安全典型配置(四)
发布作者:微思网络 发布时间:2023-10-17 浏览量:0次
使用自反ACL实现单向访问控制案例
自反ACL(Reflective ACL)是动态ACL技术的一种应用。设备根据一个方向的ACL,可以自动创建出一个反方向的ACL(自反ACL),该ACL和原ACL的源IP地址和目的IP地址、源端口号和目的端口号完全相反。自反ACL有一定的老化周期。如果在老化周期内有符合自反ACL规则的报文通过接口,该接口的自反ACL规则将再被保留至下一老化周期;如果在老化周期内没有符合自反ACL规则的报文通过接口,该接口的自反ACL规则被删除,这样大大增加了安全性。 利用自反ACL,可以实现单向访问控制,比如只有当内网用户先访问了外网后才允许外网访问内网,从而能够很好的保护企业内部网络,使其使免受外部非法用户的攻击。 本例,就是将高级ACL进行自反,实现内网主机能主动与Internet中的服务器建立UDP连接,但Internet中的服务器不能主动与内网主机建立UDP连接,达到内外网单向访问控制的目的。 本举例适用于框式交换机的所有版本,不适用于盒式交换机。 如图1所示,Switch作为网关设备,下挂用户PC并连接Internet,已知各设备之间路由可达。为保证内网环境安全,现要求Internet中的服务器只能在内网中的PC先向其发起UDP连接请求的情况下,才能与PC建立UDP连接,实现单向访问控制。 图1 使用自反ACL实现单向访问控制组网图 采用如下的思路在Switch上进行配置: 配置高级ACL,为后续设备生成自反ACL做准备。 配置自反ACL功能,实现内网主机PC1能主动与Internet中的服务器建立UDP连接,但Internet中的服务器不能主动与内网主机建立UDP连接。 1、配置高级ACL 创建高级ACL 3000并配置ACL规则,允许UDP报文通过。 2、配置自反ACL # 由于来自Internet的报文从接口GE2/0/1进入Switch,所以可以在接口GE2/0/1的出方向配置自反ACL功能,对UDP报文进行自反。 3、验证配置结果 执行display traffic-reflect命令,查看自反ACL信息。 上述显示信息,只有在内网主机主动向外网发起UDP连接时才会产生。由上述信息可知,GE2/0/1接口下对内网主机PC1与Internet中的Server(IP地址为192.168.1.2)之间的UDP协议报文进行了自反,并对自反后的报文进行了统计。<HUAWEI>system-view
[HUAWEI] sysname Switch
[Switch] acl 3000
[Switch-acl-adv-3000] rule permit udp //允许UDP报文通过
[Switch-acl-adv-3000] quit[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000 //自反ACL应用在接口出方向
[Switch-GigabitEthernet2/0/1] quit[Switch] display traffic-reflect outbound acl 3000
Proto SP DP DIP SIP Count Timeout Interface
------------------------------------------------------------------------------
UDP 2 80 192.168.1.2 10.1.1.2 9 300(s) GigabitEthernet2/0/1
------------------------------------------------------------------------------
* Total <1> flows accord with condition, <1> items was displayed.
------------------------------------------------------------------------------
* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
* SP=Source port,DP=Destination port,Count=Packets count(data).
