1 ACL概述
(1)ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的
(2)ACL可以应用于诸多方面,包过滤防火墙功能;NAT(Network Address Translation,网络地址转换);QoS(Quality of Service,服务质量)的数据分类;路由策略和过滤按需拨号
2 ACL包过滤原理
2.1 基于ACL的包过滤技术
对进出的数据包逐个过滤,丢弃或允许通过;ACL应用于接口上,每个接口的出入双向分别过滤;仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤
2.2 入站包过滤工作流程
2.3 出站包过滤工作流程
2.4 通配符掩码
(1)通配符掩码和IP地址结合使用以描述一个地址范围
(2)通配符掩码和子网掩码相似,但含义不同
(3)0表示对应位须比较,1表示对应位不比较
2.5 通配符掩码的应用示例
3 ACL分类
3.1 ACL的标识
3.2 基本ACL
3.3 高级ACL
3.4 二层ACL与用户自定义ACL
(1)二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则
(2)用户自定义ACL可以根据任意位置的任意字串制定匹配规则:报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
4 配置ACL包过滤
4.1 ACL包过滤配置任务
(1)启动包过滤防火墙功能,设置默认的过滤规则
(2)根据需要选择合适的ACL分类
(3)创建正确的规则:设置匹配条件;设置合适的动作(Permit/Deny)
(4)在路由器的接口上应用ACL,并指明过滤报文的方向(入站/出站)
4.2 启动包过滤防火墙功能
4.3 配置基本ACL
4.4 配置高级ACL
4.5 配置二层ACL
4.6 在接口上应用ACL
4.7 ACL包过滤显示与调试
5 ACL包过滤的注意事项
5.1 ACL规则的匹配顺序
(1)匹配顺序指ACL中规则的优先级。
(2)ACL支持两种匹配顺序:
①配置顺序(config):按照用户配置规则的先后顺序进行规则匹配;②自动排序(auto):按照“深度优先”的顺序进行规则匹配,即地址范围小的规则被优先进行匹配
(3)配置ACL的匹配顺序:
5.2 不同匹配顺序导致结果不同
5.3 在网络中的正确位置配置ACL包过滤
(1)尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发
(2)高级ACL:应该在靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络
(3)基本ACL:①过于靠近被过滤源的基本ACL可能阻止该源访问合法目的;②应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源
5.4 高级ACL部署位置示例
5.5 基本ACL部署位置示例
5.6 ACL包过滤的局限性
(1)ACL包过滤防火墙是根据数据包头中的二、三、四层信息来进行报文过滤的,对应用层的信息无法识别,无法根据用户名来决定数据是否通过;无法给不同的用户授予不同的权限级别
(2)ACL包过滤防火墙是静态防火墙,无法对应用层协议进行动态检测