华为防火墙acl与思科访问控制列表有什么区别
相关话题
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。下面是小编给大家整理的一些有关华为防火墙acl与思科访问控制列表的区别,希望对大家有帮助!
华为防火墙acl与思科访问控制列表的区别
1、在华为路由器里访问控制列表的用途,可以分为三类:
1)基本的访问控制列表(basic acl)
基本访问控制列表只能使用源地址信息,做为定义访问控制列表的规则的元素。通过上面小节介绍的acl的命令,可以创建一个基本的访问控制列表,同时进入基本访问控制列表视图,在基本访问控制列表视图下,可以创建基本访问控制列表的规则。
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]
2)高级的访问控制列表(advanced acl)
高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。
rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]
3)基于接口的访问控制列表(interface-based acl)
基于接口的访问控制列表,是一种特殊的访问控制列表,可以根据接收报文的接口指定规则。
rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]
2、在思科路由器里访问控制列表常见的有两类
1)标准的访问控制列表
跟华为的基本访问控制列表一样,只检查数据包的源地址。
access-list ACL号 permit|deny host ip地址
2)扩展的访问控制列表
跟华为的高级访问控制列表类似,既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
3)除了上述两种访问控制列表之外,思科路由器中还有:基于名称的访问控制列表、反向访问控制列表、基于时间的访问控制列表等,但在日常维护中比较少使用。
二、思科与华为访问控制列表编号范围的区别
访问控制列表的使用用途是依靠数字的范围来指定的。
1、在华为路由器里,2000~2999范围的访问控制列表是基本的访问控制列表,3000~3999范围的访问控制列表是高级的访问控制列表,1000~1999是基于接口的访问控制列表。
2、在思科路由器里,标准的访问控制列表使用 1~99 以及1300~1999之间的数字作为表号,扩展的访问控制列表使用 100~199以及2000~2699之间的数字作为表号。
三、思科与华为访问控制列表匹配顺序的区别
1、华为路由器访问控制列表匹配规则
一个访问控制列表可以由多条“permit | deny”语句组成,每一条语句描述的规则是不相同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
有两种匹配顺序:
1)配置顺序
配置顺序,是指按照用户配置ACL的规则的先后进行匹配。
2)自动排序
自动排序使用“深度优先”的原则。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段:129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口的访问控制规则,配置了“any”的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
使用那一种匹配顺序,在创建ACL的时候就可以指定。
acl [ number ] acl-number [ match-order { config | auto } ]
2、思科路由器访问控制列表匹配规则
思科路由器一般情况下采用顺序匹配方式,只要一条满足就不会继续查找,另外在思科的访问控制列别中,最后一条是隐含拒绝的,即前面所有条目都不匹配的话,则默认拒绝。任何条件下只给用户能满足他们需求的最小权限。