet R1,而SW2无法ping通R1。最终这个想法没有成功。
6. 总结
使用基本ACL限制Stelnet登录,可以确保内网的其它PC不能登录到网络设备,提升了网络的安全性,担心其它PC被黑客攻击,通过被攻击的PC登录到网络设备。
扫一扫
1099
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
