访问控制列表(ACL)

本文涉及的产品
云防火墙,500元 1000GB
访问控制,不限时长
简介: 访问控制列表(ACL)

访问控制列表(ACL:Access Control List)是一种常用的网络技术,基本功能是对网络设备报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。ACL还有一些其它功能,这些功能常常被Route-policy、QoS(Quality of Service)、IPSec(IP Security)、Firewall等技术结合起来使用。


ACL常见类型:基本ACL、高级ACL、二层ACL、用户自定义ACL等,其中应用最为广泛的是基本ACL和高级ACL。基本ACL可以根据源IP地址、报文分片标记和时间段信息来定义规则;高级ACL可以根据源/目的IP地址、TCP源/目的端口号、UDP源/目的端口号、协议号、报文优先级、报文大小、时间段等信息来定义规则。高级ACL可以比基本ACL定义出精细度更高的规则。


基本ACL、高级ACL、二层ACL、用户自定义ACL的编号范围分别为2000—2999、3000—3999、4000—4999、5000—5999。使用ACL时,ACL的类型应该与相应的编号范围保持一致。


//掌握基本ACL和高级ACL在安全策略中的应用

//掌握基本时间信息的ACL配置

//掌握使用基本ACL保护路由器的VTY线路


在R1上使用ACL对部门之间互访,以及用户对服务器的访问进行控制。另外,只允许S1的VLANIF1接口的IP地址作为源地址远程登录到R1,以实现对R1的远程控制和管理。


 

“FtpServer”,设置端口号为21。文件根目录自行创建。Web-Server类似不赘述


**//使用路由器域间防火墙来提高安全性,在R1上为HR、SALES、IT这3个部门分别创建安全区域2。区域名称和部门名称一致,HR区域的安全级别设置为12,SALES区域的安全级别设置为10,IT区域的安全级别设置为8。另外,还需创建Trust区域。Trust区域的安全级别为14,Ftp-Server和Web-Server都属于Trust区域。AR系列路由器可以设置16种安全级别,取值范围0~15,15保留给Local区域使用。

**

 

//R1上连接不同部门的接口加入到相应部门的安全区域中,Ethernet2/0/1接口加入到Trust区域中。使用display firewall zone 查看相应区域的优先级,区域内包含接口名称,接口数量等信息。

//需要注意的是,AR系列路由器的防火墙特性时**需要注意流量的方向。从较高安全级别区域去往较低安全级别区域的报文称为Outbound报文,从较低安全级别去往较高安全级别区域的报文称为Inbound报文。**华为AR系列路由器的防火墙特性允许管理员在不同的区域之间进行报文的过滤处理。


//由于SALES和HR之间没有任何业务往来,为保证信息安全,在R1上使用ACL来禁止两个部门之间的互访。启用SALES区域和HR区域的域间防火墙。

使用 dis firewall interzone HR SALES 查看区域间的默认策略。


//可以看到默认策略为 inbound 报文被拒绝通过,outbound 报文被允许通过。由于HR区域的安全级别为12,SALES区域的安全级别为10,所以从HR区域到SALES区域的报文是Ountbound,SALES区域到HR区域的报文是inbound

//可以分析出HR可以ping通SALES,SALES不能ping通HR。

 

//可以看到SALES ping HR 失败5次。

//可以看到结果显示为失败,可以推断为 Inbound 方向的报文被拒绝通行,为了禁止HR和SALES这两个部门之间的互访,管理员可以在它们之间使用ACL达到目的。由于默认SALES区域不能访问HR区域,因此,只需在 Outbound 方向上将HR去往SALES的报文全部过滤掉。

//创建高级ACL3000来定义从HR到SALES的报文,步长设置为10。如果在配置ACL时没有给规则指定序列号,则起始序列号将为步长值,且后续序列号将以步长值的间隔进行累加递增。然后,在Outbound方向上引用ACL3000。

 

//可以看到ACL3000 中只有1个规则,步长为10,规则序列号也为10。

//查看SALES 和 HR 的域间firewall 策略。

//观察到ACL3000已经被应用在SALES 和 HR 的域间 Outbound 方向上了。

//HR 无法ping通 SALES

//对Web-Server和Ftp-Server访问控制,SALES部门的用户可以访问公司的Web-Server,但禁止访问Ftp-Server。开启SALES和Trust区域间的防火墙。由于SALES区域的安全级别为10,Trust区域为14,因此,访问流量的方向为inbound方向。根据区域间防火墙默认规则,SALES部门的用户是无法访问Trust区域中的服务器的。因此,创建ACL3001,在inbound方向上明确放行SALES区域访问Trust区域的Web-Server的报文,其它访问报文被默认规则拒绝通行。

 

//在SALES上进行web服务的测试,在地址栏中输入“Http://192.168.1.30/default.html”,发现无法访问Web-Server。

//创建ACL3001,允许SALES部门的用户访问Web-Server,并应用在SALES和Trust区域之间。

 

//再次测试SALES能否访问Web-Server,测试能否访问Ftp-Server。




//可以看到SALES可以访问Web-server,但无法访问Ftp-Server。



//现在有个新的需求:IT部门用户可以随时访问Ftp-Server。但只能在每天的14:00至16:00才能访问Web-Server,另外还要求IT部门能够随时ping通Ftp-Server和Web-Server。

开启IT和Trust之间的域间防火墙。

配置时间跨度为每天的14:00-16:00

 

//创建ACL3003,放行IT到Trust的Inbound方向的FTP、HTTP、ICMP、的ECHO报文,步长设置为10。

//display acl 3003 查看ACL的配置。可以看到规则的序列号是以10为步长递增的。ACL3003的rule 10 后面的 (Inactive) 说明这条规则没有被激活,这是因为这条规则只在设备时间为 time-range 所指定的范围时才会被激活。由于默认规则的存在,所以IT部门的用户只在每天14:00-16:00才能访问Web-Server,而访问Ftp-Server 则无时间限制。默认情况下路由器将按照规则的序列号从低到高依次将报文与规则进行匹配,一旦某个报文匹配上了某条规则,则按照指定的动作进行处理,不会再继续往下匹配;对于没有匹配上任何规则的报文,则按照默认规则进行处理。


//将ACL3003应用在IT区域和Trust区域之间的Inbound方向上,并查看配置情况。

 

//测试IT能否ping通Web-Server和Ftp-Server,访问Ftp-Server时,文件传输模式选择PORT模式。


//访问Ftp-Server,文件传输模式选择PORT。Web-Server只能在 time-range 时间范围内才能访问,否者不能。也可更改 IT和trust 域间防火墙的跨度时间或更改路由器时间。


//为了实现对R1的安全控制和管理,现在只允许S1上的VLANIF 1接口的IP地址192.168.1.1能够作为源地址登录到R1。


//R1上配置VTY用户接口,允许远程主机通过Telnet管理R1。Telnet密码为huawei。

//创建基本的ACL对路由器VTY终端进行保护,只允许源地址为192.168.1.1的报文访问R1的VTY 终端。

 

//S1上 Telnet

//现在,将S1的VLANIF 1接口的IP地址修改为192.168.1.2。再次测试能否登录到R1。

//当VLANIF 1 的IP地址更换后,便无法登录到R1。这样可以防止未被允许的IP地址登录到路由器,从而实现对路由器的安全控制和管理。

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
11天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
57 7
|
12天前
|
网络协议 安全 网络性能优化
了解访问控制列表 (ACL):概念、类型与应用
了解访问控制列表 (ACL):概念、类型与应用
28 2
|
14天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
27 2
|
1月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
1月前
|
网络协议 安全 网络安全
Cisco-命名ACL访问控制列表
Cisco-命名ACL访问控制列表
|
1月前
|
安全 网络协议 数据安全/隐私保护
访问控制(ACL)原理详解
访问控制(ACL)原理详解
访问控制(ACL)原理详解
|
1月前
|
安全 网络协议 网络安全
Cisco-扩展ACL访问控制列表
Cisco-扩展ACL访问控制列表
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-标准ACL访问控制列表
Cisco-标准ACL访问控制列表
ly~
|
2月前
|
消息中间件 搜索推荐 大数据
一般情况下在 RocketMQ 中添加 access key 的步骤: 一、确定配置文件位置 RocketMQ 的配置文件通常位于安装目录下的 conf 文件夹中。你需要找到 broker.conf 或相关的配置文件。 二、编辑配置文件 打开配置文件,查找与 ACL(访问控制列表)相关的配置部分。 在配置文件中添加以下内容:
大数据广泛应用于商业、金融、医疗和政府等多个领域。在商业上,它支持精准营销、客户细分及流失预测,并优化供应链管理;金融领域则利用大数据进行风险评估、市场预测及欺诈检测;医疗行业通过大数据预测疾病、提供个性化治疗;政府运用大数据进行城市规划和公共安全管理;工业领域则借助大数据进行设备维护、故障预测及质量控制。
ly~
115 2
|
6月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
407 0
下一篇
无影云桌面