第四章 防火墙访问控制列表v1

第四章防火墙访问控制列表v1.0 幻灯片 1
包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数据包。

包过滤防火墙的基本原理是：通过配置ACL（Access Control List，访问控制列表）实施数据包的过滤。

实施过滤主要是基于数据包中的源/目的IP 地址、源/目的端口号、IP 标识和报文传递的方向等信息。

访问控制列表定义的数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处理。

因此，访问控制列表的核心作用是：根据定义的规则对经过防火墙的流量进行筛选，由关键字确定筛选出的流量如何进行下一步操作。

在防火墙应用中，访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段，决定了后续的应用数据流是否被处理。

访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。

ACL 能够通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是包过滤、NAT、IPSec、QoS、策略路由等应用的基础。

访问控制列表的使用：
1、访问控制列表可以用于防火墙
2、访问控制列表可以用于Qos(Quality of Service)，对数据流量进行控制
3、在DCC中，访问控制列表还可用来规定触发拨号的条件
4、访问控制列表还可以用于地址转换
5、在配置路由策略时，可以利用访问控制列表来作路由信息的过滤
包过滤
包过滤作为一种网络安全保护机制，用于控制在两个不同安全级别的网络之间流入和流出网络的数据。

在防火墙转发数据包时，先检查包头信息（例如包的源地址/目的地址、源端口/目的端口和上层协议等），然后与设定的规则进行比较，根据比较的结果决定对该数据包进行转发还是丢弃处理。

地址转换
NAT（Network Address Translation）是将数据报报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。

在实际应用中，我们可能仅希望某些内部主机（具有私有IP地址）具有访问Internet（外部网络）的权利，而其他内部主机则不允许。

这是通过将ACL和NAT地址池进行关联来实现的，即只有满足ACL条件的数据报文才可以进行地址转换，从而有效地控制地址转换的使用范围。

路由策略是指在发送与接收路由信息时所实施的策略，它能够对路由信息进行过滤。

路由策略有多种过滤方法。

其中，ACL作为它的一个重要过滤器被广泛使用，即用户使用ACL指定一个IP地址或子网的范围，作为匹配路由信息的目的网段地址或下一跳地址
QoS
QoS（Quality of Service）用来评估服务方满足客户需求的能力。

在Internet上保证QoS的有效办法是增加网络层在流量控制和资源分配上的功能，为有不同服务需求的业务提供有区别的服务。

流分类是有区别地进行服务的前提和基础。

实际应用中，首先制定流分类策略（规则），流分类规则既可以使用IP报文头的ToS字段内容来识别不同优先级特征的流量，也可以通过ACL定义流分类的策略。

例如综合源地址/目的地址/MAC 地址、IP协议或应用程序的端口号等信息对流进行分类，然后在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或ACL。

IPSec
IPSec（IP Security）协议族是IETF制定的一系列协议，它通过IP层的加密与数据源验证机制，确保在Internet上参与通信的两个网络节点之间传输的数据包具有私有性、完整性和真实性。

IPSec能够对不同的数据流施加不同的安全保护。

例如防火墙对不同的数据流使用不同的安全协议、算法和密钥。

实际应用中，数据流首先通过ACL来定义，匹配同一个ACL的所有流量在逻辑上作为一个数据流。

然后，通过在安全策略中引用该ACL，从而确保指定的数据流受到保护。

ACL 定义的数据流有很大区别：
1、基本ACL2000～2999仅使用源地址信息定义数据流。

2、高级ACL3000～3999可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型（例如TCP的源端口、目的端口，ICMP协议的类型、消息码等内容）定义规则。

3、基于MAC地址的ACL4000～4099主要用于防火墙工作在透明模式的应用中，此时防火墙能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息与ACL规则进行匹配，从而达到控制二层数据帧的目的。

幻灯片 12
标准访问控制列表，又称为基本访问控制列表。

防火墙对数据包的处理过程中，标准访问控制列表只针对根据数据包的源地址进行识别。

标准访问控制列表中包括规则编号，执行动作和源IP地址。

在防火墙中访问控制列表是使用数字来标识的，其定义和引用也是依靠特定范围的数字来指定。

在华为赛门铁克防火墙的ACL中，标准访问控制列表的范围为2000～2999。

在防火墙中，标准访问控制列表只针对数据流源地址进行匹配，通常应用在仅需要对数据包源地址进行限定的场景。

幻灯片 13
rule 命令用于在高级ACL 中增加或编辑一个规则。

undo rule 命令用于删除一个规则，或者删除规则的部分配置信息。

在删除一条规则时，需要指定规则的编号，如果不知道规则的编号，可以使用命令display acl 来显示。

参数描述：
Rule-id: ACL 的规则编号，取值范围为2000～2999。

Deny: 表示拒绝符合条件的报文。

Permit: 表示允许符合条件的报文。

Source: 指定匹配规则的源IP 地址。

src-address: 报文的源IP 地址，点分十进制格式。

src-wildcard: 源IP 地址通配符，点分十进制格式，与IP 地址掩码含义相反。

Any: 表示匹配任何报文的源IP 地址。

基本ACL（组号范围为2000～2999）,建议在ACL配置完成时,配置description text，配置ACL 描述信息.
192.168.10.0 0.0.0.255表示一个网段192.168.10.1 0表示一个IP
扩展访问控制列表，又称高级访问控制列表。

与标准访问控制列表不同的是，扩展访问控制列表除对数据流源地址限定外，还可以定义数据流的目的地址，协议类型，源/目的端口号等。

扩展访问控制类别是访问控制列表应用范围最广的一类，在华为赛门铁克防火墙的ACL中，扩展访问控制列表的范围为3000～3999。

扩展访问控制列表除使用源地址外，还包括了更多的信息描述对数据流进行匹配。

利用高级ACL可以定义出比基本ACL 更准确、丰富和灵活的规则，高级ACL可以使用数据流的如下信息定义规则：
1. 源地址信息
2. 目的地址信息
3. IP承载的协议类型
4. 源端口号和目的端口号
幻灯片 16
参数描述：
Deny: 表示拒绝符合条件的报文。

Permit: 表示允许符合条件的报文。

Protocol: 用名字或数字表示的IP 承载的协议类型，取值范围为1～255。

用名字表示时，可以选取icmp、igmp、ip、ipinip、ospf、tcp、udp。

Source: 指定匹配规则的源IP 地址。

source-ip-address: 报文的源IP 地址，点分十进制格式。

source-wildcard: 源IP 地址通配符，点分十进制格式，与IP 地址掩码含义相反。

Destination: 指定匹配规则的目的IP 地址。

destination-ip-address: 报文的目的IP 地址，点分十进制格式。

destination-wildcard: 目的IP 地址通配符，点分十进制格式，与IP 地址掩码含义相反。

Any: 表示匹配任何报文的源IP 地址或目的IP 地址。

Precedence:指定匹配规则的报文优先级，取值范围为0～7，或者以名字routine （0）、priority（1）、immediate（2）、flash（3）、flash-override（4）、critical （5）、internet（6）、network（7）表示。

Tos:指定匹配规则的报文服务类型，取值范围为0～15，其中部分类型可用名字normal（0）、min-monetary-cost（1）、max-reliability（2）、max-throughput （4）、min-delay（8）表示。

Time-range: 指定规则生效的时间段。

Time-name: 时间段名称，必须是已配置的时间段。

比较源或者目的地址的端口号的操作符，名字及意义如下：lt（小于），gt（大于），eq（等于）range（在范围内）。

只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。

port1、port2：可选参数。

TCP 或UDP 的端口号，用名字或数字表示，数字的取值范围为0～65535
问题: 下面这条访问控制列表表示什么意思?
rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port greater-than 128
华为赛门铁克防火墙除了可以在路由模式下工作外，还可以工作在透明模式。

在防火墙工作在透明模式时，数据包的转发过程类似于交换机，即：基于源/目的MAC地址转发数据包，因此需要基于MAC地址来定义访问控制列表。

在华为赛门铁克防火墙的ACL中，基于MAC地址的访问控制列表范围为4000～4099。

Type参数描述：
type-code type-wildcard：用来匹配传输报文的协议类型，type-code为一个十六进制数，格式为xxxx。

type-wildcard为协议类型的通配符（掩码）。

lsap lsap-code lsap-wildcard：用来匹配接口上报文的封装格式，lsap-code为一个十六进制数，格式为xxxx。

lsap-wildcard为协议类型的通配符（掩码）
在防火墙的应用中，如果仅使用上面提到的三类访问控制列表是不能满足实际需求的，在USG系列防火墙中对三类访问控制类别进行了补充，定义了基于地址集访问控制列表，基于端口集访问控制列表，基于时间段访问控制列表。

地址集访问控制列表
在访问控制列表分类介绍中我们可以看到，无论是标准访问控制列表还是扩展访问控制列表，在定义源和目的时都是使用反掩码的方式，这样用来定义一个网段就十分方便，但是在实际业务应用中，IP地址的规划一般不是连续的。

在USG5000系列防火墙中，首先定义一个地址集，然后将若干个不冲突的地址元素加入一个地址集中，通过引用该地址集的方式来简化配置。

在扩展访问控制列表中，可以明确源或目的IP的端口号，在扩展访问控制列表中，如果需要对多个不连续端口号进行定义就显得过于繁琐，在这种情况下，端口集就显得不可或缺了。

在USG5000系列防火墙中，首先定义一个端口集，每个定义的端口集只能针对某一种协议，然后将若干个端口号加入一个地址集中，通过引用该端口集的方式来简化配置。

在网络应用中，比较常见的应用是按照时间段开放某些网络应用，例如：上班时间不开放服务器某些端口，上班时间局域网的某些用户不能访问Internet等。

这种特殊的应用前面所介绍的各种访问控制列表类型都无法满足要求，时间段访问控制列表可以精确的限定某个访问控制列表的生效时间，解决了访问控制列表在时间上一刀切的问题。

在定义时间段访问控制列表前，在USG5000系列防火墙中，首先要在防火墙上定义一个时间段。

ACL加速功能
ACL加速查找功能能够显著提高访问控制列表的查找性能。

ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此启动ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。

启动ACL加速查找功能，需要进行如下操作。

1. 执行命令system-view，进入系统视图。

2. 执行命令ACL accelerate enable，使能ACL加速查找功能。

ACL计数器
在USG系列防火墙中增加了ACL匹配次数计数器，当数据包匹配某条ACL后，该ACL计数器加1，通过计数器可以明确的看出某条ACL的匹配测试，便于故障诊断。

例如：
<USG50000>display ACL 2001
17:18:07 2009/07/21
Basic ACL 2001，2 rules，not binding with vpn-instance
ACL's step is 5
rule 0 permit source 10.32.255.0 0.0.0.255 （27 times matched）
rule 10 permit source 192.168.10.0 0.0.0.255 （1 times matched）
从例子中可以看出ACL 2001中规则的匹配情况，给故障诊断提供了依据，具体步骤参考故障诊断。