比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
路由器设置中关于ACL的讲解
关键字：ACL
　　目前路由行业的发展非常迅速，同时有些用户还不是很了解有关设置的问题，这里我们主要介绍在路由器设置中对于的分析，包括介绍ACL的设置等方面。大家都知道通过在路由器或上设置访问控制列表ACL，可以在一定程度上起到提高安全，防范与攻击的效果，笔者所在公司也一直在使用这个方法。
　　然而，笔者却在实际工作中发现了一个影响安全的问题，如果对路由器设置不注意的话，很可能会让强大的ACL列表失效，就好比二战的马其诺防线一样，病毒与黑客可以非常轻松地绕道攻击内网计算机。
　　安全分析
　　有过路由器设置经验的读者应该知道管理员经常通过在路由器或交换机上设置访问控制列表来完成防范病毒和黑客的作用。出品的路由器或交换机的访问控制列表都默认在结尾添加了“DENYANYANY”语句，这句话的意思是将所有不符合访问控制列表(ACL)语句设定规则的包丢弃。
　　最近笔者所在公司添置了的2621系列路由器，一般情况下CISCO和华为设备的配置方法基本相同，所以笔者按照在Cisco路由器上的设置语句制定了ACL规则，并将这些规则输入到华为路由器设置上。由于CISCO默认自动添加DENYANYANY语句，所以笔者也想当然的认为华为路由器也会默认将这个命令添加。然而，在配置后却发现所有ACL过滤规则都没有生效，该过滤的数据包仍然被路由器设置正常转发。
　　经过反复研究、查询资料，笔者发现原来华为公司的访问控制列表在结尾处添加的是“PERMITANYANY”语句，这样对于不符合访问控制列表(ACL)语句设定规则的数据包将容许通过，这样造成了一个严重后果，那就是不符合ACL设定规则的数据包也将被路由器设置无条件转发而不是Cisco公司采用的丢弃处理，这造成了该过滤的数据包没有被过滤，网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒“马其诺防线”，从而轻而易举的侵入了用户的内网。
　　解决措施
　　如何解决这个问题呢?这个问题是因为华为路由器设置造成的。我们可以在ACL的最后添加上“DENYANYANY”语句或将默认的ACL结尾语句设置为DENYANYANY.头一种方法仅仅对当前设置的ACL生效，以后设置新ACL时路由器设置容许所有数据包通过;而第二种方法则将修改路由器设置的默认值，将其修改成和CISCO设备一样的默认阻止所有数据包。
　　1、ACL规则直接添加法
　　在华为设备上设置完所有ACL语句后再使用“ruledenyipsourceanydestinationany”将没有符合规则的数据包实施丢弃处理。
　　2.修改默认设置法
　　在华为设备上使用“firewalldefaultdeny”，将默认设置从容许转发变为丢弃数据包。从而一劳百逸的解决默认漏洞问题。因此笔者推荐大家使用第二种方法解决这个默认设置的缺陷问题。
　　经过这次“马其诺”事件，我们可以发现即使是相同的配置命令，如果厂商不同最好事先查阅一下用户手册(特别注意默认设置)，往往默认设置会造成很多不明不白的故障。发现问题以后也不要轻易怀疑设备硬件有问题，应该多从软件及配置命令入手查找问题所在。一个小小的默认设置就将精心打造的防病毒体系完全突破，所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况，确保所实施的手段得以生效。
[ 责任编辑：徐银泽 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte用户名：曾经那些
文章数：25
访问量：9727
注册日期：
阅读量：1297
阅读量：3317
阅读量：447687
阅读量：1132830
51CTO推荐博文
1）访问控制列表(ACL)的工作原理：ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。2）拓扑图3）组网要求1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤；2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。4）配置的命令system-view[Quidway]vlan&10&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//建立vlan[Quidway-vlan10]port&Ethernet&1/0/1&&&&&&&&&&&&&&&&&&&&&&&&&//&&加入端口[Quidway-vlan10]vlan&20[Quidway-vlan20]port&Ethernet&1/0/2[Quidway-vlan20]vlan&20[Quidway-vlan20]port&Ethernet&1/0/3[Quidway-vlan20]vlan&30[Quidway-vlan30]port&Ethernet&1/0/3[Quidway-vlan30]vlan&40[Quidway-vlan40]port&Ethernet&1/0/4[Quidway-vlan40]quit2．配置各VLAN虚接口地址[Quidway]interface&Vlan-interface&10&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//&进入vlan[Quidway-Vlan-interface10]ip&address&10.1.1.1&24&&&&&&&&&&&&&&//&&&&配置ip地址[Quidway-Vlan-interface10]quit[Quidway]interface&Vlan-interface&20[Quidway-Vlan-interface20]ip&address&10.1.2.1&24[Quidway-Vlan-interface20]quit[Quidway]interface&Vlan-interface&30[Quidway-Vlan-interface30]ip&address&10.1.3.1&24[Quidway-Vlan-interface30]quit[Quidway]interface&Vlan-interface&40[Quidway-Vlan-interface40]ip&address&10.1.4.1&24[Quidway-Vlan-interface40]quit3．定义时间段[H3C]&time-range&ssl&8:00&to&18:00&working-day&&&&&&&&&&&&&&&&&&&&&&&//定义时间段需求1配置（基本ACL配置）[Quidway-Ethernet1/0/1]&acl&number&2000&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//进入2000号的基本访问控制列表视图[Quidway-acl-basic-2000]&rule&1&deny&source&10.1.1.2&0&time-range&ssl&&&&//&定义访问规则过滤10.1.1.2主机发出的报文[Quidway-acl-basic-2000]&interface&Ethernet1/0/1&&&&&&&&&&&&&&&&//在接口上应用2000号ACL[Quidway-Ethernet1/0/1]&packet-filter&inbound&ip-group&2000[Quidway-Ethernet1/0/1]&quit需求2配置（高级ACL配置）[Quidway]&acl&number&3000&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//进入3000号的高级访问控制列表视图[Quidway-acl-adv-3000]rule&1&deny&ip&source&10.1.2.0&0.0.0.255&destination&10.1.1.0&0.0.0.255&&&//定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]&rule&2&deny&ip&source&any&destination&129.110.1.2&0.0.0.0&time-range&ssl&//定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000]&quit[H3C-acl-adv-3000]&interface&Ethernet1/0/&2&&&//在接口上用3000号ACL[H3C-Ethernet1/0/2]&packet-filter&inbound&ip-group&3000需求3配置（二层ACL配置）[Quidway]&acl&number&4000&&&&&&&//进入4000号的二层访问控制列表视图[Quidway-acl-ethernetframe-4000]&rule&1&deny&source&02e0-fc02-0101&&ffff-ffff-ffff&time-range&ssl&&&//定义访问规则过滤源MAC为02e0-fc02-0101&的报文[Quidway-acl-ethernetframe-4000]&interface&Ethernet1/0/4&&&&//在接口上应用4000号ACL[Quidway-Ethernet1/0/4]&packet-filter&inbound&link-group&4000需求2配置[Quidway]&acl&number&3000&&&&//进入3000号的高级访问控制列表视图[Quidway-acl-adv-3000]rule&1&deny&ip&source&10.1.2.0&0.0.0.255&destination&10.1.1.0&0.0.0.255&&&//定义访问规则禁止研发部门与技术支援部门之间互访[Quidway-acl-adv-3000]&rule&2&deny&ip&source&any&destination&129.110.1.2&0.0.0.0&time-range&ssl&&&//定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[Quidway-acl-adv-3000]&quit[Quidway]&traffic&classifier&abc&&&定义流分类[Quidway-classifier-abc]if-match&acl&3000[Quidway-classifier-abc]quit[H3C]&traffic&behavior&abc&&&&//&&&&定义流行为，确定禁止符合流分类的报文[H3C-behavior-abc]&filter&deny[H3C-behavior-abc]&quit[Quidway]qos&policy&abc&&&&定义Qos策略，将流分类和流行为进行关联[Quidway-qospolicy-abc]&classifier&abc&behavior&abc[Quidway-qospolicy-abc]&quit[Quidway]&interface&g1/1/2&&&&//在端口下发Qos&policy[Quidway-Ethernet1/1/2]&qos&apply&policy&abc&inbound补充说明：lacl只是用来区分数据流，permit与deny由filter确定；l如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联；lQoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier；l将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。四配置关键点：1．time-name&可以自由定义2．设置访问控制规则以后，一定要把规则应用到相应接口上，应用时注意inbound方向应与rule中source和destination对应；本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)为庆祝2009获得多项大奖的年度巨作&&重印，以及它的姊妹篇&&《CIsco/H3C路由器配置与管理完全手册》将于今年10月底上市，同时感谢广大读者朋友的高度信任、评价和支持，近期将多摘选几篇内容发给大家共享。该书在卓越网上现在仅需要73折：
另外，本人2009年度其他7本新书现在也有大幅优惠（多本仅需要72~74折）促销了：
近期群中有许多读者问有关ACL配置的问题，但大多数问题都是不理解，或者根本不知道ACL配置命令中的各可选项和参数的功能和用法。为此近期多发了一些关于ACL配置的文章。本期发的是关于Cisco标准ACL命令的详细使用方法。
基于列表号的标准语法
标准ACL主要是基于IP协议的（参见本章前面的表6-1），所以在此也仅以基于IP协议的标准ACL进行介绍。基于列表号的Cisco 标准IP ACL格式如下：
从命令格式可以看出，标准IP ACL是仅以源地址与规则行为匹配的，没有目的地址。也就是IP ACL在过滤时仅考查数据包中的源IP地址，凡是与源IP地址一样的都将应用相应的过滤行为规则。下面解释一下标准IP ACL的关键字和参数。
naccess-list
创建ACL的命令。
nlist number（列表编号）
ACL列表号，值的范围在0～99之间，这标准IP ACL中限定的，也就是在一个Cisco设备中最多可以创建100个标准IP访问列表。100~199为为扩展IP ACL的list number范围。另外，还有其他类型的ACL，它们的list number值范围也各不一样：基于协议类型码的ACL的list number范畴为200~299；基于MAC地址的ACL的list number范畴为700~799；基于IPX的标准ACL的list number范畴为800~899；基于IPX的扩展ACL的list number范畴为900~999；基于IPX业务通告协议的ACL的list number范畴为；基于MAC地址的扩展ACL的list number范畴为。其他协议类型的ACL的列表号范围参见表6-1。
npermit|deny（允许/拒绝）
设置ACL规则的关键参数，它代表本编号列表所设置的规则是允许后面指定的主机或网络进行通信，还是拒绝后面指定的主机或网络进行通信。在标准IP ACL中，使用permit参数可以使得和访问列表项目匹配的数据包通过接口，而deny参数可以在接口过滤掉和访问列表项目匹配的数据包。
host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，其掩码（本节后面将详细介绍）为0.0.0.0。例如，我们希望仅允许来自192.168.0.10主机的报文通过，则可使用的标准IP访问控制列表语句如下（注意，其中没有用到&host&或者&any&关键字）：
【经验之谈】对于标准IP访问控制列表来说，host关键字是默认的，也就是说式（1）中也可以省去输入host关键字，直接写成：
如果上面示例是要仅拒绝192.168.0.10主机的报文，则标准IP访问列表如下：
当然也可以简写成（道理同上）：
与&host&关键字相对应的&any&关键字是源地证/目标地址0.0.0.0/255.255.255.255的简写。假定我们要拒绝从源地址192.168.0.10来的报文，并且要允许从其他源地址来的报文，则用标准的IP访问表可以使用下面的两条语句达到这个目的：
【注意】以上这两条语句的顺序不能倒过来。因为访问表语句的应用顺序是自上而下的，限制严格性要求最高的放在前面，最低的放在最后。在上面这两条语句中，上一条是拒绝某个范围的主机通过，限制性比下一条的允许所有的主机通过限制性要高，所以放在前面。应用后是先拒绝上一条指定的主机通过，然后再允许余下的其他所有主机通过。如果我们将两个语句顺序颠倒，将permit（允许）语句放在deny（拒绝）语句的前面，则我们将不能过滤来自主机地址192.168.0.1的报文，因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞，或者使得用户不能很好地利用公司的网络策略。
nsource address（源IP地址）
用来指定规则中数据通信源的IP地址或网络地址，以点分十进制表示，如：192.168.0.10表示一台主机，而如果是192.168.0.0则表示整个网段的主机。
在标准IP ACL中，只是对数据通信源进行了限定，所以其中只有&source address&（源地址），而后面没有&destination address&（目标地址）这个字段。
nwi1dcard-mask（通配符掩码）
Cisco的ACL中，是以掩码（mask）来与IP地址组合来指定主机范围的。这里的掩码也称为&反掩码&（inverse mask）或者&通配符掩码&（wildcard mask），用来指定单一主机或一个范围的主机。但它们与&子网掩码&（Sub Mask）是不同的。他们之间存在如下的关系：
mask = 255.255.255.255 - Sub Mask
如标准的C类IP地址的子网掩码为255.255.255.0，由此可以得到标准C类地址的掩码为（注意要分段对应进行减运算）：
255.255.255.255 & 255.255.255.0 = 0.0.0.255
也就是直接把子网掩码中的所有值为&255&的八位组都转换成&0&，把非&255&的其他八位组，用&255&来减，差就是最终的值。如前面的255.255.255.0中前3组均为&255&，转换成&0&，最后一组为&0&，用&255&来减后得到&255&，所以最终该网络的通配符掩码为0.0.0.255。同样，如果某子网掩码为255.255.240.0，则该子网的通配符掩码值为0.0.15.255。其中的&15&等于&255-240&。
还有一种二进制计算方法。如子网掩码255.255.255.0转换二进制后得到&11.&，经过&1&与&0&的相互转换后就得到了通配符掩码为&00.&，再转换成十进制后得到0.0.0.255。这就是子网掩码为255.255.255.0的网络的通配符掩码。再如某网络划分子网后的子网掩码为&255.255.255.240&，转换成二进制后得到&11.&，经过&1&与&0&的相互转换后，得到通配符掩码为&00.&，转换成十进制就得到了&0.0.0.15&。这就是子网掩码为255.255.255.240的网络的通配符掩码。
假设您的公司有一个分支机构，其IP地址为C类的192.46.28.0.在您的公司，每个分支机构都需要通过总部的路由器访问Internet.要实现这点，您就可以使用一个通配符掩码 0.0.0.255。因为C类IP地址的最后一组数字代表主机，把它们都置1即允许总部访问网络上的每一台主机。因此，您的标准IP访问列表中的 access-list语句如下：
在这里有一个特殊的通配符掩码0.0.0.0，它表示的是仅一台机，与前面式（1）中的&host&关键字的功能是一样的。这样，式（1）也就可以写成如下式（2）格式：
比式（1）和式（2），可以这样理解，式（1）中的&host&关键字替代了式（2）中的通配符掩码（wildcard-mask）0.0.0.0，也就是说&host&关键字的是通配符掩码（wildcard-mask）0.0.0.0简写。但两者在语句中的位置不一样，书写时要注意了。
nLog（日志记录）
关键字只在版本的设备中存在。如果该关键字用于访问表中，则对那些能够匹配访问表中的和语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源地址以及在显示了第一个匹配以来每分钟间隔内的报文数目。使用关键字，提供了测试和报警两种功能：系统管理员可以使用日志来观察不同活动下的报文匹配情况，从而可以评估不同访问表的设计是否正确，是否合理；当其用于报警时，管理员可以察看显示结果，以定位那些多次尝试活动被拒绝的访问表语句。通过的控制台命令可以选择记录日志方式。
阅读(...) 评论()