1 、ACL匹配机制
首先,小编为大家介绍ACL匹配机制。上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。
从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
l 匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
l 不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit规则,但流行为动作配置的是deny,该报文会被拒绝通过。
2 、ACL规则匹配顺序
从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。
系统是根据什么样的顺序来选择规则进行报文匹配的呢?
回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置:
rule deny ip destination 1.1.0.0 0.0.255.255 //表示拒绝目的IP地址为1.1.0.0网段的报文通过
rule permit ip destination 1.1.1.0 0.0.0.255 //表示允许目的IP地址为1.1.1.0网段的报文通过,该网段地址范围小于1.1.0.0网段范围
这条permit规则与deny规则是相互矛盾的。对于目的IP=1.1.1.1的报文,如果系统先将deny规则与其匹配,则该报文会被禁止通过。相反,如果系统先将permit规则与其匹配,则该报文会得到允许通过。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL规则匹配顺序是息息相关的。下面,小编就为大家介绍ACL定义的两种规则匹配顺序:配置顺序(config)和自动排序(auto)。
配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。后插入的规则,如果你指定的规则编号更小,那么这条规则可能会被先匹配上。
ACL规则的生效前提,是要在业务模块中应用ACL。当ACL被业务模块引用时,你可以随时修改ACL规则,但规则修改后是否立即生效与具体的业务模块相关。关于ACL的应用,在后续连载的应用篇中,小编还将为大家详细介绍。
自动排序,是指系统使用“深度优先”的原则,将规则按照精确度从高到底进行排序,系统按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,那么该规则的编号就越小,系统越先匹配。例如,有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32,而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24,前一条规则指定的地址范围更小,所以其精确度更高,系统会优先将报文与前一条规则进行匹配。
在自动排序的ACL中配置规则,不允许自行指定规则编号。系统能自动识别出该规则在这条ACL中对应的优先级,并为其分配一个适当的规则编号。
例如,在auto模式的acl 3001中,存在以下两条规则。
如果在acl 3001中插入rule deny ip destination 1.1.1.1 0(目的IP地址是主机地址,优先级高于上图中的两条规则),系统将按照规则的优先级关系,重新为各规则分配编号。插入新规则后,新的排序如下。
可以看到,rule deny ip destination 1.1.1.1 0的优先级最高,排列最靠前。
3、ACL规则匹配项
最后,我们来说说ACL规则最核心的部分??规则匹配项。
在上一期中,小编在介绍ACL分类时,就已经提到各类ACL的规则定义描述。比如,基本ACL可以使用报文的源IP地址作为匹配选项;高级ACL则更高一筹,不仅可以使用源IP地址,还能使用目的IP地址、协议类型、端口号等等。
今天小编为大家讲解几个最常用的匹配选项??协议类型、目的地址和生效时间段。
PS:源地址的使用方法与目的地址同理,小编不再赘述。
协议类型
格式为:protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf
高级ACL支持过滤的报文类型很多,常用的协议类型包括: ICMP(协议号1)、TCP(协议号6)、UDP(协议号17)、GRE(协议号47)、IGMP(协议号2)、IP(指任何IP层协议)、IPinIP(协议号4)、OSPF(协议号89)。protocol-number取值可以是1~255。
什么情况下可以使用协议类型作为匹配项?
例如,交换机某个接口下的用户存在大量的攻击者,你希望能够禁止这个接口下的所有用户接入网络。这时,通过指定协议类型为IP来屏蔽这些用户的IP流量,就可以达到目的。配置如下:
rule deny ip //表示拒绝IP报文通过
再如,交换机上打开透明防火墙功能后,在缺省情况下,透明防火墙会在域间丢弃所有入域间的报文,包括业务报文和协议报文。如果你希望像OSPF这样的动态路由协议报文能正常通过防火墙,保证路由互通,这时,通过指定协议类型为OSPF即可解决问题。配置如下:
rule permit ospf //表示允许OSPF报文通过
目的地址
格式为:destination { destination-address destination-wildcard | any }
destination-address:指定报文的目的地址。
destination-wildcard:指定通配符掩码。可以为0,相当于0.0.0.0,表示目的地址为主机地址。
any:表示对任意目的地址都匹配。
什么情况下可以使用目的地址作为匹配项?
例如,某公司有一台非常重要的服务器,其IP地址为1.1.1.1,现希望对该服务器的访问权限进行限制。这时,你可以通过指定目的地址为匹配选项来解决该问题。配置如下:
rule deny ip destination 1.1.1.1 0 //表示拒绝目的地址是1.1.1.1的报文通过
小编提醒:在将目的地址定义为ACL规则匹配项时,还需要同时指定通配符掩码,用来与目的地址字段共同确定一个地址范围。
通配符掩码的格式与IP地址相同,也是一个32比特位的数字字符串,用于指示目的IP地址中的哪些位将被检查。各比特位中,0表示“检查相应的位”,1表示“不检查相应的位”,
概括为一句话就是“检查0,忽略1”。 如图所示,以8比特为例,通配符的低8位如果为全0,就表示对目的IP地址的低8位全部进行检查;全1就表示全部忽略。有多少位为0,就表示检查多少位;有多少位为1,就表示忽略多少位。