ACL访问控制与AR系列路由器防火墙特性-Toy模板网

这篇具有很好参考价值的文章主要介绍了ACL访问控制与AR系列路由器防火墙特性。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

文章目录

- 概要
- 整体架构流程
- 技术名词解释
- 技术细节

概要

基于华为AR系列路由器的防火墙特性并结合ACL技术实现流量灵活放行。

整体架构流程

以路由器和交换机各一台为核心构建简单企业网络，实现各部门与FTP-Server/WEB-Server的信息访问控制

技术名词解释

ACL：即access control list,功能时对经过网络设备的报文进行过滤处理。由permit和deny语句组成的有序规则集合，首先通过报文匹配过程来实现对报文的识别分类，而后根据报文分类信息和相关执行动作来判断是否放行报文。
基本ACL：根据源IP地址、报文分片标记以及时间段信息来定义规则。范围：ACL2000-2999.
高级ACL：根据源/目IP地址、TCP源/目端口号、UDP源/目端口号、协议号、报文优先级、报文大小以及时间段等信息来定义规则。范围：3000-3999.
域间防火墙功能：AR系列路由器可通过配置域间防火墙功能对区域间流量进行安全隔离和控制。

技术细节

ACL访问控制与AR系列路由器防火墙特性,ar

在上图中，存在HR、SALES、IT三个部门终端，FTP-Server 和 WEB-Server为服务器，现需要AR路由器对部门间的互访以及用户及服务器的访问进行控制。

设备	接口	IP地址	掩码	网关
AR1	GE 0/0/0	172.16.1.254	255.255.255.0
	GE 0/0/1	172.16.2.254	255.255.255.0
	GE 0/0/2	172.16.3.254	255.255.255.0
	Ethernet 4/0/0	192.168.1.254	255.255.255.0
LSW1	Vlanif 1	192.168.1.1	255.255.255.0
PC1	Ethernet 0/0/1	172.16.1.1	255.255.255.0	172.16.1.254
Client1	Ethernet 0/0/0	172.16.2.1	255.255.255.0	172.16.2.254
client2	Ethernet 0/0/0	172.16.3.1	255.255.255.0	172.16.3.254
FTP-Server	Ethernet 0/0/0	192.168.1.10	255.255.255.0	192.168.1.254
WEB-Server	Ethernet 0/0/0	192.168.1.30	255.255.255.0	192.168.1.254

1、基础网络配置完成后，为各部门创建安全区域，AR系列路由器默认可以设置16种安全级别（0——15，其中15保留给local区域使用）,并将各接口加入相应安全域。

[R1]firewall zone HR
[R1-zone-HR]priority 10
[R1-zone-HR]firewall zone SALES
[R1-zone-SALES]priority 12
[R1-zone-SALES]firewall zone IT
[R1-zone-IT]priority 8
[R1-zone-IT]firewall zone trust
[R1-zone-trust]priority 14
   
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]zone HR
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]zone SALES
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]zone IT
[R1-GigabitEthernet0/0/2]int e4/0/0
[R1-Ethernet4/0/0]zone trust

2、要求：HR与SALES无业务往来，禁止二者互访，启用域间防火墙

[R1]firewall interzone HR SALES
[R1-interzone-SALES-HR]firewall enable

测试二者连通性：

ACL访问控制与AR系列路由器防火墙特性,ar

注：应用AR系列路由器的防火墙特性时，需要注意流量方向；即高级安全域访问低级安全域的报文称为outbound报文，反之为inbound报文（缺省时启用域间防火墙，放行
outbound报文，禁止inbound报文）。

根据缺省情况下的防火墙特性，发现二者单向outbound互通，需配置ACL并应用在包过滤技术中阻止通信：

[R1-acl-basic-2001]dis this
[V200R003C00]
#
acl number 2001  
 step 10
 rule 10 deny source 172.16.2.0 0.0.0.255 
#
return

[R1-interzone-SALES-HR]packet-filter 2001 outbound
[R1-acl-basic-2001]q
[R1]dis firewall interzone HR SALES
interzone SALES HR
 firewall enable
 packet-filter default deny inbound
 packet-filter default permit outbound
 packet-filter 2001 outbound

再次测试

ACL访问控制与AR系列路由器防火墙特性,ar

至此，HR与SALES隔离完成

3、要求：SALES可以访问WEB服务器，但禁止访问FTP服务器

配置完成前访问测试：

ACL访问控制与AR系列路由器防火墙特性,ar

SALES部门可以访问WEB和FTP服务器，在开启域间防火墙后，SALES将无法访问FTP和WEB

ACL访问控制与AR系列路由器防火墙特性,ar

ACL访问控制与AR系列路由器防火墙特性,ar 现在需配置并引用ACL，使SALES可以访问WEB服务器

[R1-acl-adv-3001]rule permit ip source 172.16.2.0 0.0.0.255 destination 192.168.
1.30 0 
[R1-acl-adv-3001]q
[R1]firewall interzone SALES trust
[R1-interzone-trust-SALES]packet-filter 3001 inbound
[R1-interzone-trust-SALES]dis firewall interzone SALES trust
interzone trust SALES
 firewall enable
 packet-filter default deny inbound
 packet-filter default permit outbound
 packet-filter 3001 inbound

ACL访问控制与AR系列路由器防火墙特性,ar

4、要求：IT部门可以随时访问FTP服务器，访问WEB服务器是仅能在16:00 至17：00，且IT可
随时ping通FTP与WEB服务器

[R1]time-range access-web 16:00 to 17:00 daily
[R1-acl-adv-3002]dis this
[V200R003C00]
#
acl number 3002  
 step 3
 rule 3 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destin
ation-port eq ftp 
 rule 6 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destin
ation-port eq www time-range access-web 
 rule 9 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 
 rule 12 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

ACL访问控制与AR系列路由器防火墙特性,ar