用访问控制列表(ACL)实现包过滤
用访问控制列表(ACL)实现包过滤
一.ACL概述
1.ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的
2.ACL可以应用于诸多方面
a>.b包过滤防火墙功能;
b>.NAT(Network Address Translation,网络地址转换);
c>.QoS(Quality of Service,服务质量)的数据分类;
d>.路由策略和过滤
e>.按需拨号
二.ACL包过滤原理
1.基于ACL的包过滤技术
a>.对进入的数据包逐个过滤,丢弃或允许通过;
b>.ACL应用于接口上,每个接口的出入双向分别过滤;
c>.仅当数据包过滤经过一个接口是时,才会被此接口的此方向的ACL过滤;
2.入站包过滤工作流程
3.出站包过滤工作流程
4.通配符掩码
a>.通配符掩码和IP地址结合使用以描述一个地址范围;
b>.通配符和子网掩码相思,但含义不同:0表示对应位需要比较,1表示对应为不需要比较。
5. 通配符掩码的应用示例
三.ACL分类
1.ACL的标识
a>.利用数字需要标识访问控制列表;
详细介绍:
1>.标准2000-2999:检查数据包的源,根据数据包的源IP指定规则,允许或拒绝的是整个数据包的IP;(属于基本ACL)
2>.扩展3000-3999:根据报文的源IP地址信息,目的IP地址信息,IP承载的协议类型,协议的特性等三,四层信息指定规则;(属于高级ACL)
3>.二层ACL 4000-4999:根据报文的源MAC地址,目的MAC地址,VLAN优先级,二层协议类型等二层信息指定规则。
4>.用户自定义ACL 5000-5999:可以以报文头,IP头等位基准,指定从第几个字节开始于掩码进行“与”操作,将报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
b>.可以给访问控制列表指定名称,便于维护;
四.配置ACL包过滤
在做实验之前,需要将以下拓扑图两个机房配置通:
准备环境:要求亦庄机房的PC可以ping同高碑店的pc,我们可以用OSPF来做,配置过程如下:
"亦庄出口路由"配置如下:
[Huawei]sysname yizhuang
[yizhuang]interface Ethernet 0/0/0
[yizhuang-Ethernet0/0/1]ip address 172.30.1.254 24
[yizhuang-Ethernet0/0/1]undo shutdown
[yizhuang-Ethernet0/0/1]quit
[yizhuang]interface Ethernet 0/0/1
[yizhuang-Ethernet0/0/1]ip address 10.10.10.1 24
[yizhuang-Ethernet0/0/1]undo shutdown
[yizhuang-Ethernet0/0/1]quit
[yizhuang]ospf 200
[yizhuang-ospf-200]area 0
[yizhuang-ospf-200-area-0.0.0.0]network 10.10.10.1 0.0.0.0
[yizhuang-ospf-200-area-0.0.0.0]network 172.30.1.0 0.0.0.255
[yizhuang-ospf-200-area-0.0.0.0]quit
[yizhuang-ospf-200]quit "高碑店出口路由"配置如下:
[Huawei]sysname gaobeidian
[gaobeidian]interface Ethernet 0/0/0
[gaobeidian-Ethernet0/0/0]ip address 192.168.1.254 24
[gaobeidian-Ethernet0/0/0]undo shutdown
[gaobeidian]interface Ethernet 0/0/1
[gaobeidian-Ethernet0/0/1]ip address 10.10.10.2 24
[gaobeidian-Ethernet0/0/1]undo shutdown
[gaobeidian-Ethernet0/0/1]quit
[gaobeidian]ospf 100
[gaobeidian-ospf-100]area 0
[gaobeidian-ospf-100-area-0.0.0.0]network 10.10.10.2 0.0.0.0
[gaobeidian-ospf-100-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[gaobeidian-ospf-100-area-0.0.0.0]quit
2个路由器的配置过程
PC>ipconfig Link local IPv6 address...........: fe80::5689:98ff:fe15:18c0
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.30.1.1
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.30.1.254
Physical address..................: 54-89-98-15-18-C0
DNS server........................: PC>
PC>ping 192.168.1.1 Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: bytes=32 seq=1 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=2 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=3 ttl=126 time=32 ms
From 192.168.1.1: bytes=32 seq=4 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=5 ttl=126 time=31 ms --- 192.168.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/49/62 ms PC>
测试结果
需求一:要求亦庄机房pc无法ping通高碑店机房pc.
我们在离高碑店机房pc的上联路由或者交换机上做配置即可:
华为机器配置如下:
[gaobeidian]acl 2000 #定义基本策略
[gaobeidian-acl-basic-2000]rule 0 deny source 172.30.1.1 0.0.0.0 #写一条拒绝的规则
[gaobeidian-acl-basic-2000]quit
[gaobeidian]traffic classifier deny_icmp #创建策略
[gaobeidian-classifier-deny_icmp]if-match acl 2000 #和条件绑定
[gaobeidian-classifier-deny_icmp]quit
[gaobeidian]traffic behavior deny #创建一个策略的动作,
[gaobeidian-behavior-deny]quit
[gaobeidian]traffic policy xianzhi #创建一个策略组
[gaobeidian-trafficpolicy-xianzhi]classifier deny_icmp behavior deny #关联策略和动作
[gaobeidian-trafficpolicy-xianzhi]quit
[gaobeidian]interface Ethernet 0/0/1
[gaobeidian-Ethernet0/0/1]traffic-policy xianzhi inbound #在相应的如接口调用策略组
H3C配置如下:(你会发现这2个差距并不是很大,原理都是一样的)
firewall enable #启用防火墙
firewall default permit #设置默认规则为允许
acl number 2000
rule 0 deny source 172.30.1.1 0.0.0.0
quit
interface Ethenet 0/0/1
firewall packer-filter 2000 inbound #绑定策略
H3C用到的命令如下
实验测试结果如下:
PC>ping 192.168.1.1 Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: bytes=32 seq=1 ttl=126 time=93 ms
From 192.168.1.1: bytes=32 seq=2 ttl=126 time=109 ms
From 192.168.1.1: bytes=32 seq=3 ttl=126 time=93 ms
From 192.168.1.1: bytes=32 seq=4 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=5 ttl=126 time=78 ms --- 192.168.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/87/109 ms PC>ping 192.168.1.1 Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout! --- 192.168.1.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss PC>ipconfig Link local IPv6 address...........: fe80::5689:98ff:fe80:32ad
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.30.1.1
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.30.1.254
Physical address..................: 54-89-98-80-32-AD
DNS server........................: PC>
注意:
可能ENSP模拟的路由器在写ACL上存在BUG,我这里建议更换交换机测试,或者在路由器和电脑之前加个交换机,在交换机上做策略也好使,已经实测。
需求二.使得亦庄路由器无法telnet高碑店路由器.
拓扑图如下:
配置过程如下:
#高碑店路由器配置:
[gaobeidain]telnet server enable
[gaobeidain]user-interface vty 0 4
[gaobeidain-ui-vty0-4]authentication-mode none
[gaobeidain-ui-vty0-4]user privilege level 3 #亦庄路由器测试:
<Huawei>telnet 10.10.10.2
Trying 10.10.10.2 ...
Press CTRL+K to abort
Connected to 10.10.10.2 ... Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2017-04-19 00:15:06.
<gaobeidain> “三层交换机”配置如下:
[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule 0 deny tcp source 10.10.10.1 0 destination 10.10.10.2 0 destination-port eq
telnet #拒绝访问10.10.10.2的路由器的telnet功能
[Huawei-acl-adv-3000]quit
[Huawei]traffic classifier deny_telnet
[Huawei-classifier-deny_telnet]if-match acl 3000
[Huawei-classifier-deny_telnet]quit
[Huawei]traffic behavior deny #定义一个动作
[Huawei-behavior-deny]quit #动作内容为空,直接退出即可
[Huawei]traffic policy xianzhi
[Huawei-trafficpolicy-xianzhi]classifier deny_telnet behavior deny
[Huawei-trafficpolicy-xianzhi]quit
拓扑图如下:
准备环境:
“鲁谷机房”配置如下:
[Huawei]sysname lugu
[lugu]interface Ethernet 0/0/1
[lugu-Ethernet0/0/1]ip address 10.10.10.2 24
[lugu-Ethernet0/0/1]quit
[lugu]interface LoopBack 1
[lugu-LoopBack1]ip address 192.168.1.1 24
[lugu-LoopBack1]quit
[lugu]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
[lugu]user-interface vty 0 4
[lugu-ui-vty0-4]authentication-mode none
[lugu-ui-vty0-4]user privilege level 3 "策略交换机"配置如下:
[Huawei]sysname celue
[celue]interface Ethernet 0/0/1
[celue-Ethernet0/0/1]port link-type trunk
[celue-Ethernet0/0/1]quit “兆维机房”配置如下:
[Huawei]sysname zhaowei
[zhaowei]interface LoopBack 1
[zhaowei-LoopBack1]ip address 172.30.1.1 24
[zhaowei-LoopBack1]quit
[zhaowei]interface Ethernet 0/0/1
[zhaowei-Ethernet0/0/1]ip address 10.10.10.1 24
[zhaowei-Ethernet0/0/1]undo shutdown
[zhaowei-Ethernet0/0/1]quit
[zhaowei]ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
<zhaowei>telnet 192.168.1.1 #链接鲁谷机房pc
Trying 192.168.1.1 ...
Press CTRL+K to abort
Connected to 192.168.1.1 ... Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2017-04-19 11:11:19.
<lugu>
策略限制如下:
“鲁谷机房”配置如下: [lugu]acl 3000
[lugu-acl-adv-3000]rule 0 deny tcp source 172.30.1.1 0 destination 192.168.1.1 0 destination-port eq
telnet #定义一条拒绝telnet的策略
[lugu]user-interface vty 0 4
[lugu-ui-vty0-4]authentication-mode none #验证方式为空
[lugu-ui-vty0-4]acl 3000 inbound #绑定策略
测试结果如下:
<zhaowei>telnet 192.168.1.1
Trying 192.168.1.1 ...
Press CTRL+K to abort
Error: Failed to connect to the remote host.
<zhaowei>
以上操作用的是ENSP配置,如果要配置H3C的话请参考:
实验十 配置ACL包过滤
【实验目的】
l 掌握访问控制列表的简单的工作原理
l 掌握访问控制列表的基本配置方法
l 掌握访问控制列表的常用配置命令
【实验要求】
分别使用ACL禁止PC1访问PC2和禁止从PC1到网络192.168.3.0/24的FTP数据流。
【实验设备】
路由器两台、PC机两台、网线三根、console
【实验拓扑】
【实验过程】
实验过程一、配置基本的ACL
1、路由器接口IP地址以及PC机的IP地址规划
|
设备名称 |
接口 |
IP地址 |
网关 |
|
RT1 |
G0/0/1 |
192.168.1.1 |
-- |
|
G0/0/0 |
192.168.2.1 |
-- |
|
|
looback |
1.1.1.1.1/32 |
||
|
RT2 |
G0/0/0 |
192.168.2.2 |
-- |
|
G0/0/1 |
192.168.3.1 |
-- |
|
|
looback |
2.2.2.2./32 |
||
|
PC1 |
-- |
192.168.1.2 |
192.168.1.1 |
|
PC2 |
-- |
192.168.3.2 |
192.168.3.1 |
2、使用RIP协议使全网互通(也可以使用OSPF以及静态路由)
RT1
[RT1]rip
[RT1-rip-1]network 192.168.1.0
[RT1-rip-1]network 192.168.2.0
[RT1-rip-1]quit
[RT1]
RT2
[RT2]rip
[RT2-rip-1]network 192.168.2.0
[RT2-rip-1]network 192.168.3.0
[RT2-rip-1]quit
[RT2]
3、PC1 ping PC2验证网络的连通性
4、配置ACL并且应用
防火墙功能需要在路由器上启动后才能生效
[RT1]firewall enable
设置防火墙的默认过滤方式是Permit
[RT1]firewall default permit
配置基本ACL,并指定ACL序号
[RT1]acl number 2000
定义ACL定义规则
[RT1-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0[w1]
[RT1-acl-basic-2000]quit
进入接口并在接口上应用接口上
[RT1]interface g0/0/1
[RT1-GigabitEthernet0/0/1]firewall packet-filter 2000 inbound[w2]
[RT1-GigabitEthernet0/0/1]qu
[RT1]
5、PC1 ping PC2测试主机间的连通性,测试结果应该是不可达,如下
6、查看ACL以及防火墙的状态和统计
可以看到,有数据报文命中了ACL中定义的额规则。
实验过程二 配置扩展的ACL
1、PC组网图和IP地址规划同实验一基本的ACL
2、配置ACL规则
[RT1]acl number 3000
[RT1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.3.0 0.0.0.255 destination-port eq ftp
[RT1-acl-adv-3000]rule permit ip source 192.168.1.2 0.0.0.0 destination 192.168.2.0 0.0.0.255
[RT1-acl-adv-3000]quit
[RT1]interface g0/0/1
[RT1-GigabitEthernet0/0/1]firewall packet-filter 3000 inbound
[RT1-GigabitEthernet0/0/1]quit
[RT1]
3、做完之后铜须门可以自己试一下PC1 ping PC2能否ping通,如果能ping通过则说明什么?
4、在PC2上开启FTP服务,然后再PC1上使用FTP客户端软件连接到PC2,看一下结果是被拒绝还是允许?
【思考拓展】
在实验二高级ACL应用中,可以把ACL应用在RTB上吗?
指定动作是Permit挥着Deny
制定要匹配的源IP地址范围
Inbound:过滤接口接收的数据包
Outbound :过滤接口转发的数据包
五.ACL包过滤的注意事项
用访问控制列表(ACL)实现包过滤的更多相关文章
- HCNA Routing&Switching之访问控制列表ACL
前文我们了解了DHCP服务相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15147870.html:今天我们来聊一聊访问控制列表ACL: ACL(ac ...
- 网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)
一.访问控制列表是什么? 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问 ...
- 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。
场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...
- 第10章 网络安全(5)_访问控制列表ACL
6. 访问控制列表ACL 6.1 标准访问控制列表 (1)标准ACL ①标准ACL是基于IP数据包的源IP地址作为转发或是拒绝的条件.即,所有的条件都是基于源IP地址的. ②基本不允许或拒绝整个协议组 ...
- 基本的访问控制列表ACL配置
摘要: 访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址.目的地址.源端口.目的端口等信息 来 ...
- CCNA网络工程师学习进程(8)访问控制列表ACL
前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置. (1)ACL概述: ACL(Access C ...
- windows访问控制列表 --ACL(Access Control List)
1.定义 ACL是一个windows中的表示用户(组)权限的列表. Access Control List(ACL) Access Control Entry(ACE) ... 2.分类 ACL分为两 ...
- Linux 系统访问控制列表ACL
常见的文件系统的一般权限(rwx).特殊权限(SUID,SGID,STICK).隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的.而如果希望对某个指定的用户进行单独的权限控制,那么就 ...
- ORA-24247:网络访问被访问控制列表(ACL)拒绝
今天将一个发送数据库监控邮件的procedure 从10g 迁移到11g,不工作了.处理记录如下: 在Oracle11g中,Oracle在安全方面有了很多的改进,而在网络权限控制方面,也有一个新的概念 ...
随机推荐
- vue element-ui upload 实现带token上传
<el-upload class="upload-demo" :data ="uploadData" :headers = "headers&q ...
- JavaScript使用childNodes和children
childNodes用来获取一个元素的所有子元素,这个包括元素节点和文本节点. children用来获取一个元素的子元素节点,注意只是元素节点 其中DOM中常见的三种节点分别如下: 元素节点:< ...
- Navicat连接mysql备份数据库提示:1577 – Cannot proceed because system tables used by Event Scheduler where found damaged at server start
解决办法,可以参考试试: http://www.cnblogs.com/huangcong/p/3389010.html http://blog.csdn.net/phpfenghuo/article ...
- Notepad++和Sublime单词首字符大小写转化问题
- ASP.NET MVC与WebForm对比
MVC优点:1.分离更彻底,分层清晰,易于维护和扩展.2.验证更加方便快捷.3.无ViewState,页面更加干净4.路由更容易定义url,对SEO比较好.5.强类型VIEW实现,更安全高效. Web ...
- [转帖]浪潮openstack的逆袭
扬长补短 浪潮云平台的逆袭 http://blog.itpub.net/11310314/viewspace-2564083/ 浪潮并不是最早加入OpenStack的国内厂商,却实现同比303.1%的 ...
- Node 表单query
//#使用nodejs编写动态的web服务器//1:加载需要模块 fs http urlconst fs = require("fs");const http = require( ...
- YII2十三大特性2
第十三 场景(scenario)的使用 例如:有三个场景,分别为创建,更新,确认回款 首先,定义所有的场景,及规则,如下所示: <?php namespace core\models; use ...
- delphi中ini 文件操作记要(1): 使用 TIniFile
unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms ...
- C-Lodop回调函数的触发
高版本的火狐和谷歌不再支持np插件之后,Lodop公司推出了C-Lodop,解决了这些浏览器不能用Lodop插件方式打印的问题,相比较Lodop插件,C-Lodop由于是以服务的形式出现,返回值不能直 ...