软考
APP下载

华为高级acl配置实例有哪些

希赛网 2024-07-07 12:47:13
安全性 ACL 深度过滤

ACL(Access Control List)是网络安全中最基础的配置之一。ACL通过定义权限规则,以控制网络数据包的传输。华为交换机也提供了高级ACL配置让用户进行深度的安全控制。本文将以华为高级ACL配置实例为主题,从多个方面进行分析。

1. 高级ACL配置的意义

传统ACL只能对源地址、目的地址、协议类型、源端口和目的端口等五元组信息进行匹配,不能进行针对数据内容进行过滤。而高级ACL配置则可以更加精细地过滤数据,以满足特定的安全需求。高级ACL配置中可针对部分协议进行内容过滤,对流量进行深度审计和安全分析等操作,大大提高了网络层次的安全性。

2. 高级ACL配置实例

2.1 针对IP协议控制

a. 禁止特定IP地址进入本机。使用deny命令规定特定IP地址区间,并将该区间的流量全部拒绝。如下所示:

[huawei] acl number 3000

[huawei-acl-adv-3000] rule deny ip source 10.16.1.0 0.0.0.255

[huawei-acl-adv-3000] quit

[huawei] interface vlanif 100

[huawei-Vlanif100] ip address 10.16.1.1 255.255.255.0

[huawei-Vlanif100] acl 3000 inbound

[huawei-Vlanif100] quit

b. 针对VIP实现负载均衡。在下发策略时,规定不同的流量从不同的端口发出。如下所示:

[huawei] acl number 4001

[huawei-acl-adv-4001] rule permit tcp destination 1.1.1.1 0.0.0.255 eq 80

[huawei-acl-adv-4001] rule permit tcp destination 1.1.1.1 0.0.0.255 eq 443

[huawei-acl-adv-4001] quit

[huawei] interface vlanif 10

[huawei-Vlanif10] ip address 1.1.1.250 255.255.255.0

[huawei-Vlanif10] service-manage http permit

[huawei-Vlanif10] service-manage https permit

[huawei-Vlanif10] service-manage acl-number 4001

[huawei-Vlanif10] arp active-delay 100

[huawei-Vlanif10] quit

2.2 针对TCP协议控制

a. 限制TCP连接数

为了避免TCP SYN洪泛等攻击,可以限制同一IP地址发起TCP请求的连接数。如下所示:

[huawei] acl number 3999

[huawei-acl-adv-3999] rule permit tcp source 10.15.0.33 0.0.0.0 destination any

[huawei-acl-adv-3999] quit

[huawei] acl number 4000

[huawei-acl-adv-4000] rule permit tcp source 10.15.0.33 0.0.0.0 destination any

[huawei-acl-adv-4000] rule deny tcp syn

[huawei-acl-adv-4000] quit

[huawei] firewall packet-filter default permit interzone local trust direction inbound

[huawei] firewall interzone trust untrust

[huawei-interzone-trust-untrust] firewall packet-filter 3999 inbound

[huawei-interzone-trust-untrust] quit

[huawei] firewall interzone untrust trust

[huawei-interzone-untrust-trust] firewall packet-filter 4000 inbound

[huawei-interzone-untrust-trust] quit

b. 阻止特定端口的TCP连接

有时候为了避免应用漏洞而受到攻击,可将禁止特定端口上的网络连接。如下所示:

[huawei] acl number 2000

Rule permit tcp destination-port eq telnet

[huawei-acl-advanced-2000] rule permit tcp source 10.0.1.0 0.0.0.255 destination-port eq 23

[huawei-acl-advanced-2000] rule deny tcp destination-port eq telnet

[huawei-acl-advanced-2000] quit

[huawei] interface GigabitEthernet0/0/0/1

[huawei-GigabitEthernet0/0/0/1] ip address 10.20.3.61 255.255.255.0

[huawei-GigabitEthernet0/0/0/1] undo shutdown

[huawei-GigabitEthernet0/0/0/1] firewall packet-filter 2000 inbound

3. 总结

ACL作为网络安全的基础配置之一,对网络数据包的控制至关重要。而高级ACL配置更是可以针对具体的场景进行更加细致和安全的过滤。本文从IP协议控制和TCP协议控制两个方面,比较实用地介绍了华为高级ACL配置示例。

备考资料 免费领取:网络工程师报考指南+考情分析+思维导图等 立即下载
真题演练 精准解析历年真题,助你高效备考! 立即做题
相关阅读
2026年软考高项考试安排 2025下半年软考真题及答案 信息系统项目管理师知识点精讲 计算机软考模拟作答系统 软考备考资料汇总 软考免费公开课 2026上半年软考中级选哪个科目
网络工程师题库
章节练习 章节专项突破
模拟考场 海量免费试题
历年真题 真题实战演练
每日一练 每天10题练习
习题练习 核心知识点练习
进入做题