网络技术基础(14)——ACL访问控制列表

本文涉及的产品
云防火墙,500元 1000GB
简介: 【3月更文挑战第3天】刚加完班又去南京出差了,实在是太忙了。。。。

ACL访问控制列表

访问控制列表 (ACL, Access Control List)是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。简单来讲就是一个过滤列表,一般配合其它技术实现功能。ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

比如下面这种情况:

image.png

我们实际上使用不同VLAN划分不同网段以区分不同功能。因此对于内网不同网段的策略可以使用ACL访问控制列表进行控制。网络流量是有方向和一来一回数据流的,因此一般可以在发送或者接收时调用ACL。

ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。

image.png

ACL编号

在网络设备上配置ACL时,每个ACL列表都需要分配一个编号,称为ACL编号,用来标识ACL。不同分类的ACL编号范围不同。这个编号与下面将要介绍的ACL分类相关。

ACL规则

前面提到了,一个ACL通常由若干条“permit/deny”语句组成,每条语句就是该ACL的一条规则。ACL规则包含规则编号,规则处理动作,匹配项,如果没有指定规则编号则有缺省规则编号和步长。

规则编号(Rule ID)

一个ACL中的每一条规则都有一个相应的编号。

步长(Step)

步长是系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值,缺省值为5。步长的作用是为了方便后续在旧规则之间,插入新的规则。比如缺省规则编号:0 ,5 ,10 ,15 ....

image.png

动作

每条规则中的permit或deny,就是与这条规则相对应的处理动作。permit指“允许”,deny指“拒绝”,但是ACL一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。

匹配项

ACL定义了极其丰富的匹配项。例子中体现的源地址,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。只有匹配到相应的条件才执行相应的动作。

在这里需要了解一个知识:通配符 (Wildcard)

  • 通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。

  • 通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。

image.png
image.png

因为ACL一般用来匹配源地址、目的地址、源端口和目的端口,因此需要使用地址+通配符形式进行匹配。参考上面图例:192.168.1.0 0.0.0.255 转换成二进制可以表示0段必须为192.168.1,最后一段可以为1-255。192.168.1.0 0.0.0.255 表示一个网段,192.168.1.1 0 表示一个主机位,即全部匹配,0.0.0.0 255.255.255.255 表示所有地址

通配符中的1或者0可以不连续,进行灵活匹配,一般用于匹配网段或者一个主机。

注意:每个ACL系统都在ACL末尾隐含的规则拒绝所有rule 4294967294 deny

ACL的分类

一般有两种分类:基于ACL规则号分类,基于ACL命名的ACL,一般常用编号进行定义。

基于ACL规则定义方式的分类:常用的为基本ACL和高级ACL。

image.png

基于ACL标识方法的分类:

image.png

我们这里主要学习基本ACL和高级ACL。

image.png

基本ACL一般只用来匹配源地址,高级ACL可以匹配源地址、目的地址、源端口、目的端口,更为灵活。因此基本ACL一般用来匹配一个网络所有流量,高级ACL匹配一个网络去往不同目的网络或者不同流量的匹配(HTTP、DNS、FTP、TELNET等等)

ACL的工作原理

1、ACL的匹配机制:

image.png

2、ACL的匹配机制概括来说就是:

  • 配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。

  • 匹配顺序按照规则编号从小到大匹配。

  • 一旦匹配上,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试与后续规则匹配。

  • 在末尾有一条隐含的拒绝所有流量的rule规则。

3、ACL的匹配顺序与结果;

image.png

建议匹配严格的规则放在前面,宽泛匹配的放在后面顺序匹配。

4、ACL的匹配位置:

image.png
image.png

可以想象成一条数据为写一封信,从你寄出信--接收方收到信-再到接收方回复内容--你收到回信这才是一个完整的过程,你可以选择在发出时候进行匹配,或者在回信的过程进行匹配拦截。ACL的应用可以在物理接口或者三层逻辑接口如VLANIF上以及路由策略等应用。

一般情况下建议遵循以下规则:

  • 基本ACL在靠近发送端,因为基本ACL匹配所有流量,影响全部流量

  • 高级ACL部署在靠近接收端,因为只是匹配其中特定特征流量,可能不会影响其它流量

ACL的配置应用与实践

ACL的应用很广泛,可以用于以下场景:

  • 匹配IP流量

  • 在Traffic-filter中被调用

  • 在NAT(Network Address Translation)中被调用

  • 在路由策略中被调用

  • 在防火墙的策略部署中被调用

  • 在QoS中被调用

  • 其他……

ACL配置

因为基本ACL和高级ACL的匹配项不一样,因此配置上有一些不一样。

基本ACL:

# 创建基本ACL,并进入基本ACL视图。
[Huawei] acl [ number(20002999) ] acl-number [ match-order config ]

# 配置基本ACL的规则
[Huawei-acl-basic-2000] rule [ rule-id ] {
   
    deny | permit } [ source {
   
    source-address source-wildcard | any } | time-range time-name ] 

# 示例
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255

高级ACL:

# 创建高级ACL,进入高级ACL视图。
[Huawei] acl [ number(3000-3999) ] acl-number [ match-order config ]

# 配置基本ACL的规则
# 根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
# 当参数protocol为IP时,高级ACL的命令格式为
rule [ rule-id ] {
   
    deny | permit } ip [ destination {
   
    destination-address destination-wildcard | any } | source {
   
    source-address source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ] 

# 当参数protocol为TCP时,高级ACL的命令格式为
rule [ rule-id ] {
   
    deny | permit } {
   
    protocol-number | tcp } [ destination {
   
    destination-address destination-wildcard | any } | destination-port {
   
    eq port | gt port | lt port | range port-start port-end } | source {
   
    source-address source-wildcard | any } | source-port {
   
    eq port | gt port | lt port | range port-start port-end } | tcp-flag {
   
    ack | fin | syn } * | time-range time-name ] *

# 简单说就是IP协议可以匹配源地址、目的地址,TCP可以匹配源端口、目的端口
# 示例
acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 10 permit tcp source 192.168.1.0 0.0.0.255 source-port eq telnet destinati
on 192.168.2.0 0.0.0.255

总结

ACL一般使用编号进行区分。基本ACL(2000-2999)支持源地址匹配,高级ACL(3000-3999)支持匹配源地址、目的地址、源端口和目的端口。地址的匹配使用地址+通配符进行匹配选择,通配符可以不连续进行灵活匹配。每个ACL末尾隐含一条拒绝所有的rule,ACL规则按顺序匹配,如果没有指定rule编号则缺省步长为5。基本ACL靠近源端匹配,高级ACL靠近目的端进行匹配,ACL可以应用于流量过滤、NAT、路由策略、策略路由等场景。

相关文章
|
15天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
78 7
|
17天前
|
网络协议 安全 网络性能优化
了解访问控制列表 (ACL):概念、类型与应用
了解访问控制列表 (ACL):概念、类型与应用
35 2
|
18天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
31 2
|
2月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
2月前
|
网络协议 安全 网络安全
Cisco-命名ACL访问控制列表
Cisco-命名ACL访问控制列表
|
2月前
|
安全 网络协议 网络安全
Cisco-扩展ACL访问控制列表
Cisco-扩展ACL访问控制列表
|
2月前
|
安全 网络安全 数据安全/隐私保护
Cisco-标准ACL访问控制列表
Cisco-标准ACL访问控制列表
ly~
|
3月前
|
消息中间件 搜索推荐 大数据
一般情况下在 RocketMQ 中添加 access key 的步骤: 一、确定配置文件位置 RocketMQ 的配置文件通常位于安装目录下的 conf 文件夹中。你需要找到 broker.conf 或相关的配置文件。 二、编辑配置文件 打开配置文件,查找与 ACL(访问控制列表)相关的配置部分。 在配置文件中添加以下内容:
大数据广泛应用于商业、金融、医疗和政府等多个领域。在商业上,它支持精准营销、客户细分及流失预测,并优化供应链管理;金融领域则利用大数据进行风险评估、市场预测及欺诈检测;医疗行业通过大数据预测疾病、提供个性化治疗;政府运用大数据进行城市规划和公共安全管理;工业领域则借助大数据进行设备维护、故障预测及质量控制。
ly~
129 2
|
4月前
|
安全 Linux 数据库
|
4月前
|
网络安全 数据安全/隐私保护 网络架构