所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL的常用配置原则

ACL的常用配置原则

配置ACL规则时,可以遵循以下原则:

  1. 如果配置的ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因命中宽松条件的规则而停止往下继续匹配,从而使其无法命中严格条件的规则。

  2. 根据各业务模块ACL默认动作(请参见ACL应用模块的ACL默认动作和处理机制)的不同,ACL的配置原则也不同。例如,在默认动作为permit的业务模块中,如果只希望deny部分IP地址的报文,只需配置具体IP地址的deny规则,结尾无需添加任意IP地址的permit规则;而默认动作为deny的业务模块恰与其相反。详细的ACL常用配置原则,如表1-14所示。

    说明:

    以下rule的表达方式仅是示意形式,实际配置方法请参考各类ACL规则的命令行格式。

    • rule permit xxx/rule permit xxxx:表示允许指定的报文通过,xxx/xxxx表示指定报文的标识,可以是源IP地址、源MAC地址、生效时间段等。xxxx表示的范围与xxx表示的范围是包含关系,例如xxx是某一个IP地址,xxxx可以是该IP地址所在的网段地址或any(表示任意IP地址);再如xxx是周六的某一个时段,xxxx可以是双休日全天时间或一周七天全部时间。

    • rule deny xxx/rule deny xxxx:表示拒绝指定的报文通过。

    • rule permit:表示允许所有报文通过。

    • rule deny:表示拒绝所有报文通过。

    表1-14  ACL的常用配置原则

    业务模块的ACL默认动作

    permit所有报文

    deny所有报文

    permit少部分报文,deny大部分报文

    deny少部分报文,permit大部分报文

    permit

    无需应用ACL

    配置rule deny

    需先配置rule permit xxx,再配置rule deny xxxxrule deny

    说明:

    以上原则适用于报文过滤的情形。当ACL应用于流策略中进行流量监管或者流量统计时,如果仅希望对指定的报文进行限速或统计,则只需配置rule permit xxx

    只需配置rule deny xxx,无需再配置rule permit xxxxrule permit

    说明:

    如果配置rule permit并在流策略中应用ACL,且该流策略的流行为behavior配置为deny,则设备会拒绝所有报文通过,导致全部业务中断。

    deny

    • 路由和组播模块:需配置rule permit
    • 其他模块:无需应用ACL
    • 路由和组播模块:无需应用ACL
    • 其他模块:需配置rule deny

    只需配置rule permit xxx,无需再配置rule deny xxxxrule deny

    需先配置rule deny xxx,再配置rule permit xxxxrule permit

    举例:

    • 例1:在流策略中应用ACL,使设备对192.168.1.0/24网段的报文进行过滤,拒绝192.168.1.2和192.168.1.3主机地址的报文通过,允许192.168.1.0/24网段的其他地址的报文通过。

      流策略的ACL默认动作为permit,该例属于“deny少部分报文,permit大部分报文”的情况,所以只需配置rule deny xxx

      #
      acl number 2000
       rule 5 deny source 192.168.1.2 0
       rule 10 deny source 192.168.1.3 0
      #
    • 例2:在流策略中应用ACL,使设备对192.168.1.0/24网段的报文进行过滤,允许192.168.1.2和192.168.1.3主机地址的报文通过,拒绝192.168.1.0/24网段的其他地址的报文通过。

      流策略的ACL默认动作为permit,该例属于“permit少部分报文,deny大部分报文”的情况,所以需先配置rule permit xxx,再配置rule deny xxxx

      #
      acl number 2000
       rule 5 permit source 192.168.1.2 0
       rule 10 permit source 192.168.1.3 0
       rule 15 deny source 192.168.1.0 0.0.0.255
      #
    • 例3:在Telnet中应用ACL,仅允许管理员主机(IP地址为172.16.105.2)能够Telnet登录设备,其他用户不允许Telnet登录。

      Telnet的ACL默认动作为deny,该例属于“permit少部分报文,deny大部分报文”的情况,所以只需配置rule permit xxx

      #
      acl number 2000
       rule 5 permit source 172.16.105.2 0
      #
      
    • 例4:在Telnet中应用ACL,不允许某两台主机(IP地址为172.16.105.3和172.16.105.4)Telnet登录设备,其他用户均允许Telnet登录。

      Telnet的ACL默认动作为deny,该例属于“deny少部分报文,permit大部分报文”的情况,所以需先配置rule deny xxx,再配置rule permit

      #
      acl number 2000
       rule 5 deny source 172.16.105.3 0
       rule 10 deny source 172.16.105.4 0
       rule 15 permit
      #
      
    • 例5:在FTP中应用ACL,不允许用户在周六的00:00~8:00期间访问FTP服务器,允许用户在其他任意时间访问FTP服务器。

      FTP的ACL默认动作为deny,该例属于“deny少部分报文,permit大部分报文”的情况,所以需先配置rule deny xxx,再配置rule permit xxxx

      #
      time-range t1 00:00 to 08:00 Sat
      time-range t2 00:00 to 23:59 daily
      #
      acl number 2000
       rule 5 deny time-range t1
       rule 10 permit time-range t2
      #
      
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32553

下载量:939

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页