华为自反ACL实验

一、实验背景

做这个实验的原因是最近公司里上了三台小程序服务器,由于三台服务器的端口都映射出去了,领导要求A网段的三台服务器不能访问内网B,C网段,同时B、C网段内网用户可以访问A段的94、95、96服务器;

也就是PC4\PC5可以访问PC1\PC2\PC3,但PC1\PC2\PC3不能访问PC4\PC5.

说明:真机型号交换机(S5720-36C-EI),ENSP模拟器的交换机是不能实现自反ACL的,所以我使用了AR系列的路由器。

二、拓扑图如下,基本符合真实环境。
LSW1是没有做任何配置;

AR1和AR4之间只用了简单的默认路由,我的目的是ACL所以网通了就行;

自反ACL:自反ACL是动态生成的,会根据实时的会话请求自动创建和删除规则

三、自反ACL使用说明最好看下官方资料, 还有就是出入方向(inbound和outbound)选择,自反ACL也能实现B、C网段不能访问A网段,同时A网段可以访问B、C网段。

四、ACL命令配置,在AR1上配置,ACL作用在AR1 G0/0/1接口的出方向上

AR1

acl 3000

1、 ##允许94、95、96三台服务器的syn+ack报文通过,允许对B网段发起tcp连接进行回应。

rule 50 permit tcp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn

rule 60 permit tcp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn

rule 70 permit tcp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 tcp-flag ack syn

2、####允许94、95、96三台服务器的syn+ack报文通过,允许对C网段发起tcp连接进行回应。

rule 71 permit tcp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn

rule 72 permit tcp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn

rule 73 permit tcp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 tcp-flag ack syn

3、####拒绝A网段主动发起对B网段的TCP连接的syn请求报文通过。

rule 100 deny tcp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn

rule 110 deny tcp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn

rule 120 deny tcp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 tcp-flag syn

4、####拒绝A网段主动发起对C网段的TCP连接的syn请求报文通过。

rule 121 deny tcp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn

rule 122 deny tcp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn

rule 123 deny tcp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 tcp-flag syn

5、##拒绝94、95、96网段到B网段的echo请求报文通过,防止服务器被攻击后主动发起ping连通性测试。

rule 150 deny icmp source 172.17.16.94 0 destination 172.17.0.0 0.0.255.255 icmp-type echo

rule 160 deny icmp source 172.17.16.95 0 destination 172.17.0.0 0.0.255.255 icmp-type echo

rule 170 deny icmp source 172.17.16.96 0 destination 172.17.0.0 0.0.255.255 icmp-type echo

6、###拒绝94、95、96网段到C网段的echo请求报文通过,防止服务器被攻击后主动发起ping连通性测试。

rule 171 deny icmp source 172.17.16.94 0 destination 192.168.0.0 0.0.255.255 icmp-type echo

rule 172 deny icmp source 172.17.16.95 0 destination 192.168.0.0 0.0.255.255 icmp-type echo

rule 173 deny icmp source 172.17.16.96 0 destination 192.168.0.0 0.0.255.255 icmp-type echo

7、##允许其他IP的访问。

rule 200 permit ip

8#(如果是拒绝BC访问A网段三台服务器,同时A段三台服务器可以访问BC网段的话,ACL则需要应用在inbound上,ACL的源目的地址调换位置就可以)。

int g 0/0/1

##应用在G0/0/1/接口的出方向上

traffic-filter outbound acl 3000

验证:

**1、PC4\PC5可以正常ping通PC\123**实验结果BC网段可以正常访问A段的三个服务器地址;

2、PC1\PC2\PC3pingPC4\PC5,测试结果无法ping通,A段三个服务器无法访问B、C段,很好的完成了本次实验的需求。

可以在AR1上执行dis acl all 查看一下策略匹配次数;

如有问题可以留言或者加群交流 478075018

相关推荐
猫林老师3 天前
HarmonyOS数据持久化:Preferences轻量级存储实战
华为·harmonyos
Devil枫3 天前
鸿蒙深链落地实战:从安全解析到异常兜底的全链路设计
安全·华为·harmonyos
广州腾科助你拿下华为认证3 天前
华为考试:HCIE数通考试难度分析
大数据·华为
与天仙漫步星海3 天前
华为基本命令
华为
低调小一3 天前
Android传统开发 vs Android Compose vs HarmonyOS ArkUI 对照表
android·华为·harmonyos
猛码Memmat3 天前
华为HarmonyOS开发文档
华为·harmonyos
流影ng3 天前
【HarmonyOS】MVVM与三层架构
华为·架构·harmonyos
爱笑的眼睛113 天前
HarmonyOS Stage 模型与 ArkUI 声明式开发深度实践:构建高效稳定的应用
华为·harmonyos
安卓开发者3 天前
鸿蒙Next ArkWeb网页文件上传与下载完全指南
华为·harmonyos