- 随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。
- ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
- 在本章节中,将介绍ACL的基本原理和基本作用,ACL的不同种类及特点,ACL的基本组成和匹配顺序,通配符的使用方法和ACL的相关配置。
- 随着网络的飞速发展,网络安全和网络服务质量QoS(Quality of Service)问题日益突出。
- 园区重要服务器资源被随意访问,园区机密信息容易泄露,造成安全隐患。
- Internet病毒肆意侵略园区内网,内网环境的安全性堪忧。
- 网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。
- 以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性和服务质量迫在眉睫,我们需要对网络进行控制。比如,需要借助一个工具帮助实现一些流量的过滤。
ACL的组成
- ACL的组成:
- ACL编号:在网络设备上配置ACL时,每个ACL都需要分配一个编号,称为ACL编号,用来标识ACL。不同分类的ACL编号范围不同,这个后面具体讲。
- 规则:前面提到了,一个ACL通常由若干条“permit/deny”语句组成,每条语句就是该ACL的一条规则。
- 规则编号:每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。
- 动作:每条规则中的permit或deny,就是与这条规则相对应的处理动作。permit指“允许”,deny指“拒绝”,但是ACL一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。
- 比如:ACL如果与流量过滤技术结合使用(即流量过滤中调用ACL),permit就是“允许通行”的意思,deny就是“拒绝通行”的意思。
- 匹配项:ACL定义了极其丰富的匹配项。例子中体现的源地址,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。
- 提问:rule 5 permit source 1.1.1.0 0.0.0.255 是什么意思?这个在后续课程中会介绍。
- ACL可以通过对网络中报文流的精确识别,与其他技术结合
示例:
红绿灯:根据红绿灯来判断是走还是停,操作不是红绿灯赋予的,是道路安全法,由道路安全法来规定我们在什么的情况下执行什么操作实现什么功能,ACL相当于是红绿灯,其他技术相当于是安全法
- ACL是由一系列permit或deny语句组成的、有序规则的列表。
- ACL是一个匹配工具,能够对报文进行匹配和区分。:只能匹配信息不能做一些动作
时间戳:一段时间
ACL的分类:
[AR1]acl
INTEGER<2000-2999> 基本ACL,只能匹配 SIP、时间戳、分片、第一个报文
INTEGER<3000-3999> 高级ACL,可以匹配 SIP、时间戳、分片、第一个报文、DIP、协议号、端口号 等
INTEGER<4000-4999> 二层ACL,可以匹配 SMAC、DMAC、时间戳、分片
[AR1]acl name 定义ACL的名称便于识别不同的ACL
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0
Acl 2000------配置基本ACL
Acl 3000------配置高级ACL
Acl 4000------配置二层ACL
Acl name PC1toPC2 2000 配置名为PC1toPC2的ACL 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0
rule 5 permit source 192.168.1.1 0.0.0.0
节点 动作 匹配项 参数 通配符掩码
动作:允许拒绝等
匹配项: SIP、时间戳、分片、第一个报文、DIP、协议号、端口号等
参数
节点: 一个ACL的每条规则都需要进行排列
默认5的步长进行条目的排列,取值范围是<0-4294967294> 每次只能+5
[AR1-acl-basic-2000]step <1-20> 设置步长,默认为5
动作:permit/deny 只是做为标记使用,具体是允许通过还是禁止通过是由其他技术决定的---------只标记没作用,---P允许---D拒绝
匹配项:source:源、Time-range:时间戳、fragment:分片、None-first-fragment 非首包·····
通配符掩码:不需要连续的1和连续的0组合,0表示精确匹配,1表示任意匹配 通配符掩码不需要表示广播位
正掩码:需要连续的1和连续的0组合,1表示匹配网络位,0表示匹配广播位
反掩码:需要连续的1和连续的0组合,0表示匹配网络位,1表示匹配广播位
通配符掩码例:
192.168.1.1 掩码 0.0.0.255 :表示
192. 168.1.1
| 192 | 168 | 1 | 1 |
| 0 | 0 | 0 | 255 |
0--匹配192----匹配168----匹配1 255表示任意匹配,即192.168.1.1最后一位的1可以任意改变取值0-255、
192.X.1.X 掩码0.1.0.1 X为可变位
匹配 192.A.1.B 其中A为奇数,B为偶数
一个十进制数 什么时候是奇数,什么时候是偶数
十进制数是由二进制数转换的
128 64 32 16 8 4 2 1
根据二进制数列的特点,判断是否为奇偶数取决于最后一位是否存在置位
1111 1110
0101 1011
即:最后一位二进制是否是1 是1就是奇数是0就是偶数
匹配 192.A.1.B 其中A为奇数,B为偶数
192.1.1.22
0.254.0.254
A是奇数就写一个奇数可以1-3-5等等,写奇数的作用就是为了告诉他我的二进制最后一位是1再匹配通配254掩码这一段都是1
B是偶数在最后一位B位随便给一位偶数后匹配出来的就是A为奇数B为偶数
ACL可以配置多个条目
条目按照节点的大小,从小到大依次排列
ACL的匹配也是从小到大依次匹配的
如果流量被条目匹配,就不会在进行下一个条目匹配了
如果流量被条目匹配,就不会在进行下一个条目匹配了
[AR1-acl-basic-2000]step <1-20> 设置步长,默认为5 修改步长长度好匹配ACL节点号的同步性,赏心悦目
ACL根据匹配信息不同,最终隐含规则也不同
1.如果ACL匹配的是流量,则默认是允许所有
2.如果ACL匹配的是路由,则默认是拒绝所有
ACL在配置匹配信息时:
注意:需要先配置精确的信息条目,在配置大范围的信息条目
[AR1-acl-basic-2000]rule 10000000 permit 匹配所有
[AR1-acl-basic-2000]rule 10000000 permit source any 匹配所有
ACL的匹配机制
- ACL的匹配机制概括来说就是:
- 配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。
- 一旦匹配上,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试与后续规则匹配。
- 匹配流程:首先系统会查找设备上是否配置了ACL。
- 如果ACL不存在,则返回ACL匹配结果为:不匹配。
- 如果ACL存在,则查找设备是否配置了ACL规则。
- 如果规则不存在,则返回ACL匹配结果为:不匹配。
- 如果规则存在,则系统会从ACL中编号最小的规则开始查找。
- 如果匹配上了permit规则,则停止查找规则,并返回ACL匹配结果为:匹配(允许)。
- 如果匹配上了deny规则,则停止查找规则,并返回ACL匹配结果为:匹配(拒绝)。
- 如果未匹配上规则,则继续查找下一条规则,以此循环。如果一直查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为:不匹配。
- 从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
- 匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
- 不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况,都叫做“不匹配”。
- 匹配原则:一旦命中即停止匹配。
ACL里面已经加上了过滤的技术只是没有提
扫一扫
3472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
