ACL访问控制与AR系列路由器防火墙特性

这篇具有很好参考价值的文章主要介绍了ACL访问控制与AR系列路由器防火墙特性。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

文章目录

    • 概要
    • 整体架构流程
    • 技术名词解释
    • 技术细节

概要

基于华为AR系列路由器的防火墙特性并结合ACL技术实现流量灵活放行。

整体架构流程

以路由器和交换机各一台为核心构建简单企业网络,实现各部门与FTP-Server/WEB-Server的信息访问控制

技术名词解释

  • ACL:即access control list,功能时对经过网络设备的报文进行过滤处理。由permit和deny语句组成的有序规则集合,首先通过报文匹配过程来实现对报文的识别分类,而后根据报文分类信息和相关执行动作来判断是否放行报文。
  • 基本ACL:根据源IP地址、报文分片标记以及时间段信息来定义规则。范围:ACL2000-2999.
  • 高级ACL:根据源/目IP地址、TCP源/目端口号、UDP源/目端口号、协议号、报文优先级、报文大小以及时间段等信息来定义规则。范围:3000-3999.
  • 域间防火墙功能:AR系列路由器可通过配置域间防火墙功能对区域间流量进行安全隔离和控制。

技术细节

ACL访问控制与AR系列路由器防火墙特性,ar

在上图中,存在HR、SALES、IT三个部门终端,FTP-Server 和 WEB-Server为服务器,现需要AR路由器对部门间的互访以及用户及服务器的访问进行控制。

设备 接口 IP地址 掩码 网关
AR1 GE 0/0/0 172.16.1.254 255.255.255.0

GE 0/0/1

172.16.2.254  255.255.255.0
GE 0/0/2 172.16.3.254 255.255.255.0
Ethernet 4/0/0 192.168.1.254 255.255.255.0
LSW1 Vlanif 1 192.168.1.1 255.255.255.0
PC1 Ethernet 0/0/1 172.16.1.1 255.255.255.0 172.16.1.254
Client1 Ethernet 0/0/0 172.16.2.1 255.255.255.0 172.16.2.254
client2 Ethernet 0/0/0 172.16.3.1 255.255.255.0 172.16.3.254
FTP-Server Ethernet 0/0/0 192.168.1.10 255.255.255.0 192.168.1.254
WEB-Server Ethernet 0/0/0 192.168.1.30 255.255.255.0 192.168.1.254

1、基础网络配置完成后,为各部门创建安全区域,AR系列路由器默认可以设置16种安全级别(0——15,其中15保留给local区域使用),并将各接口加入相应安全域。 

[R1]firewall zone HR
[R1-zone-HR]priority 10
[R1-zone-HR]firewall zone SALES
[R1-zone-SALES]priority 12
[R1-zone-SALES]firewall zone IT
[R1-zone-IT]priority 8
[R1-zone-IT]firewall zone trust
[R1-zone-trust]priority 14
   
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]zone HR
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]zone SALES
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]zone IT
[R1-GigabitEthernet0/0/2]int e4/0/0
[R1-Ethernet4/0/0]zone trust

2、要求:HR与SALES无业务往来,禁止二者互访,启用域间防火墙 

[R1]firewall interzone HR SALES
[R1-interzone-SALES-HR]firewall enable

测试二者连通性:

ACL访问控制与AR系列路由器防火墙特性,ar

ACL访问控制与AR系列路由器防火墙特性,ar

注:应用AR系列路由器的防火墙特性时,需要注意流量方向;即高级安全域访问低级安全域的报文称为outbound报文,反之为inbound报文(缺省时启用域间防火墙,放行
outbound报文,禁止inbound报文)。 

根据缺省情况下的防火墙特性,发现二者单向outbound互通,需配置ACL并应用在包过滤技术中阻止通信:

[R1-acl-basic-2001]dis this
[V200R003C00]
#
acl number 2001  
 step 10
 rule 10 deny source 172.16.2.0 0.0.0.255 
#
return
[R1-interzone-SALES-HR]packet-filter 2001 outbound
[R1-acl-basic-2001]q
[R1]dis firewall interzone HR SALES
interzone SALES HR
 firewall enable
 packet-filter default deny inbound
 packet-filter default permit outbound
 packet-filter 2001 outbound

再次测试

 ACL访问控制与AR系列路由器防火墙特性,ar

 

 至此,HR与SALES隔离完成

3、要求:SALES可以访问WEB服务器,但禁止访问FTP服务器

配置完成前访问测试:

ACL访问控制与AR系列路由器防火墙特性,ar

ACL访问控制与AR系列路由器防火墙特性,ar 

SALES部门可以访问WEB和FTP服务器,在开启域间防火墙后,SALES将无法访问FTP和WEB

ACL访问控制与AR系列路由器防火墙特性,ar

ACL访问控制与AR系列路由器防火墙特性,ar 现在需配置并引用ACL,使SALES可以访问WEB服务器

[R1-acl-adv-3001]rule permit ip source 172.16.2.0 0.0.0.255 destination 192.168.
1.30 0 
[R1-acl-adv-3001]q
[R1]firewall interzone SALES trust
[R1-interzone-trust-SALES]packet-filter 3001 inbound
[R1-interzone-trust-SALES]dis firewall interzone SALES trust
interzone trust SALES
 firewall enable
 packet-filter default deny inbound
 packet-filter default permit outbound
 packet-filter 3001 inbound

 ACL访问控制与AR系列路由器防火墙特性,ar

 4、要求:IT部门可以随时访问FTP服务器,访问WEB服务器是仅能在16:00 至17:00,且IT可
随时ping通FTP与WEB服务器

 

[R1]time-range access-web 16:00 to 17:00 daily
[R1-acl-adv-3002]dis this
[V200R003C00]
#
acl number 3002  
 step 3
 rule 3 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destin
ation-port eq ftp 
 rule 6 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destin
ation-port eq www time-range access-web 
 rule 9 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 
 rule 12 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

ACL访问控制与AR系列路由器防火墙特性,ar 

ACL访问控制与AR系列路由器防火墙特性,ar 文章来源地址https://www.toymoban.com/news/detail-841879.html

到了这里,关于ACL访问控制与AR系列路由器防火墙特性的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • AR系列路由器产品介绍

    AR系列路由器产品介绍 1、AR G3系列路由器的定位 华为AR G3系列企业路由器 huawei AR 500系列就是工业路由器 AR G3路由器的六大功能: 高密度交换板卡 丰富接入、上行口 提供丰富的语音设备 防火墙双机热备 VPN WLAN 特点: 融合 最佳体验 协作平台 AR G3概念 V:表示支持语音 W:表

    2024年02月06日
    浏览(42)
  • AR28/AR46系列 路由器基于源地址策略路由的典型配置

    策略路由 策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。 一、需求 定义策略aaa的策略路为由控制所有从以太网口E3/0/0接口接收的TCP报文

    2024年02月07日
    浏览(45)
  • 思科路由器的网络访问控制之静态路由配置介绍

    在我们平时使用路由器的过程中,若路由器找不到合适的路径,在该数据转发就会被终止,而我们网络管理员就可以根据这个特性来作好路由访问的控制。 一、什么是网络访问控制 一般路由器的路由表中,大致包含子网掩码、目的网络地址、网关、接口等等这些信息。目的

    2024年02月08日
    浏览(47)
  • 磊科路由器访问控制机制如何设置

    相信每一个网管在设置路由器时,都会涉及到访问控制的方面,今天我们就以磊科路由器来为大家介绍这方面的内容,这是重点介绍基于上下文的访问控制。 通常路由只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的TCP和UDP的sessi on,CBAC能够在firewall a

    2024年02月05日
    浏览(68)
  • 电脑入门:路由器访问控制列表基础知识

    路由器访问控制列表基础知识                             1、什么是访问控制列表?              访问控制列表在Cisco              IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。             

    2024年02月09日
    浏览(75)
  • 思科Cisco路由器access-list访问控制列表命令详解

    标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的和参数。首先,在access和list这2个之间必须有一个连字符\\\"-\\\"; 一、list nubmer参数 list number的范围在

    2024年02月05日
    浏览(50)
  • 华为路由器 基本ACL配置

    1、什么是ACL? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可

    2024年02月09日
    浏览(49)
  • 华为路由器 高级ACL配置

    高级ACL 与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。比如根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 高级 ACL 接口调用方向的建议 高级 ACL 尽量调用在

    2024年02月09日
    浏览(46)
  • 路由器基础(十一):ACL 配置

             访问控制列表 ( Access   Control   List , ACL )   是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来 控制端口进出的数据包。 ACL 适用于所有的被路由协议,如IP、 IPX 、 AppleTalk   等。访问控制列表可以分为基本访问控制列表和 高级访

    2024年02月05日
    浏览(37)
  • 飞鱼星路由器命令行配置ACL的方法介绍

        一、ACL能够用来:提供网络访问的基本安全手段。访问控制列表可用于Qos(Quality of Service,服务质量)对数据流量进行控制。可指定某种类型的数据包的优先级,以对某些数据包优先处理 起到了限制网络流量,减少网络拥塞的作用。 二、访问控制列表对本身产生的的数据

    2024年02月05日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包