华为防火墙acl与思科访问控制列表有什么区别

2017-03-02

路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。下面是小编给大家整理的一些有关华为防火墙acl与思科访问控制列表的区别,希望对大家有帮助!

华为防火墙acl与思科访问控制列表的区别

1、在华为路由器里访问控制列表的用途,可以分为三类:

1)基本的访问控制列表(basic acl)

基本访问控制列表只能使用源地址信息,做为定义访问控制列表的规则的元素。通过上面小节介绍的acl的命令,可以创建一个基本的访问控制列表,同时进入基本访问控制列表视图,在基本访问控制列表视图下,可以创建基本访问控制列表的规则。

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]

2)高级的访问控制列表(advanced acl)

高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。

rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]

3)基于接口的访问控制列表(interface-based acl)

基于接口的访问控制列表,是一种特殊的访问控制列表,可以根据接收报文的接口指定规则。

rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]

2、在思科路由器里访问控制列表常见的有两类

1)标准的访问控制列表

跟华为的基本访问控制列表一样,只检查数据包的源地址。

access-list ACL号 permit|deny host ip地址

2)扩展的访问控制列表

跟华为的高级访问控制列表类似,既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。

access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

3)除了上述两种访问控制列表之外,思科路由器中还有:基于名称的访问控制列表、反向访问控制列表、基于时间的访问控制列表等,但在日常维护中比较少使用。

二、思科与华为访问控制列表编号范围的区别

访问控制列表的使用用途是依靠数字的范围来指定的。

1、在华为路由器里,2000~2999范围的访问控制列表是基本的访问控制列表,3000~3999范围的访问控制列表是高级的访问控制列表,1000~1999是基于接口的访问控制列表。

2、在思科路由器里,标准的访问控制列表使用 1~99 以及1300~1999之间的数字作为表号,扩展的访问控制列表使用 100~199以及2000~2699之间的数字作为表号。

三、思科与华为访问控制列表匹配顺序的区别

1、华为路由器访问控制列表匹配规则

一个访问控制列表可以由多条“permit | deny”语句组成,每一条语句描述的规则是不相同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。

有两种匹配顺序:

1)配置顺序

配置顺序,是指按照用户配置ACL的规则的先后进行匹配。

2)自动排序

自动排序使用“深度优先”的原则。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段:129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口的访问控制规则,配置了“any”的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。

使用那一种匹配顺序,在创建ACL的时候就可以指定。

acl [ number ] acl-number [ match-order { config | auto } ]

2、思科路由器访问控制列表匹配规则

思科路由器一般情况下采用顺序匹配方式,只要一条满足就不会继续查找,另外在思科的访问控制列别中,最后一条是隐含拒绝的,即前面所有条目都不匹配的话,则默认拒绝。任何条件下只给用户能满足他们需求的最小权限。

更多相关阅读

最新发布的文章