如何在H3C路由器使用ACL来管理网络安全
程序员文章站
2022-06-02 21:49:01
...
ACL ( Access Control List) 访问控制列表,顾名思义,用于控制访问用的,和我们在window里使用防火墙规则是一个意思。
第一步要先定义ACL规则, H3C路由器有三种规则,基本规则,高级规则,二层规则,一般情况使用高级规则就能解决我们大部分场景,这里就着重介绍高级规则。高级规则的编号在H3C路由器里是3000~3999之间。
示例:下面的规则依次表示允许源地址为192.168.1.0网段的IP包,拒绝目标地址为192.168.2.0网段的IP包,最后denly ip表示拒绝所有IP包。
#
acl advanced 3000
rule 1 permit ip source 192.168.1.0 0.0.0.255
rule 2 deny ip destination 192.168.2.0 0.0.0.255
rule 100 deny ip
这个规则建立后,需要指定应用在哪个接口或VLAN,并且需要指定方向: inbound 还是 outbound
关于inbound 和 outbound的区别可以看看这个博客文章,写的很清楚。
https://blog.csdn.net/flyhorstar/article/details/80912272?utm_source=po_vip
简单的说, inbound表示客户端的IP包进入到这个接口或VLAN, outbound表示IP包从这个接口或VLAN流出来。
以下示例表示如何应用ACL规则, vlan1应用了两个ACL规则, 3002应用在inbound方向,3000应用在出的方向。
#
interface Vlan-interface1
ip address 192.168.2.1 255.255.255.0
packet-filter 3002 inbound
packet-filter 3000 outbound
#
interface Vlan-interface2
ip address 192.168.3.1 255.255.255.0
packet-filter 3001 inbound
#
示例:定义如下规则,并应用到outbound方向
#
acl advanced 3000
rule 1 permit icmp icmp-type echo-reply
rule 2 permit udp source-port eq dns
rule 3 permit tcp source-port eq dns
rule 4 permit tcp source-port eq www
rule 5 permit tcp source-port eq 443
rule 6 permit tcp source-port eq smtp
rule 7 permit tcp source-port eq 465
rule 8 permit tcp destination-port range www 88
rule 100 deny ip
rule 1表示允许被ping的机器回来的包通过
rule 2,3表示允许dns协议服务器的响应包通过
rule 4,5表示允许web服务器的响应包通过
rule 6,7表示允许邮件服务器的响应包通过
rule 8 表示允许目标端口在80~88访问的tcp包通过