01-01华为USG2100防火墙配置文档-配置ACL

Secoway USG2100

配置指南安全防范分册目录

1 配置ACL.....................................................................................................................................1-1

1.1 简介..............................................................................................................................................................1-2

1.1.1 ACL概述.............................................................................................................................................1-2

1.1.2 ACL规则的匹配顺序.........................................................................................................................1-2

1.2 配置ACL.....................................................................................................................................................1-3

1.2.1 建立配置任务.....................................................................................................................................1-3

1.2.2 （可选）定义时间段.........................................................................................................................1-5

1.2.3 （可选）定义地址集.........................................................................................................................1-5

1.2.4 （可选）定义端口集.........................................................................................................................1-6

1.2.5 创建基本ACL....................................................................................................................................1-6

1.2.6 创建高级ACL....................................................................................................................................1-6

1.2.7 创建基于MAC地址的ACL.............................................................................................................1-7

1.2.8 检查配置结果.....................................................................................................................................1-8

1.3 维护..............................................................................................................................................................1-8

1.4 配置举例......................................................................................................................................................1-8

文档版本 01 (2009-12-25) 华为专有和保密信息 i

Secoway USG2100

配置指南安全防范分册插图目录

插图目录

图1-1 ACL配置案例组网图.............................................................................................................................1-9

文档版本 01 (2009-12-25) 华为专有和保密信息 iii

Secoway USG2100

配置指南安全防范分册表格目录

表格目录

表1-1 ACL的分类.............................................................................................................................................1-2

文档版本 01 (2009-12-25) 华为专有和保密信息 v

Secoway USG2100

配置指南安全防范分册 1 配置ACL

关于本章

本章描述内容如下表所示。标题

1.1 简介

1.2 配置ACL

1.3 维护

1.4 配置举例内容介绍ACL的配置方法。配置ACL 介绍ACL的概念、匹配顺序和编辑方法。介绍清除ACL访问规则计数器的方法。介绍ACL的组网举例。

文档版本 01 (2009-12-25) 华为专有和保密信息 1-1

1 配置ACL Secoway USG2100配置指南安全防范分册

1.1 简介

1.1.1 ACL概述

ACL（Access Control List），能够通过报文的源地址、目的地址、端口号、上层协议等

信息组合定义网络中的数据流，是包过滤、NAT、IPSec、QoS、策略路由等应用的基础。

USG2100通过数字定义和引用ACL。

USG2100上的ACL分为三类，如表1-1所示。

表1-1 ACL的分类 ACL类型组号范围

基本～2999

高级～3999

基于MAC地址的～4099

三类ACL定义的数据流区别如下：

z 基本ACL仅使用源地址定义数据流。高级ACL可以使用源地址、目的地址、源端口号、目的端口号、上层协议号等多

种元素组合定义数据流。

基于MAC地址的ACL能够根据以太网帧头中的源MAC地址、目的MAC地址、

类型字段等信息定义数据流，从而达到控制二层数据帧的目的。基于MAC地址的

ACL仅在透明模式或混合模式下支持。 z

传统的ACL规则是直接通过rule-id、协议号、源地址、目的地址、源端口号、目的端

口号等定义的。例如：

[USG2100-acl-adv-3000] rule 0 permit tcp source 1.1.1.1 0.0.0.255 destination 2.2.2.1

0.0.0.255 source-port gt 12 destination-port gt 12

[USG2100-acl-adv-3000] rule 1 deny udp source 3.3.3.1 0.0.0.255 destination 4.4.4.1

0.0.0.255 source-port range 24 26 destination-port range 24 26

ACL规则的元素大都是数字型的，配置和维护时容易出错。当优化网络时，可能需要修

改ACL规则。当ACL规则的数量较多时，网络维护的工作量也随之增多。

可以用简单直观的名称定义存在某种共性的地址集和端口集，应用于ACL规则。修改

ACL时，只修改所引用的地址集和端口集，不考虑地址、端口、协议等的一一对应。这

种方式便于ACL的编辑、记忆和管理，提高网络维护的准确性和效率。

1.1.2 ACL规则的匹配顺序

一个ACL组可以由多条permit或deny语句组成。一台USG2100可以包含多个ACL

组。

1-2 华为专有和保密信息文档版本 01 (2009-12-25)

Secoway USG2100

配置指南安全防范分册 1 配置ACL

一个报文匹配ACL规则时遵循如下原则：

z 按照配置顺序匹配

即按照用户配置ACL规则的先后顺序进行匹配。

按照自动排序匹配

即按照“深度优先”原则进行匹配。 z

深度优先原则是把指定数据流范围最小的语句排在最前面，可以通过比较地址的通配符

来实现。通配符越小，则指定的主机的范围就越小。例如，129.102.1.1 0.0.0.0指定了一

台主机129.102.1.1，而129.102.1.1 0.0.255.255则指定了一个网段129.102.1.1～

129.102.255.255，显然前者由于指定的主机范围较小而使报文匹配过程中将被优先命中。

具体标准为：

z 对于基本ACL，直接比较源地址通配符，相同则按配置顺序匹配。对于高级ACL，首先比较源地址通配符，相同则再比较目的地址通配符，仍相同则

再比较端口范围，范围小的排在前面，如果端口号范围也相同则按配置顺序排序。

数据流一旦与一条ACL规则匹配成功，将不再继续向下匹配。USG2100将根据该ACL

规则的动作，对数据流进行后续操作。

1.2 配置ACL

1.2.1 建立配置任务

应用环境

在配置包过滤、NAT、IPSec、QoS、策略路由等功能前，需要使用ACL定义数据流：

z 当需要定义一个由报文源地址确定的数据流时，可配置基本ACL。当需要定义一个由报文源地址信息、目的地址信息、IP承载的协议类型等消息确定

的数据流时，可配置高级ACL。

当USG2100工作于透明模式下，且需要定义一条由以太网帧头中的源MAC地址、

目的MAC地址、类型字段等信息确定的数据流时，可配置基于MAC地址的ACL。 z

为方便用户管理规则，尤其在规则复杂、规则个数很多的场合下，为用户提供一种直观

简便的地址范围和端口范围，可配置端口集和地址集。

前置任务

在配置ACL前，需要完成以下任务：

z （可选）配置USG2100的工作模式（可选）配置接口的IP地址配置接口加入安全区域

只允许在路由模式或混合模式下配置接口的IP地址。

文档版本 01 (2009-12-25) 华为专有和保密信息 1-3

1 配置ACL Secoway USG2100配置指南安全防范分册

数据准备

在配置基本ACL前，需要准备以下数据：

z ACL组号（可选）ACL规则组的步长（可选）ACL规则号数据流的过滤动作（可选）源地址及其通配符（可选）ACL规则组的描述信息

在配置高级ACL前，需要准备以下数据：

z ACL组号（可选）ACL规则组的步长（可选）ACL规则号数据流的过滤动作（可选）源地址及其通配符 IP承载的协议名称或协议号（可选）目的地址及其通配符（可选）源端口号的范围（可选）目的端口号的范围（可选）ICMP报文的类型和消息码（可选）数据包的优先过滤级别（可选）数据包的优先过滤服务字段（可选）ACL规则组的描述信息

在配置基于MAC地址的ACL前，需要准备以下数据：

z ACL组号（可选）ACL规则组的步长（可选）ACL规则号数据流的过滤动作（可选）ACL规则组的描述信息（可选）传输报文的协议类型（可选）接口上报文的封装格式（可选）数据帧的源MAC地址及其掩码（可选）数据帧的目的MAC地址及其掩码

在配置基于时间段的ACL前，需要在准备配置ACL数据的基础上准备以下数据：

z 时间段名称时间段的开始时间时间段的结束时间

1-4 华为专有和保密信息文档版本 01 (2009-12-25)

Secoway USG2100

配置指南安全防范分册 1 配置ACL

z 时间段的有效天（例如星期一有效）

z z

时间段的开始日期时间段的结束日期

在配置带有地址集和端口集的ACL前，需要在准备配置ACL数据的基础上准备以下数据：

z z z z z z

地址集名称地址元素ID

地址元素的IP地址和通配符端口集名称端口元素ID 端口号

z z z

请根据实际组网需要选择创建基本ACL、高级ACL或基于MAC地址的ACL。如果需要配置基于时间段的ACL，请首先定义时间段。

当需要定义数目很多的rule规则时，建议配置带有地址集和端口集的ACL，以减少网络维护的工作量。

1.2.2 （可选）定义时间段

某些情况下，系统管理员只想在特定时间段允许某些数据流通过，或只允许某些用户在

一天的特定时间段访问资源。此时即可使用基于时间段的ACL规则。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令time-range time-name { start-time to end-time days | from time1 date1 [ to time2

date2 ] }，定义时间段。

时间段的确定有如下两种方法：

z z

时间段的开始时间、结束时间与有效天三个数据确定一个时间段。

时间段的开始时间、开始日期、结束时间与结束日期四个数据确定一个时间段。

----结束

1.2.3 （可选）定义地址集

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令ip address-set address-set-name，创建地址集并进入地址集视图。

步骤 3 执行命令address [ address-id ] ip-address wildcard [ description ]，向地址集中添加地址元

素。

可以多次使用address命令，向地址集中添加不冲突的地址元素。一个地址集最多可以配置256个地址元素。 ----结束

文档版本 01 (2009-12-25) 华为专有和保密信息 1-5

1 配置ACL

Secoway USG2100

配置指南安全防范分册

1.2.4 （可选）定义端口集

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令ip port-set port-set-name protocol { tcp | udp }，创建端口集，并进入端口集视

图。步骤 3 执行下列命令之一向接端口集中添加端口元素：

z z

port [ port-id ] { eq | gt | lt } port-number1 port [ port-id ] range port-number1 port-number2

可以多次使用port命令，向端口集中添加不冲突的端口元素。一个端口集最多可以配置64个端口元素。 ----结束

1.2.5 创建基本ACL

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令acl [ number ] acl-number [ match-order { config | auto } ]，创建基本ACL，并

进入相应视图。步骤 3 （可选）执行命令step step-value，配置ACL规则组的步长。

在配置ACL组的步长时，需要遵循如下原则：

z z

仅在未配置ACL规则时允许配置步长。

配置ACL规则后，如果需要更改步长，需要先使用undo rule命令删除已经存在的

ACL规则。

步骤 4 执行命令rule [ rule-id ] { permit | deny } [ source { source-address source-wildcard |

address-set address-set-name | any } | time-range time-name | logging ] *，配置基本ACL规则。

如果步骤 2选择了auto匹配方式，则步骤 4不能引用地址集。

步骤 5 （可选）执行命令description text，配置ACL描述信息。

----结束

1.2.6 创建高级ACL

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令acl [ number ] acl-number [ match-order { config | auto } ]，创建高级ACL，并

进入相应视图。步骤 3 （可选）执行命令step step-value，配置ACL规则组的步长。

在配置ACL组的步长时，需要遵循如下原则：

仅在未配置ACL规则时允许配置步长。

1-6 华为专有和保密信息文档版本 01 (2009-12-25)

Secoway USG2100

配置指南安全防范分册 1 配置ACL

z 配置ACL规则后，如果需要更改步长，需要先使用undo rule命令删除已经存在的

ACL规则。

步骤 4 执行命令rule [ rule-id ] { permit | deny } protocol [ source { source-address

source-wildcard | address-set address-set-name | any } | destination { destination-address destination-wildcard | address-set address-set-name | any } | source-port { operator port | range port1 port2 | port-set port-set-name } | destination-port { operator port | range port1 port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code | icmp-message } | precedence precedence | tos tos | time-range time-name | logging ] *

配置高级ACL规则。

如果步骤 2选择了auto匹配方式，则步骤 4不能引用地址集和端口集。

步骤 5 （可选）执行命令description text，配置ACL描述信息。

----结束

1.2.7 创建基于MAC地址的ACL

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall mode { transparent | composite }，将USG2100的工作模式设置为透

明模式或混合模式。

修改USG2100工作模式后，需要重新启动USG2100，工作模式变更才会生效。请重新启动USG2100，再做后续配置。

步骤 3 执行命令acl [ number ] acl-number，创建基于MAC地址的ACL，并进入相应视图。步骤 4 （可选）执行命令step step-value，配置ACL规则组的步长。

在配置ACL组的步长时，需要遵循如下原则：

z z

仅在未配置ACL规则时允许配置步长。

配置ACL规则后，如果需要更改步长，需要先使用undo rule命令删除已经存在的

ACL规则。

步骤 5 执行命令rule [ rule-id ] { permit | deny } [ type type-code type-mask | lsap lsap-code

lsap-mask ] [ source-mac source-address source-mac-mask ] [ dest-mac destination-address destination-mac-mask ]

配置基于MAC地址的ACL规则。

步骤 6 （可选）执行命令description text，配置ACL描述信息。

----结束

文档版本 01 (2009-12-25) 华为专有和保密信息 1-7

1 配置ACL

Secoway USG2100

配置指南安全防范分册

1.2.8 检查配置结果

可在任意视图下执行以下命令检查配置结果。操作

查看配置的ACL 查看时间段查看地址集查看端口集

命令

display acl { all | acl-number } display time-range { all | time-name }

display ip address-set { verbose address-set-name { item | reference } | all }

display ip port-set { verbose port-set-name { item | reference } | all }

1.3 维护

在确认需要清除ACL访问规则计数器后，可在用户视图下执行以下命令。操作

清除ACL访问规则计数器

命令

reset acl counter { all | acl-number }

1.4 配置举例

组网需求

如图1-1所示，某公司的网络出口布置一台USG2100。其中：

z z

USG2100的Ethernet 0/0/0接口连接Internet。 Ethernet 1/0/0接口连接该公司的内部网络。

公司对外提供WWW、FTP和Telnet服务，内部网络的网段为129.38.1.0/24。其中：

z z z

内部FTP服务器地址为129.38.1.2/24。内部Telnet服务器地址为129.38.1.3/24。内部WWW服务器地址为129.38.1.4/24。

通过配置实现以下要求：

z z

外部网络中，只有特定用户可以访问内部服务器。内部网络中，只有特定主机可以访问外部网络。

1-8 华为专有和保密信息文档版本 01 (2009-12-25)

Secoway USG2100

配置指南安全防范分册 1 配置ACL

假定外部特定用户的IP地址为202.39.2.3/16。

组网图

图1-1 ACL配置案例组网图

Telnet serverFTP server

公司外部特定PC202.39.2.3/16

配置步骤

步骤 1 USG2100基本配置。

# 配置Ethernet 0/0/0的IP地址。

system-view

[USG2100] interface Ethernet 0/0/0

[USG2100-Ethernet0/0/0] ip address 202.38.160.1 16 [USG2100-Ethernet0/0/0] quit

# 创建编号为5的VLAN。

[USG2100] vlan 5 [USG2100-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。

[USG2100] interface Ethernet 1/0/0

[USG2100-Ethernet1/0/0] port link-type access [USG2100-Ethernet1/0/0] port access vlan 5 [USG2100-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。

[USG2100] interface vlanif 5

[USG2100-Vlanif5] ip address 129.38.1.1 24 [USG2100-Vlanif5] quit

文档版本 01 (2009-12-25) 华为专有和保密信息 1-9

1 配置ACL

Secoway USG2100

配置指南安全防范分册

# 配置Vlanif 5加入DMZ区域。

[USG2100] firewall zone dmz

[USG2100-zone-dmz] add interface Vlanif 5 [USG2100-zone-dmz] quit

# 配置Ethernet 0/0/0加入Untrust区域。

[USG2100] firewall zone untrust

[USG2100-zone-untrust] add interface Ethernet 0/0/0

# 退回系统视图。

[USG2100-zone-untrust] quit

# 配置到达202.39.0.0网段的下一跳IP地址。

[USG2100]

ip route-static 202.39.0.0 255.255.0.0 202.38.160.6

z z

202.38.160.6为USG2100的下一跳路由器的IP地址。

当目的网络与USG2100间存在网元设备时，需要配置静态路由。否则从USG2100发往202.39.0.0网段的报文由于查不到下一跳地址而被丢弃。

需要配置外部特定PC和Router的静态路由。此处不赘述。

步骤 2 配置需求1。

# 配置ACL，允许外部特定用户访问内部服务器。

[USG2100] acl 3101

[USG2100-acl-adv-3101] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 destination-port eq ftp

[USG2100-acl-adv-3101] rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0 [USG2100-acl-adv-3101] rule permit tcp source 202.39.2.3 0 destination 129.38.1.4 0

# 退回系统视图。

[USG2100-acl-adv-3101] quit

# 进入Untrust和DMZ域间视图。

[USG2100] firewall interzone untrust dmz

# 配置域间包过滤规则。

[USG2100-interzone-dmz-untrust] packet-filter 3101 inbound

# 配置域间应用ASPF。

[USG2100-interzone-dmz-untrust]

detect ftp

需要使用上述detect命令，配置USG2100在域间应用ASPF功能。否则，FTP服务不可用。

1-10 华为专有和保密信息文档版本 01 (2009-12-25)

Secoway USG2100

配置指南安全防范分册 1 配置ACL

# 退回系统视图

[USG2100-interzone-dmz-untrust] quit

步骤 3 配置需求2。

# 配置ACL，允许Telnet服务器访问外部网络。

[USG2100] acl number 3102

[USG2100-acl-adv-3102] rule permit ip source 129.38.1.3 0

# 退回系统视图。

[USG2100-acl-adv-3102] quit

# 进入DMZ和Untrust域间视图。

[USG2100] firewall interzone dmz untrust

# 配置域间包过滤规则。

[USG2100-interzone-dmz-untrust] packet-filter 3102 outbound

----结束

文档版本 01 (2009-12-25) 华为专有和保密信息 1-11