由于ACL参数设置不正确导致ACL访问控制策略不生效

发布时间:  2015-07-22 浏览次数:  902 下载次数:  0
问题描述
如图所示,Router作为某企业出口,配置防火墙功能限制Internet上主机访问企业内部服务器。在Router上配置NAT功能使内部服务器对外使用的IP地址为1.1.2.2。

ACL访问控制策略不生效案例组网图:




相关配置文件如下:

#
nat static protocol tcp global ip 1.1.2.2 inside ip 10.26.103.70   //配置从内部地址10.26.103.70到外部地址1.1.2.2的一对一转换
#
acl number 3000   //配置规则禁止PC机1.1.1.1向1.1.2.2地址发送IP报文
rule 1 deny ip source 1.1.1.1 0 destination 1.1.2.2 0
rule 2 permit ip
#
interface Ethernet0/0/1
ip address 1.1.2.1 255.255.255.224
#
firewall enable
packet-filter 3000 inbound    //对入方向的报文进行过滤
但是配置ACL后策略不生效,PC依然能够访问内部服务器。
告警信息

处理过程
ACL策略不生效主要涉及两方面原因,一是防火墙的配置,二是ACL的配置。

1. 检查防火墙的功能是否开启。

在配置文件里看到firewall enable,执行命令display firewall zone查看指定安全区域的配置信息,可以查看到域的信息。因此确认防火墙已经开启,排除防火墙的原因。

2. 检查ACL的rule规则配置是否正确。

从Router的配置文件中可知,rule规则配置的是禁止从PC机到外部地址1.1.2.2的IP报文传输,但是由于在Router上配置了NAT功能,已经将内网地址与外网地址进行了转换,即PC机访问的地址已经变更为10.26.103.70,所以rule规则应该配置的是禁止PC机到10.26.103.70的IP报文传输。所以现修改ACL的规则如下:

#
acl number 3000
rule 1 deny ip source 1.1.1.1 0 destination 10.26.103.70 0
rule 2 permit ip
#

修改配置后,PC机无法访问内部服务器。

问题得到确认,就是ACL的rule规则配置问题,导致防火墙的包过滤功能未生效。
根因

AR路由器设备上配置NAT和防火墙时,在流量入方向设备的NAT功能先生效,防火墙功能后生效。在配置ACL规则时,目的地址应该配置为通过NAT功能转换后的内网服器地址,如果仍配置为转换前的目的地址1.1.2.2,则ACL的访问控制策略无效。

建议与总结

AR路由器设备上,同时配置防火墙和NAT时,应该注意配置的生效顺序:

流量入方向:NAT功能先生效,防火墙配置后生效。

流量出方向:防火墙配置先生效,NAT功能后生效。

END