访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
为什么使用ACL?
ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。
如下图所示,为保证财务数据安全,企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问,同时允许总裁办公室访问财务服务器。为了保护企业内网的安全,在路由设备上应用ACL可以封堵网络病毒常用的端口,防止Internet上的恶意流量入侵。
ACL可以做什么?
借助ACL,可以实现以下功能:
- 提供安全访问:企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。使用ACL可以指定用户访问特定的服务器、网络与服务,从而避免随意访问的情况。
- 防止网络攻击:Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。使用ACL可以封堵高危端口,从而达成为外网流量的阻塞。
- 提高网络带宽利用率:网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。使用ACL实现对网络流量的精确识别和控制,限制部分网络流量从而保障主要业务的质量。
ACL的分类
随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:
基本ACL基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。
高级ACL相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。
二层ACL在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。
用户ACL由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。
不同类型的ACL的具体组成如下表所示:
表1-1 ACL的分类
| 基本ACL | 高级ACL | 二层ACL | 用户ACL | |||
|---|---|---|---|---|---|---|
| ACL标识 | ACL编号 | 2000~2999 | 3000~3999 | 4000~4999 | 6000~6031 | |
| ACL名称 | Y | Y | Y | Y | ||
| 规则 | 规则编号 | - | Y | Y | Y | Y |
| 动作 | permit/deny | Y | Y | Y | Y | |
| 匹配项 | 生效时间段 | Y | Y | Y | Y | |
| IP协议类型 | - | Y | Y | Y | ||
| IPv4 | Y | Y | - | Y | ||
| IPv6 | Y | Y | - | Y | ||
| 源IP地址 | Y | Y | - | Y | ||
| 源MAC地址 | - | - | Y | - | ||
| 源端口号 | - | Y | Y | Y | ||
| 目的地址 | - | Y | - | Y | ||
| 目的MAC地址 | - | - | Y | - | ||
| 目的端口号 | - | Y | Y | Y | ||
| 用户组 | - | - | - | Y |
拓朴图:
实验需求:
(1)接入层划分vlan ,三层交换作为网关
(2)允许财务部访问WEB服务器,不允许财务部访问FTP服务器﹔
(3)允许市场部访问FTP服务器,不允许访问WEB服务器﹔
交换机,路由器配置: SW1
SW2sys Enter system view, return user view with Ctrl+Z. [Huawei]un in en Info: Information center is disabled. [Huawei]sys sw1 [sw1]vlan batch 10 20 30 Info: This operation may take a few seconds. Please wait for a moment...done. [sw1]int e0/0/1 [sw1-Ethernet0/0/1]p l a [sw1-Ethernet0/0/1]p d v 10 [sw1-Ethernet0/0/1]q [sw1]int e0/0/2 [sw1-Ethernet0/0/2]p l a [sw1-Ethernet0/0/2]p d v 20 [sw1-Ethernet0/0/2]q [sw1]int e0/0/3 [sw1-Ethernet0/0/3]p l a [sw1-Ethernet0/0/3]p d v 30 [sw1-Ethernet0/0/3]q [sw1]int vlan 10 [sw1-Vlanif10]ip add 192.168.1.254 24 [sw1-Vlanif10]int vlan 20 [sw1-Vlanif20]ip add 192.168.2.254 24 [sw1-Vlanif20]int vlan 30 [sw1-Vlanif30]ip add 172.16.1.1 30 [sw1-Vlanif30]q [sw1]ip route-static 0.0.0.0 0 172.16.1.2 [sw1]q
AR1sys Enter system view, return user view with Ctrl+Z. [Huawei]un in en Info: Information center is disabled. [Huawei]sys sw2 [sw2]v b 10 20 30 40 50 Info: This operation may take a few seconds. Please wait for a moment...done. [sw2]int e0/0/1 [sw2-Ethernet0/0/1]p l a [sw2-Ethernet0/0/1]p d v 40 [sw2-Ethernet0/0/1]int e0/0/2 [sw2-Ethernet0/0/2]p l a [sw2-Ethernet0/0/2]p d v 50 [sw2-Ethernet0/0/2]q [sw2]int vlan 50 [sw2-Vlanif50]ip add 172.16.2.1 30 [sw2-Vlanif50]int vlan 40 [sw2-Vlanif40]ip add 172.16.1.2 30 [sw2-Vlanif40]q [sw2]ip route-static 192.168.1.0 24 172.16.1.1 [sw2]ip route-static 192.168.2.0 24 172.16.1.1 [sw2] [sw2]ip route-static 0.0.0.0 0 172.16.2.2 [sw2]
实验结果: 财务部:sys Enter system view, return user view with Ctrl+Z. [Huawei] [Huawei]un in en Info: Information center is disabled. [Huawei] [Huawei]sys R1 [R1] [R1]int g0/0/0 [R1-GigabitEthernet0/0/0] [R1-GigabitEthernet0/0/0]ip add 172.16.2.2 30 [R1-GigabitEthernet0/0/0] [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1] [R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24 [R1-GigabitEthernet0/0/1] [R1-GigabitEthernet0/0/1]int g0/0/2 [R1-GigabitEthernet0/0/2] [R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24 [R1-GigabitEthernet0/0/2] [R1-GigabitEthernet0/0/2]q [R1] [R1]ip route-static 192.168.1.0 24 172.16.2.1 [R1] [R1]ip route-static 192.168.2.0 24 172.16.2.1 [R1] [R1]acl 3000 [R1-acl-adv-3000] [R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192. 168.4.1 0 destination-port eq 80 [R1-acl-adv-3000] [R1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.1 68.3.1 0 destination-port eq 21 [R1-acl-adv-3000] [R1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192 .168.3.1 0 destination-port eq 21 [R1-acl-adv-3000] [R1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.1 68.4.1 0 destination-port eq 80 [R1-acl-adv-3000]q [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 [R1-GigabitEthernet0/0/0]
市场部:
