ACL 实现包过滤

ACL 包过滤是一种被广泛使用的网络安全技术。它使用 ACL 来实现数据识别，并决定是转发还是丢弃这些数据包。

ACL （ Access Control List ，访问控制列表）是用来实现数据包识别功能的

ACL 可以应用于诸多方面

包过滤防火墙功能

NAT （ Network Address Translation ，网络地址转换）

QoS （ Quality of Service ，服务质量）的数据分类

路由策略和过滤

按需拨号

 

对进出的数据包逐个过滤，丢弃或允许通过

ACL 应用于接口上，每个接口的出入双向分别过滤

仅当数据包经过一个接口时，才能被此接口的此方向的 ACL 过滤

通配符掩码和 IP 地址结合使用以描述一个地址范围

通配符掩码和子网掩码相似，但含义不同

0 表示对应位须比较

1 表示对应位不比较

IP地址	通配符掩码	表示的地址范围
192.168.0.1	0.0.0.255	192.168.0.0/24
192.168.0.1	0.0.3.255	192.168.0.0/22
192.168.0.1	0.255.255.255	192.0.0.0/8
192.168.0.1	0.0.0.0	192.168.0.1
192.168.0.1	255.255.255.255	0.0.0.0/0
192.168.0.1	0.0.2.255	192.168.0.0/24和192.168.2.0/24

通配符掩码	含义
0.0.0.255	只比较前24位
0.0.3.255	只比较前22位
0.255.255.255	只比较前8位

 

基本访问控制列表	2000～2999
扩展访问控制列表	3000～3999
基于二层的访问控制列表	4000～4999
用户自定义的访问控制列表	5000～5999

 l配置基本ACL，并指定ACL序号

 [sysname] acl number acl-number

[sysname-acl-basic-2000] rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-name ]

配置高级ACL

[sysname] acl number acl-number

[sysname-acl-adv-3000] rule [ rule-id ] { deny | permit } protocol [ destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] established | fragment | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-name]

 

显示配置的IPv4 ACL信息

display acl { acl-number | all}

 

ACL 支持两种匹配顺序：

配置顺序（ config ）：按照用户配置规则的先后顺序进行规则匹配

自动排序（ auto ）：按照“深度优先”的顺序进行规则匹配，即地址范围小的规则被优先进行匹配

 sysname] acl number acl-number [ match-order { auto | config } ]

高级 ACL

à 应该在靠近被过滤源的接口上应用 ACL ，以尽早阻止不必要的流量进入网络

基本 ACL

à 过于靠近被过滤源的基本 ACL 可能阻止该源访问合法目的

à 应在不影响其他合法访问的前提下，尽可能使 ACL 靠近被过滤的源

 

 

 注意：

ACL 包过滤防火墙是根据数据包头中的二、三、四层信息来进行报文过滤的，对应用层的信息无法识别

无法根据用户名来决定数据是否通过

无法给不同的用户授予不同的权限级别