网络工程师入门系列 | ACL基础详解
为了更安全的公司网络环境,可以使用ACL提供的基本通信流量过滤能力来实现。
一、ACL概述
1.流量过滤
常用的流量过滤器 ①集成路由器内置的防火墙 ②专用的安全设备 ③服务器
企业路由器能够识别有害流量并阻止它访问和破坏网络,几乎所有的路由器都可以根据数据包的源IP地址和目的IP地址来过滤流量,它还可以根据特定的应用和协议来过滤流量,例如TCP,HTTP,FTP,和Telnet
2.访问控制列表
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
3.ACL的分类
根据不同的划分规则,ACL可以有不同的分类。
A.按照创建ACL时的命令方式分为数字型ACL和命名型ACL
①创建ACL时指定一个编号,称为数字型ACL。即编号为ACL功能的标识,如
基本ACL为2000~2999, 高级ACL为3000~3999.
②创建ACL时指定一个名称,称为命名型ACL
B.按照ACL的功能分类
ACL可以分为:
- 基本ACL,
- 高级ACL,
- 二层ACL,
- 用户ACL,
其中应用最为广泛的是基本ACL和高级ACL
ACL分类
分类 编号范围 参数
基本ACL 2000~2999 源IP地址等
高级ACL 3000~3999 源IP地址,目的IP地址,源端口,目的端口,协议类型等
二层ACL 4000~4999 源MAC地址,目的MAC地址,以太帧协议类型等
用户ACL 6000~6031 源IP地址,目的IP地址,源端口,目的端口,协议类型等
4.ACL的工作原理
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
(1)ACL的方向
ACL是一组规则的集合,它应用在路由器的某个接口,对路由器接口而言,ACL有两个方向。
①出:已经过路由器的处理,正离开路由器的数据包。 ②入:已到达路由器接口的数据包,将被路由器处理,
(2)ACL语句(语句太多这里做简单介绍)
一个ACL语句通常由若干条deny I permit 语句组成,每条就是该ACL的一条规则。
(3)ACL步长
步长是指在交换机自动为ACL规则分配编号的时候,每个相邻规则编号之间的差值。例如,如果将步长设定为5,规则编号分配是按照0、5、10、15…这样的规律分配的。缺省情况下,步长为5。
当步长改变后,ACL中的规则编号会自动重新排列。例如,原来规则编号为0、5、10、15,当通过命令把步长改为2后,则规则编号变成0、2、4、6。
当使用命令将步长恢复为缺省值后,交换机将立刻按照缺省步长调整ACL规则的编号。例如:ACL 3001,步长为2,下面有4个规则,编号为0、2、4、6。如果此时使用命令将步长恢复为缺省值,则ACL规则编号变成0、5、10、15,步长为5。
设置适当的步长,有助于用户对ACL的管理,如方便在规则之间插入新的规则。例如配置好了4个规则,规则编号为:0、5、10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在0和5之间插入一条编号为1的规则。
另外,在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,步长是5,那么系统分配给新定义的规则的编号将是30。
(4)ACL匹配顺序
IPv4 ACL支持两种匹配顺序:
- 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
- 自动排序:按照“深度优先”的顺序进行规则匹配。
基本IPv4 ACL的“深度优先”顺序判断原则如下
(1) 先看规则中是否带实例,带实例的规则优先;
(2) 再比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(3) 如果源IP地址范围相同,则先配置的规则优先。
高级IPv4 ACL的“深度优先”顺序判断原则如下
(1) 先看规则中是否带实例,带实例的规则优先;
(2) 再比较协议范围,指定了IP协议承载的协议类型的规则优先;ip协议的范围为1—255,承载在ip上的其他协议有各自的协议号。协议范围小或协议号小的优先。如承载在ip上的协议如OSPF和GRE的协议号分别为89和47,那么GRE的优先级将高于ospf,承载在ip上的其他协议都优于ip。
(3) 如果协议范围相同,则比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(4) 如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(5) 如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先;
(6) 如果上述范围都相同,则先配置的规则优先。
二层ACL的“深度优先”顺序判断原则如下
(1) 先比较源MAC地址范围,源MAC地址范围小(掩码中“1”位的数量多)的规则优先;
(2) 如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(掩码中“1”位的数量多)的规则优先
(3) 如果源MAC地址范围、目的MAC地址范围相同,则先配置的规则优先。
本文为CSDN博主「习性」的原创文章 原文链接:https://blog.csdn.net/weixin_43751619/article/details/84644376
技
术
是
用
来
学
的
,
不
是
用
来
收
藏
的
!