如何在H3C路由器使用ACL来管理网络安全

ACL ( Access Control List) 访问控制列表，顾名思义，用于控制访问用的，和我们在window里使用防火墙规则是一个意思。

第一步要先定义ACL规则， H3C路由器有三种规则，基本规则，高级规则，二层规则，一般情况使用高级规则就能解决我们大部分场景，这里就着重介绍高级规则。高级规则的编号在H3C路由器里是3000~3999之间。

示例：下面的规则依次表示允许源地址为192.168.1.0网段的IP包，拒绝目标地址为192.168.2.0网段的IP包，最后denly ip表示拒绝所有IP包。

#
acl advanced 3000
 rule 1 permit ip source 192.168.1.0 0.0.0.255
 rule 2 deny ip destination 192.168.2.0 0.0.0.255
 rule 100 deny ip

这个规则建立后，需要指定应用在哪个接口或VLAN,并且需要指定方向: inbound 还是 outbound

关于inbound 和 outbound的区别可以看看这个博客文章，写的很清楚。

https://blog.csdn.net/flyhorstar/article/details/80912272?utm_source=po_vip

简单的说， inbound表示客户端的IP包进入到这个接口或VLAN,   outbound表示IP包从这个接口或VLAN流出来。

以下示例表示如何应用ACL规则， vlan1应用了两个ACL规则， 3002应用在inbound方向，3000应用在出的方向。

#
interface Vlan-interface1
 ip address 192.168.2.1 255.255.255.0
 packet-filter 3002 inbound
 packet-filter 3000 outbound
#
interface Vlan-interface2
 ip address 192.168.3.1 255.255.255.0
 packet-filter 3001 inbound
#

示例：定义如下规则，并应用到outbound方向

#
acl advanced 3000
 rule 1 permit icmp icmp-type echo-reply
 rule 2 permit udp source-port eq dns
 rule 3 permit tcp source-port eq dns
 rule 4 permit tcp source-port eq www
 rule 5 permit tcp source-port eq 443
 rule 6 permit tcp source-port eq smtp
 rule 7 permit tcp source-port eq 465
 rule 8 permit tcp destination-port range www 88
 rule 100 deny ip

rule 1表示允许被ping的机器回来的包通过 

rule 2,3表示允许dns协议服务器的响应包通过

rule 4,5表示允许web服务器的响应包通过

rule 6,7表示允许邮件服务器的响应包通过

rule 8 表示允许目标端口在80~88访问的tcp包通过