文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

H3C ACL概述

2023-01-31 00:59

关注

概述

    随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL( Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

    当设备的端口接收到报文后,即根据当前端口上应用的 ACL 规则对报文的字段进行分析,在识别出

特定的报文之后,根据预先设定的策略允许或禁止该报文通过。

    ACL 通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。由 ACL 定义的报文匹配规则,可以被其它需要对流量进行区分的特性引用,如 QoS 中流分类规则的定义。


IPv4 ACL 简介

1. IPv4 ACL 分类

    IPv4 ACL根据ACL序号来区分不同的ACL,可以分为四种类型,如 表 1-1 所示。

wKiom1RQsY3ibhB4AAKsfPzamds595.jpg

    说明:不同型号的设备支持的 IPv4 ACL 类型不同,请以设备的实际情况为准。


2. IPv4 ACL 匹配顺序

    一个 ACL 中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和 ACL 的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。

    IPv4 ACL 支持两种匹配顺序:

   · 配置顺序:按照用户配置规则的先后顺序进行规则匹配。

   · 自动排序:按照“深度优先”的顺序进行规则匹配。

    各种IPv4 ACL的“深度优先”顺序判断原则如 表 1-2所示。

wKioL1RQsiKwB8eXAARI9fG5Yh4290.jpg

    说明:用户自定义 ACL 的匹配顺序只能为配置顺序。

    在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。


3. IPv4 ACL 对分片报文的处理

    传统的报文过滤并不处理所有 IP 报文分片,而是只对首片(第一片)分片报文进行匹配处理,对后续分片不进行匹配处理。这样,网络***者可能构造后续的分片报文进行流量***,就带来了安全隐患。

    目前,设备提供的对分片报文过滤的功能如下:

   · 对所有的分片报文进行三层( IP 层)的匹配过滤。

   · 对于包含高级信息的 ACL 规则项(例如包含 TCP/UDP 端口号, ICMP 类型),提供标准匹配和精确匹配两种匹配方式,缺省的匹配方式为标准匹配。

    说明:

    标准匹配和精确匹配的含义如下:

   · 标准匹配:只匹配三层信息,而三层以外的信息将被忽略。

   · 精确匹配:记录每一个首片分片的三层以上的信息,当后续分片到达时,使用这些保存的信息对 ACL 规则的每一个匹配条件进行精确匹配。这两种匹配方式只有防火墙支持。


ACL 步长

    说明:Web 界面目前不支持对步长的配置。


1. 步长的含义

    步长的含义是:设备自动为 ACL 规则分配编号的时候,每个相邻规则编号之间的差值。例如,如果将步长设定为 5,规则编号分配是按照 0、 5、 10、 15…这样的规律分配的。缺省情况下,步长为 5。当步长改变后, ACL 中的规则编号会自动重新排列。例如,原来规则编号为 0、 5、 10、 15,当通过命令把步长改为 2 后,则规则编号变成 0、 2、 4、 6。

    当使用命令将步长恢复为缺省值后,设备将立刻按照缺省步长调整 ACL 规则的编号。例如: ACL3001 ,步长为 2,下面有 4 个规则,编号为 0、 2、 4、 6。如果此时使用命令将步长恢复为缺省值,则 ACL 规则编号变成 0、 5、 10、 15,步长为 5。


2. 步长的作用

    使用步长设定的好处是用户可以方便地在规则之间插入新的规则。例如配置好了 4 个规则,规则编号为: 0、 5、 10、 15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在 0和 5 之间插入一条编号为 1 的规则。

    另外,在定义一条 ACL 规则的时候,用户可以不指定规则编号,这时,系统会从 0 开始,按照步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是 28,步长是 5,那么系统分配给新定义的规则的编号将是 30。


注意事项

对 ACL 进行配置时,需要注意如下事项:

    (1) 在定义一条ACL规则的时候, 用户可以不指定规则ID, 这时, 系统会自动为ACL规则分配编号,详细情况请参见“1.1.2 ACL步长”。

    (2) 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示这条规则已经存在。

    (3) 当 ACL 的匹配顺序为“用户配置”时,用户可以修改该 ACL 中的任何一条已经存在的规则,在修改 ACL 中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当 ACL 的匹配顺序为“自动”时,用户不能修改该 ACL 中的任何一条已经存在的规则,否则系统会提示错误信息。


阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯