所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置高级ACL

配置高级ACL

前提条件

如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见(可选)配置ACL的生效时间段

背景信息

高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。

高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 创建高级ACL。可使用编号或者名称两种方式创建。

    • 执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号(3000~3999)创建一个数字型的高级ACL,并进入高级ACL视图。

    • 执行命令acl name acl-name { advance | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的高级ACL,进入高级ACL视图。

    缺省情况下,未创建ACL。

    关于数字型ACL和命名型ACL的详细介绍,请参见ACL的分类

    如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见ACL的匹配顺序

    创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见ACL的步长设定;关于步长调整的具体操作,请参见调整ACL规则的步长

    如果要删除已生效的ACL,可参见“配置基本ACL”中的删除ACL,此处不再赘述。

  3. (可选)执行命令description text,配置ACL的描述信息。

    缺省情况下,未配置ACL的描述信息。

    配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。

  4. 配置高级ACL规则。

    根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。

    • 当参数protocol为ICMP时,高级ACL的命令格式为:

      rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    • 当参数protocol为TCP时,高级ACL的命令格式为:

      rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    • 当参数protocol为UDP时,高级ACL的命令格式为:

      rule [ rule-id ] { deny | permit } { protocol-number | udp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    • 当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,高级ACL的命令格式为:

      rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    说明:
    • S1720GFR-TP、S2750、S5700LI、S5700S-LI不支持tos参数。
    • S5720EI、S6720S-EI和S6720EI支持ttl-expired
    • S5720EI、S5720HI、S5720I-SI、S5720S-SI、S5720SI、S5730HI、S5730S-EI、S5730SI、S6720EI、S6720HI、S6720S-EI、S6720S-SI和S6720SI应用为软件ACL时才支持vpn-instance参数。软件ACL的应用场景请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全》 ACL配置 - ACL的基本原理中的“ACL的实现方式”。

    • S5720EI、S5720HI、S5730HI、S6720EI、S6720HI和S6720S-EI支持first-fragment

    以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。

    关于生效时间段、IP承载的协议类型、源/目的IP地址及其通配符掩码、TCP/UDP端口号、TCP标志信息和IP分片信息的详细介绍,请参见ACL的常用匹配项。详细的规则配置示例,请参见配置高级ACL规则

  5. (可选)执行命令rule rule-id description description,配置ACL规则的描述信息。

    缺省情况下,各规则没有描述信息。

    配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。

    设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。

配置小窍门

配置高级ACL规则
  • 配置基于ICMP协议类型、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则

    在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。
    <HUAWEI> system-view
    [HUAWEI] acl 3001
    [HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
    
  • 配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则

    在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。
    <HUAWEI> system-view
    [HUAWEI] acl name deny-telnet
    [HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255 
    在名称为no-web的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web access restrictions。
    <HUAWEI> system-view
    [HUAWEI] acl name no-web
    [HUAWEI-acl-adv-no-web] description Web access restrictions
    [HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
    [HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0
    
  • 配置基于TCP协议类型、源IP地址(网段地址)和TCP标志信息过滤报文的规则

    在ACL 3002中配置规则,拒绝192.168.2.0/24网段的主机主动发起的TCP握手报文通过,允许该网段主机被动响应TCP握手的报文通过,实现192.168.2.0/24网段地址的单向访问控制。同时,配置ACL规则描述信息分别为Allow the ACK TCP packets through、Allow the RST TCP packets through和Do not Allow the other TCP packet through。

    完成以上配置,必须先配置两条permit规则,允许192.168.2.0/24网段的ACK=1或RST=1的报文通过,再配置一条deny规则,拒绝该网段的其他TCP报文通过。
    <HUAWEI> system-view
    [HUAWEI] acl 3002
    [HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
    [HUAWEI-acl-adv-3002] display this   //如果配置规则时未指定规则编号,则可以通过此步骤查看到系统为该规则分配的编号,然后根据该编号,为该规则配置描述信息。
    #                                                                               
    acl number 3002                                                                 
     rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack           //系统分配的规则编号是5      
    #                                                                               
    return 
    [HUAWEI-acl-adv-3002] rule 5 description Allow the ACK TCP packets through
    [HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
    [HUAWEI-acl-adv-3002] display this
    #                                                                               
    acl number 3002                                                                 
     rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack                 
     rule 5 description Allow the ACK TCP packets through                 
     rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst       //系统分配的规则编号是10          
    #                                                                               
    return   
    [HUAWEI-acl-adv-3002] rule 10 description Allow the RST TCP packets through
    [HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
    [HUAWEI-acl-adv-3002] display this
    #                                                                               
    acl number 3002                                                                 
     rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack                 
     rule 5 description Allow the ACK TCP packets through                 
     rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst                
     rule 10 description Allow the RST TCP packets through                
     rule 15 deny tcp source 192.168.2.0 0.0.0.255       //系统分配的规则编号是15   
    #                                                                               
    return   
    [HUAWEI-acl-adv-3002] rule 15 description Do not Allow the other TCP packet through
    
    也可以通过配置established参数,允许192.168.2.0/24网段的ACK=1或RST=1的报文通过,再配置一条deny规则,拒绝该网段的其他TCP报文通过。
    <HUAWEI> system-view
    [HUAWEI] acl 3002
    [HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
    [HUAWEI-acl-adv-3002] rule 5 description Allow the Established TCP packets through
    [HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
    [HUAWEI-acl-adv-3002] rule 10 description Do not Allow the other TCP packet through
    [HUAWEI-acl-adv-3002] display this
    #                                                                                                                                   
    acl number 3002                                                                                                                     
     rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established                                                                
     rule 5 description Allow the Established TCP packets through                                                                       
     rule 10 deny tcp source 192.168.2.0 0.0.0.255                                                                                      
     rule 10 description Do not Allow the other TCP packet through                                                                      
    #                                                                                                                                   
    return
    
  • 配置基于时间的ACL规则

    请参见“配置基本ACL”中的配置基于时间的ACL规则,不再赘述。

  • 配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则

    请参见“配置基本ACL”中的配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则,不再赘述。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32471

下载量:938

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页