本文介绍了自反ACL(reflectiveACL)这一企业网络安全特性,详细解释了其如何部署于企业网络与互联网之间的边缘设备上,例如防火墙和边缘出口路由器。自反ACL确保只有企业内部网络主动发起的连接才能被外部网络响应,反之则被阻止。文中还概述了自反ACL在入口和出口上的具体配置步骤,并列举了一些常见的ACL规则。
自反ACL(reflective ACL)是一个企业网的安全特性,部署在企业网与互联网的边缘设备上,如防火墙,边缘出口路由器。自反ACL使外部网络不能主动访问企业内部的网络,只能在内部网络先访问外部网络,外部网络作为应答访问企业的内部网络。
因为企业网络内部通过边缘设备与外部进行通信必须有一个入口和出口,所以自反ACL可以部署在入口和出口上(相对于内部网络而言)
部署在入口上时,入口先配置一下的ACL
1)丢弃从入口发送出去的tcp报文
2)丢弃从入口发送出去的udp报文
3)丢弃从入口发送出去的icmp request报文
4)将从入口接收到的tcp syn/rst/fin等报文上送cpu
5)将从入口接收到的udp报文上送cpu
入口接收到tcp syn/rst报文或udp报文,上送到cpu,cpu分析报文,下发ACL规则:
{dip=报文的sip,sip=报文的dip,dport=报文的sport,sport=报文的dport,protocol=报文的protocol} permit
这样外部网络的反向报文就可以通过了
入口接收到tcp fin报文后,将上面的ACL规则删除,这样外部网络就不能访问内部网络了
部署在出口上时,出口的配置与入口相似,先配置如下ACL:
1)丢弃从出口接收到的tcp报文
2)丢弃从出口接收到的udp报文
3)丢弃从出口接收到的icmp request报文
4)将从出口发送出去的tcp syn/rst/fin等报文上送cpu
5)将从出口发送出去的udp报文上送cpu
出口口接收到tcp syn/rst报文或udp报文,上送到cpu,cpu分析报文,下发ACL规则:
{dip=报文的sip,sip=报文的dip,dport=报文的sport,sport=报文的dport,protocol=报文的protocol} permit
这样外部网络的反向报文就可以通过了
出口接收到tcp fin报文后,将上面的ACL规则删除,这样外部网络就不能访问内部网络了
其他:
ACL一般分为IACL、EACL、CPU ACL
ACL{rule,action}的常见action
1)丢弃
2)上送cpu
3)mirror
3)正常转发
4)重定向:到ARF,到re,到vsi,到dvp,到tb/tp
5)统计和car
6)remark内部优先级(setQindex和color,setQindex,setcolor)
9)remark 报文优先级(opri, ipri, dscp, exp,tc,ip precedence)
扫一扫
1471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
