所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL应用模块的ACL默认动作和处理机制

ACL应用模块的ACL默认动作和处理机制

ACL的应用模块

配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。

最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。

表1-10所示,ACL应用的业务模块,主要分为以下几类。

表1-10  ACL应用的业务模块
业务分类 应用场景 涉及业务模块

对转发的报文进行过滤

基于全局、接口和VLAN,对转发的报文进行过滤,从而使设备能够进一步对过滤出的报文进行丢弃、修改优先级、重定向等处理。

例如,可以利用ACL,降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级,在网络拥塞时优先丢弃这类流量,减少它们对其他重要流量的影响。

简化流策略/流策略

对上送CPU处理的报文进行过滤

对上送CPU的报文进行必要的限制,可以避免CPU处理过多的协议报文造成占用率过高、性能下降。

例如,当发现某用户向设备发送大量的ARP攻击报文,造成设备CPU繁忙,引发系统中断时,可以在本机防攻击策略的黑名单中应用ACL,将该用户加入黑名单,使CPU丢弃该用户发送的报文。

黑名单

登录控制

对设备的登录权限进行控制,允许合法用户登录,拒绝非法用户登录,从而有效防止未经授权用户的非法接入,保证网络安全性。

例如,一般情况下设备只允许管理员登录,非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL,并在ACL中定义哪些主机可以登录,哪些主机不能。

Telnet、STelnet、FTP、SFTP、HTTP、SNMP

路由过滤

ACL可以应用在各种动态路由协议中,对路由协议发布、接收的路由信息以及组播组进行过滤。

例如,可以将ACL和路由策略配合使用,禁止设备将某网段路由发给邻居路由器。

BGP、IS-IS、OSPF、OSPFv3、RIP、RIPng、组播协议

应用模块的ACL默认动作和处理机制

在各类业务模块中应用ACL时,ACL的默认动作各有不同,所以各业务模块对命中/未命中ACL规则报文的处理机制也各不相同。

例如,流策略中的ACL默认动作是permit,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过。而Telnet中的ACL默认动作是deny,在Telnet中应用ACL时,如果遇到此种情况,该报文会被拒绝通过。

此外,黑名单模块中的ACL处理机制与其他模块有所不同。在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃。

各类业务模块中的ACL默认动作及ACL处理机制,如表1-11表1-12表1-13所示。

表1-11  各业务模块的ACL默认动作及ACL处理机制

ACL默认动作及处理规则

Telnet

STelnet

HTTP

FTP

TFTP

ACL默认动作

deny

deny

deny

deny

deny

命中permit规则

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

命中deny规则

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

ACL中配置了规则,但未命中任何规则

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

ACL中未配置规则

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

ACL未创建

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

表1-12  各业务模块的ACL默认动作及ACL处理机制

ACL默认动作及处理规则

SFTP

SNMP

流策略

简化流策略

本机防攻击策略(黑名单)

ACL默认动作

deny

deny

permit

permit

permit

命中permit规则

permit(允许登录)

permit(允许登录)

  • 流行为是permit时:permit(允许通过)

  • 流行为是deny时:deny(丢弃报文)

  • 流行为是其他动作时:permit(执行流策略动作)

permit(执行简化流策略动作)

deny(丢弃报文)

命中deny规则

deny(拒绝登录)

deny(拒绝登录)

deny(丢弃报文)
说明:

报文命中deny规则时,只有在流行为是流量统计、MAC地址不学习或流镜像的情况下,设备才会执行流行为动作,否则流行为动作不生效。

  • 简化流策略动作为报文过滤(traffic-filter或traffic-secure)时:deny(丢弃报文)

  • 简化流策略动作为其他动作时:permit(执行简化流策略动作)

deny(丢弃报文)

ACL中配置了规则,但未命中任何规则

deny(拒绝登录)

deny(拒绝登录)

permit(功能不生效,按照原转发方式进行转发)

permit(功能不生效,按照原转发方式进行转发)

permit(功能不生效,正常上送报文)

ACL中未配置规则

permit(允许登录)

permit(允许登录)

permit(功能不生效,按照原转发方式进行转发)

permit(功能不生效,按照原转发方式进行转发)

permit(功能不生效,正常上送报文)

ACL未创建

permit(允许登录)

permit(允许登录)

permit(功能不生效,按照原转发方式进行转发)

permit(功能不生效,按照原转发方式进行转发)

permit(功能不生效,正常上送报文)

表1-13  各业务模块的ACL默认动作及ACL处理机制

ACL默认动作及处理规则

Route Policy

Filter Policy

igmp-snooping ssm-policy

igmp-snooping group-policy

ACL默认动作

deny

deny

deny

  • 配置了default-permit时:permit

  • 未配置default-permit时:deny

命中permit规则

  • 匹配模式是permit时:permit(允许执行路由策略)

  • 匹配模式是deny时:deny(不允许执行路由策略)

permit(允许发布或接收该路由)

permit(允许加入SSM组播组范围)

  • 配置了default-permit时:permit(允许加入组播组)

  • 未配置default-permit时:permit(允许加入组播组)

命中deny规则

deny(功能不生效,不允许执行路由策略)

deny(不允许发布或接收该路由)

deny(禁止加入SSM组地址范围)

  • 配置了default-permit时:deny(禁止加入组播组)

  • 未配置default-permit时:deny(禁止加入组播组)

ACL中配置了规则,但未命中任何规则

deny(功能不生效,不允许执行路由策略)

deny(不允许发布或接收该路由)

deny(禁止加入SSM组地址范围)

  • 配置了default-permit时:permit(允许加入组播组)

  • 未配置default-permit时:deny(禁止加入组播组)

ACL中未配置规则

permit(对经过的所有路由生效)

deny(不允许发布或接收路由)

deny(禁止加入SSM组地址范围,所有组都不在SSM组地址范围内)

  • 配置了default-permit时:permit(允许加入组播组)

  • 未配置default-permit时:deny(禁止加入组播组)

ACL未创建

deny(功能不生效,不允许执行路由策略)

permit(允许发布或接收路由)

deny(禁止加入SSM组地址范围,只有临时组地址范围232.0.0.0~232.255.255.255在SSM组地址范围内)

  • 配置了default-permit时:permit(允许加入组播组)

  • 未配置default-permit时:deny(禁止加入组播组)

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32336

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页