使用扩展ACL进行包过滤

ACL分类一、教学目标：了解ACL的分类；掌握什么是标准ACL；掌握什么是扩展ACL；二、教学重点、难点：重点掌握标准ACL、扩展ACL原理。

三、教学过程设计：1.ACL分类：通过前面课程的学习我们已经知道了什么是ACL以及ACL的作用。

ACL主要是对通过网络的数据包进行过滤，依据事先设定好的规则决定哪些数据包可以通过网络，哪些数据包是被丢弃的。

我们首先看一看在网络中如何标识标准的和扩展的访问控制列表，标识一个访问控制列表我们可以有2种方式：第一种是使用名称来标识，标准的ACL使用IP standard list来标识，扩展的ACL使用IP extended list来标识；第二种是使用数字来标识，标准的ACL使用数字1-99来标识，扩展的ACL使用100-199来标识。

2.标准ACL：标准的ACL仅仅以源IP地址作为过滤标准，比如禁止原IP地址为192.168.10.1的主机进入该网络，只能粗略的限制某一大类协议，不能做到更精确的限制，例如想限制网络中的某一用户只能访问Web服务器，不能访问网络中的其他业务标准的ACL就无法满足要求。

标准访问控制列表号的范围是从1到99，或1000~1499。

标准ACL在进行包过滤的时候，只检查数据包中的源IP地址，依据源IP 地址决定是否允许该数据包通过。

标准ACL工作的流程。

数据包到了路由器后，首先检查在路由器端口是否存在ACL，如果不存在则不需要进行包过滤，直接转发数据包；如果在路由器端口存在ACL，则检查数据包中的源地址是否和ACL条目中的源地址匹配，如果是匹配的，则根据ACL的应用条件决定对匹配的源地址进行转发或者拒绝。

如果是不匹配的，则检查是否存在更多条目。

需要说明是一般情况下，一个ACL 中存在多个条目，如果源地址和第一条目是匹配的，后面的条目就不再进行检查了。

如果第一个条目不匹配则继续往下检查其他的条目。

系统默认会在最后加一个拒绝所有的条目。

3.扩展ACL：扩展ACL可以过滤的内容就比较丰富了。

ACL配置实验一、实验目的：深入理解包过滤防火墙的工作原理二、实验内容：练习使用Packet Tracer模拟软件配置ACL三、实验要求A.拓扑结构如下图所示，1,2,3是主机，4是服务器1、配置主机，服务器与路由器的IP地址，使网络联通；2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。

使该配置生效，然后再删除该条ACL；3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。

使该配置生效，然后再删除该条ACL；B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)１、配置ACL 限制远程登录（telnet）到路由器的主机。

路由器R0只允许192.168.2.2 远程登录(telnet)。

2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。

3、配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0禁止192.168.2.3 使用dns (53)端口访问192.168.1.03、验证ACL 规则,检验并查看ACL。

四、实验步骤1、配置主机，服务器与路由器的IP地址，使网络联通；PC0 ping PC2PC1 ping 服务器服务器ping PC02、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。

使该配置生效，然后再删除该条ACL；Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2Router(config)#access-list 1 permit anyRouter(config)#int f 0/1Router(config-if)#ip access-group 1 outRouter(config-if)#exitRouter(config)#exitpc1 ping pc2和服务器pc0 ping pc2和服务器,可以ping通删除该条ACLRouter>enRouter#show access-listStandard IP access list 1deny host 192.168.1.2 (8 match(es))permit any (8 match(es))Router#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard softRouter(config-std-nacl)#no access-list 1Router(config)#exitRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#show access-listStandard IP access list softPC1重新ping PC2和服务器，可以ping通3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。

ACL的原理及应用一、 ACL介绍信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL （访问控制列表）可以过滤网络中的流量，控制访问的一种网络技术手段。

实际上，ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量（由大量数据包组成），同时根据策略来“允许”或者“禁止”。

作用：①ACL可以限制网络流量、提高网络性能。

②ACL提供对通信流量的控制手段。

③ACL是提供网络安全访问的基本手段。

④ ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

二、 ACL的分类（基于IP）①标准ACL标准型ACL只能匹配源IP地址，在应用中有三种匹配的方式：1、any，指任意地址2、<net><mask>，指定某个IP网段3、src_range，指定IP的地址范围配置命令：ip access-list standard <name> //标准ACL，name为名字{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>②扩展型ACL扩展型ACL可匹配多个条目，常用的项目有源、目的IP，源、目的端口号，以及ip协议号（种类）等，可以用来满足绝大多数的应用。

在一个条件中，这些项目的前后顺序如下：协议号，源ip地址，源端口号，目的ip地址，目的端口号。

配置命令：ip access-list extended <name>{permit | deny} {ip | icmp | tcp | udp} {any | network | src_range} [src_port] {any | network | src_range} [dst_port]三、 ACL的匹配规则一个端口执行哪条ACL ，这需要按照列表中的条件语句执行顺序来判断。

实验13 ACL包过滤13.1 实验内容与目标完成本实验，您应该能够：●了解访问控制列表的简单工作原理●掌握访问控制列表的基本配置方法●本实验所需之主要设备器材如表13-1所示。

表13-1实验设备列表13.4 实验过程实验任务一：配置基本ACL本实验任务主要是通过在路由器上实施基本ACL来禁止PCA访问本网段外的网络，使学员熟悉基本ACL的配置和作用。

步骤一：建立物理连接按照图13-1进行连接，并检查路由器的软件版本及配置信息，确保路由器软件版本符合要求，所有配置为初始状态。

如果配置不符合要求，请读者在用户模式下擦除设备中的配置文件，然后重启路由器以使系统采用缺省的配置参数进行初始化。

以上步骤可能会用到以下命令：<RTA> display version<RTA> reset saved-configuration<RTA> reboot步骤二：配置IP地址及路由表13-2IP地址列表按表13-2所示在PC上配置IP地址和网关。

配置完成后，在Windows操作系统的【开始】里选择【运行】，在弹出的窗口里输入CMD，然后在【命令提示符】下用ipconfig命令来查看所配置的IP地址和网关是否正确。

按表13-2所示在路由器接口上配置IP地址。

配置RTA：[RTA-GigabitEthernet0/0]ip address 192.168.0.1 24[RTA-Serial6/0]ip address 192.168.1.1 24配置RTB：[RTB-GigabitEthernet0/0]ip address 192.168.2.1 24[RTB-Serial6/0]ip address 192.168.1.2 24学员可自己选择在路由器上配置静态路由或任一种动态路由，来达到全网互通。

例如，我们可以使用RIP协议，其配置如下：配置RTA：[RTA]rip[RTA-rip-1]network 192.168.0.0[RTA-rip-1]network 192.168.1.0配置RTB：[RTB]rip[RTB-rip-1]network 192.168.1.0[RTB-rip-1]network 192.168.2.0配置完成后，请在PCA上通过ping命令来验证PCA与路由器、PCA与PCB之间的可达性。

实验二十七：基本的ACL包过滤一、理论基础基本的ACL包过滤只能根据数据包的源地址进行访问控制。

二、实验案例ACL包过滤的配置1、实验拓扑图：1、配置说明：交换机的管理IP地址：192.168.10.10 子网掩码；255.255.255.0PC1的IP：192.168.10.2 子网掩码；255.255.255.0PC2的IP：192.168.10.3 子网掩码；255.255.255.02、具体配置：[Quidway]acl number 2000 match-order config[Quidway-acl-basic-2000]rule 1 permit source 192.168.10.2 0[Quidway-acl-basic-2000]quit[Quidway]user-interface vty 0 4[Quidway-ui-vty0-4]acl 2000 inbound[Quidway-ui-vty0-4]authentication-mode password[Quidway-ui-vty0-4]user privilege level 3[Quidway-ui-vty0-4]set authentication password simple sunke[Quidway-ui-vty0-4]quit[Quidway]int vlan 1[Quidway-Vlan-interface1]%Apr 2 00:10:15 2000 Quidway L2INF/5/VLANIF LINK STATUS CHANGE: Vlan-interface1: turns into UP state[Quidway-Vlan-interface1]ip address 192.168.10.10 255.255.255.0[Quidway-Vlan-interface1]%Apr 2 00:10:36 2000 Quidway IFNET/5/UPDOWN:Line protocol on the interface Vlan-interface1 turns into UP state[Quidway]dis cursysname Quidwayradius scheme systemserver-type huaweiprimary authentication 127.0.0.1 1645primary accounting 127.0.0.1 1646user-name-format without-domaindomain systemradius-scheme systemaccess-limit disablestate activeidle-cut disableself-service-url disablemessenger time disabledomain default enable systemlocal-server nas-ip 127.0.0.1 key huaweiqueue-scheduler wrr 1 2 4 8acl number 2000rule 1 permit source 192.168.10.2 0vlan 1interface Vlan-interface1ip address 192.168.10.10 255.255.255.0interface Aux0/0interface Ethernet0/1interface Ethernet0/2interface Ethernet0/3interface Ethernet0/4interface Ethernet0/5interface Ethernet0/6interface Ethernet0/7interface Ethernet0/8interface NULL0user-interface aux 0user-interface vty 0 4acl 2000 inbounduser privilege level 3set authentication password simple sunkereturn<Quidway>%Apr 2 00:17:40 2000 Quidway SHELL/5/LOGIN: VTY login from 192.168.10.2三、实验总结没有被设置允许访问的PC2是被拒绝，无法登录上的！只有被设置允许访问的PC1才能登录上！。

标准ACL、扩展ACL和命名ACL的配置详解访问控制列表(ACL)是应⽤在路由器接⼝的指令列表(即规则)。

这些指令列表⽤来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

访问控制列表(ACL)的⼯作原理ACL使⽤包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址，⽬标地址，源端⼝，⽬标端⼝等，根据预先定义好的规则，对包进⾏过滤，从⽽达到访问控制的⽬的。

ACl是⼀组规则的集合，它应⽤在路由器的某个接⼝上。

对路由器接⼝⽽⾔，访问控制列表有两个⽅向。

出：已经过路由器的处理，正离开路由器的数据包。

⼊：已到达路由器接⼝的数据包。

将被路由器处理。

如果对路由器的某接⼝应⽤了ACL，那么路由器对数据包应⽤该组规则进⾏顺序匹配，使⽤匹配即停⽌的，不匹配则使⽤默认规则的⽅式来过滤数据包。

如下图：访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。

扩展访问控制列表：根据数据包的源IP地址，⽬的IP地址，指定协议，端⼝和标志，来允许或拒绝数据包。

扩展访问控制列表的访问控制列表号是100-199配置标准控制列表创建标准ACL的语法如下：Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]下⾯是命令参数的详细说明access-list-number：访问控制列表号，标准ACL取值是1-99。

permit|deny：如果满⾜规则，则允许/拒绝通过。

source：数据包的源地址，可以是主机地址，也可以是⽹络地址。

source-wildcard：通配符掩码，也叫做反码，即⼦⽹掩码去反值。

如：正常⼦⽹掩码255.255.255.0取反则是0.0.0.255。

删除已建⽴的标准ACL语法如下：Router(config)#no access-list access-list-number列如：创建⼀个ACL允许192.168.1.0⽹段的所有主机。

实验报告…………………………………装………………………………订………………….………………线………………………………心 得 体 会3、 根据实验需求分析设计ACL（1）PC1可以访问外网, PC2不可以访问外网。

4、 （2）只有PC1可以管理firewall, 其他的不可以管理firewall 。

5、 （3）pc1可以访问web 服务器的HTTP 服务, 但不可以使用域名访问。

6、 调用ACL7、 测试效果备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实 验 报 告院系: 信息学院 课程名称:防火墙技术 日期: 9-19 班级学号 实验室专业姓名 计算机号 实验名称 包过滤防火墙（二）成绩评定 所用教师签名…………………………………装………………………………订备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实 验 报 告…………………………………备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实验报告…………………………………装………………………………订………………….………………线备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实验报告备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实 验 报 告…………………………………装备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实验报告…………………………………装………………………………订………………….………………线………………………………备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

小型企业局域网中用ACL充当简单的包过滤防火墙【摘要】小型企业局域网中使用ACL作为简单的包过滤防火墙已成为一种常见的做法。

ACL在网络安全中扮演着重要的角色，可以控制数据包的流向，保护企业网络免受恶意攻击。

本文将介绍ACL在小型企业局域网中的应用，包括ACL的配置步骤和规则编写方法。

也会探讨ACL 在网络安全中的重要性，并与传统防火墙进行比较。

本文将总结小型企业局域网中使用ACL的优势，并展望ACL在网络安全中的未来发展。

ACL不仅可以帮助小型企业提升网络安全性，还有望在未来发展中扮演更重要的角色。

ACL技术的不断完善和应用将为网络安全领域带来更多的可能性和机遇。

【关键词】小型企业、局域网、ACL、包过滤、防火墙、配置、规则、网络安全、优势、展望、发展、比较、重要性、未来、应用1. 引言1.1 介绍小型企业局域网小型企业局域网是指在企业范围内建立的一种小型网络，用于内部通信和资源共享。

相比于大型企业局域网或互联网，小型企业局域网规模较小，但功能也相对简单，通常包括几十台甚至几百台计算机，连接到一个或多个交换机或路由器上。

在小型企业局域网中，ACL可以在路由器或交换机上配置，根据规则过滤进出网络的数据包。

管理员可以根据需要编写ACL规则，限制特定IP地址、端口或协议的流量，实现对网络访问的控制和管理。

ACL的灵活性和简便操作使其成为小型企业网络管理的理想选择。

1.2 ACL的定义和作用ACL，全称为访问控制列表（Access Control List），是一种用于控制数据包流动的网络安全技术。

ACL通常被用于路由器、交换机等网络设备上，通过设定规则来允许或者拒绝数据包的传输。

ACL可以充当简单的包过滤防火墙，帮助网络管理员对网络流量进行控制和管理。

1. 数据包过滤：ACL可以根据设定的规则对数据包进行过滤，例如根据源IP地址、目的IP地址、端口号等进行过滤，从而实现对特定流量的限制或允许。

2. 网络安全：ACL可以帮助网络管理员对恶意流量进行阻止，从而提高网络的安全性。

第9章ACL随着大规模开施工网络的开发，网络面临的威胁也就越来越多。

网络安全问题成为网络管理员最为头病的问题。

一方面，为了业务的发展，必须允许对网络资源的开发访问；另一方面，又必须确保数据和资源的尽可能安全。

网络安全采用的技术很多，而通过访问控制列表（ACL）可以对数据流进行过滤，是实现基本的网络手段之一。

本章只研究基于IP的ACL。

9.1 ACL概述访问控制列表简称为ACL，它使用包过滤技术，在路由器上读取第3层及第4层包头中的信息，如源地址、目的地址、源端口和目的端口等，根据预告定义好的规则对包进行过滤从而达到访问控制的目的。

ACL分很多种，不同场合应用不同种类的ACL。

1.标准ACL标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1~99或1 300~ 1999 。

2.扩展ACL扩展ACL比标准ACL具有更多的匹配项，功能更加强大和细化，可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP连接建立等进行过滤，表号范围100~199或2 000~ 2699 。

3.命名ACL以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。

在访问控制列表的学习中，要特别注意以下两个术语。

①通配符掩码：一个32比特位的数字字符串，它规定了当一个IOP地址与其他的IP地址进行比较时，该IP地址中哪些位应该被忽略。

通配符掩码中的”1”表示忽略IP地址中对应的位，而”0”则表示该位必须匹配。

两种特殊的通配符掩码是”255.255.255.255”和”0.0.0.0”，前者等价于关键字”any”，而后者等价于关键字”host”。

②Inbound和Outbound：当在接口上应用访问控制列表时，用户要指明访问控制列表是应用于流入数据，还是流出数据。

总之，ACL的应用非常广泛，它可以实现如下的功能：①拒绝或允许流入（或流出）的数据流通过特定的接口；为DDR应用定义感兴趣的数据流；②过滤路由更新的内容；③控制对虚拟终端的访问；④提供流量控制。

H3C通过二层ACL实现报文过滤（包过滤方式）1.7 通过二层ACL实现报文过滤典型配置指导（包过滤方式）二层 ACL 根据报文的源MAC地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定匹配规则，对报文进行相应的分析处理。

二层 ACL 的序号取值范围为 4000～4999。

1.7.1 组网图图1-7 配置二层 ACL 组网图1.7.2 应用要求研发部和管理部中均部署了网络视频设备，这些视频设备的 MAC 地址为000f-e2xx-xxxx，现要求限制这些设备仅有每天的 8:30 到 18:00 才能够向外网发送数据。

1.7.3 配置思路在受限设备的 IP 地址不定时，可以通过 MAC 地址来进行匹配；而对于具有相同 MAC 地址前缀的多台设备，也可以通过 MAC 地址掩码的方式来进行同时匹配。

在本例中，只需要通过 MAC 地址掩码来匹配前缀为 000f-e2 的设备，即可限制所有视频设备的数据发送。

相对于匹配源 IP 地址的方式，匹配 MAC 地址显得更为简单和准确。

与 QoS 策略方式不同，包过滤方式只需要在 packet-filter 命令中引用 ACL 编号，就可以根据 ACL规则对报文进行拒绝或允许通过的动作，省去流行为、流分类的制定和关联。

1.7.4 适用产品、版本表1-7 配置适用的产品与软件版本关系1.7.5 配置过程和解释# 定两个周期时间段 time1 和 time2，时间范围分别为每天的 0:00～8:30 和18:00～24:00。

<Switch> system-view[Switch] time-range time1 0:00 to 8:30 daily[Switch] time-range time1 18:00 to 24:00 daily# 创建二层 ACL 4000，并定义两条规则，分别为在 time1 和 time2 时间段内拒绝源 MAC 地址前缀为 000f-e2 的所有报文通过。

ACL随着大规模开放式网络的开发，网络面临的威胁也就越来越多。

网络安全问题成为网络管理员最为头疼的问题。

一方面，为了业务的发展，必须允许对网络资源的开发访问，另一方面，又必须确保数据和资源的尽可能安全。

网络安全采用的技术很多，而通过访问控制列表（ACL）可以对数据流进行过滤，是实现基本的网络安全手段之一。

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL分很多种，不同场合应用不同种类的ACL，包括：标准ACL；扩展ACL；命名ACL。

1 标准ACL实验拓扑如图15-1所示。

本实验拒绝172.16.1.1所在网段路由器R2,同时只允许主机172.16.3.3访问路由器R2 的TELNET服务。

图13-1 标准ACL 配置下面在整个网络配置EIGRP来保证IP的连通性。

（1）配置路由器R1R1(config)#router eigrp 1R1(config-router)#network 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto-summary（2）配置路由器R2R2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config-router)#no auto-summary（3）配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0R3(config-router)#no auto-summary（4）测试整个网络的连通性R1# ping 172.16.3.3 source lo0R1# ping 2.2.2.2 source 172.16.1.1R3# ping 10.1.1.1 source 172.16.3.3R3# ping 172.16.1.1 source 172.16.3.3此时，网络应该达到全联通的状态。

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

基于ACL的包过滤防火墙实验教学设计与实现作者：严峻黄瑞来源：《中国教育信息化·基础教育》2014年第07期摘要：基于ACL（Access Control List，访问控制列表）的包过滤防火墙是将制定出的不同区域间访问控制策略部署在路由器端口处过滤进出数据包，达到对访问进行控制，维护网络安全的目的。

文章在模拟组建互联网环境基础上，根据常见网络安全业务需求，以华为R1760路由器ACL配置及部署为例，对基于ACL的包过滤防火墙实验设计、部署及结果进行了详尽描述。

关键词：ACL；包过滤；防火墙中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2014）14-0073-04一、引言对于局域网的保护，防火墙技术是一种行之有效的和广泛使用的安全技术，根据防火墙所采用的技术不同，主要分为包过滤型、应用代理型和监测型。

其中包过滤作为最早发展起来的一种技术，通过对流经路由器的所有数据包逐个检查，查看源、目的IP地址、端口号以及协议类型（UDP/TCP）等，并依据所制定的ACL来决定数据包是通过还是不通过，进而可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。

由于包过滤防火墙技术大多是在网络层和传输层实现，处理速度快，对应用透明，简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全，应用非常广泛。

因此，作为计算机网络安全实验教学的一个重要环节——基于ACL的包过滤防火墙实验设计，对提高学生深刻理解包过滤防火墙工作原理、ACL类别及规则设计、策略部署位置及方向选择知识，掌握利用ACL对路由器端口进行数据包过滤，维护局域网安全具有重要作用。

二、基于ACL的包过滤防火墙实验设计1.基于ACL的包过滤防火墙工作原理ACL是为了保证内网的安全性，根据具体安全需求设定安全策略，并将其部署在路由器的接口上，通过匹配数据包信息与访问表参数，来决定允许数据包通过还是拒绝数据包通过某个接口来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

ACL包过滤防火墙技术（二）之前的技术帖我们给大家介绍了基于基本的ACL的包过滤防火墙功能，今天的技术帖我们给大家介绍基于高级的ACL的包过滤防火墙功能。

鉴于我们的华三模拟器pc没有telnet功能，所以我们把拓扑图做一些改动！小知识点：如何用路由器充当pc。

1. 先给路由器接口配置ip地址和掩码；2. 在路由器上配置默认路由指向网关（相当于给pc配置网关地址）。

sys[H3C]sysnamepc1[pc1]intg 0/0[pc1-GigabitEthernet0/0]ipadd 192.168.1.1 24[pc1-GigabitEthernet0/0]quit[pc1]iproute-static 0.0.0.0 0.0.0.0 192.168.1.254[pc1]先在R1上配置T elnet功能,使pc1可以正常远程telnet到R1。

我们这边配置一个最简单的无需密码登录！验证：题目要求：希望PC1可以和路由器进行正常的数据通信，但拒绝pc的Telnet访问R1.（分析：针对pc1，只有Telnet流量被禁止，其它流量要被放行，标准acl无法实现同一个用户，部分流量被限制的功能，所以这里只能用高级acl）命令解析：包过滤防火墙的默认规则是permit，所有允许通过的规则不需要单独设置[R1]acl advanced 3000 ----创建一个高级acl 3000[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255destination192.168.2.100 0.0.0.0 destination-porteq 23-----设置拒绝192.168.1.0网段去192.168.2.100的Telnet访问[R1-acl-ipv4-adv-3000]rule deny tcp source192.168.1.0 0.0.0.255 destination192.168.1.254 0.0.0.0 destination-port eq 23-----设置拒绝192.168.1.0网段去192.168.1.254的Telnet访问[R1-acl-ipv4-adv-3000]quit[R1]int g 0/0[R1-GigabitEthernet0/0]packet-filter 3000inbound ---接口下应用高级acl 3000[R1-GigabitEthernet0/0]高级acl的配置命令：acl advanced 3000 – 3999rule permit/deny +协议+source +源网段+通配符+destination +目的网段+通配符 +destination-port eq +端口号测试：可以ping通，但无法Telnet，另一个地址也是类似的效果。

ACL包过滤技术⼀、ACL基本概念 1、ACL 全称：Access Control List 2、ACL是⼀种包过滤技术。

3、APL是基于IP包头的IP地址、四层TCP/UDP头部的端⼝号、[五层数据]。

（基于三层和四层顾虑） 4、ACL在路由器上配置，也可以在防⽕墙上配置（防⽕墙上⼀般称为策略）。

⼆、ACL分类： ACL主要分为标准ACL 和扩展ACL 1、标准ACL： 表号：1 — 99 特点：只能基于源IP对包进⾏过滤。

2、扩展ACL： 表号：100 — 199 特点：可以基于源IP、⽬标IP、端⼝号、协议等对包进⾏过滤。

三、ACL原理： 1、ACL表必须应⽤到接⼝的进或出⽅向才能⽣效； 2、⼀个接⼝的⼀个⽅向只能应⽤⼀张表； 3、进还是出⽅向应⽤？取决于流量控制的总⽅向； 4、ACL表是严格⾃上⽽下检查每⼀条，所以要注意书写顺序； 5、每⼀条是由条件和动作组成的，当流量完全满⾜条件时，执⾏动作，当某流量没有满⾜某条件时，则继续检查下⼀条； 6、标准ACL尽量写在靠近⽬标的地⽅　经验总结： 1）做流量控制，⾸先要先判断ACL写的位置（哪个路由器？哪个接⼝的那个⽅向?）； 2）再考虑怎么写ACL； 3）如何写？ ⾸先要判断最终要允许所有还是拒绝所有； 然后写的时候要注意：将严格地控制写在前⾯；　⼀般情况下，标准或扩展ACL⼀旦编写好，⽆法修改某⼀条，也⽆法删除某⼀条，也⽆法修改顺序，也⽆法往中间插⼊新的条⽬，只能⼀直在最后添加新的条⽬，如果修改或插⼊或删除，只能删除整张表重新写。

删除表的命令： config terminal no access-list 表号删除某张表四、命令： 1、标准ACL： config terminal access-list 表号 permit/deny 源IP或源⽹段反⼦⽹掩码 注释：反⼦⽹掩码：将正⼦⽹掩码的0和1倒置。

如：255.0.0.0 --> 0.255.255.255 发⼦⽹掩码的作⽤：⽤来匹配条件，与0对应的需要严格匹配，与1对应的忽略！ 例如：access-list 1 deny 10.0.0.0 0.255.255.255 该条⽬⽤来拒绝所有源IP为10开头的。

《网络系统集成实训》指导书
4-1-2 MAC扩展访问控制列表的配置
【实训目的】
1．了解MAC扩展访问列表的配置
2．掌握MAC扩展访问控制列表的语句规则
3. 掌握MAC扩展访问控制列表的具体配置方法
【参考资料】
1．高峡,陈智罡,袁宗福. 网络设备互连学习指南, 科学出版社,2009
2．高峡,钟啸剑,李永俊. 网络设备互连实验指南, 科学出版社,2009
3．VLAN学习指南
4．锐捷S3550配置手册
【实训内容】
MAC扩展访问控制列表可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤，根据设定的规则，允许或拒绝数据包通过。

MAC扩展访问控制列表用编号或名字进行标识，可使用的编号是700~799。

【实训任务】
1．完成《设备调试与网络优化》中的实验21
2．上面实验中使用的交换机不支持out方向的MAC ACL，请在实验中研究实际的交换机，看其是否支持out方向，如支持，考虑应该怎样设计ACL，将ACL应用在哪个端口上？。