Escolar Documentos
Profissional Documentos
Cultura Documentos
Page 1 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Foreword
O rápido desenvolvimento da rede traz desafios à segurança de rede e à qualidade de serviço (QoS).
Listas de controle de acesso (ACLs) estão intimamente relacionadas à segurança de rede e QoS.
Identificando com precisão os fluxos de pacotes em uma rede e trabalhando com outras tecnologias, as
ACLs podem controlar os comportamentos de acesso à rede, evitar ataques à rede e melhorar a utilização
da largura de banda da rede, garantindo assim a segurança do ambiente de rede e a confiabilidade do QoS.
Este curso descreve os princípios básicos e funções de ACLs, tipos e características de ACLs, composição
básica de ACLs, ordem de combinação do ID da regra da ACL, uso de wildcards e configurações de ACL.
Page 2 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Objectives
Ao concluir este curso, você será capaz de:
▫ Descrever os princípios básicos e funções das ACLs.
Page 3 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Contents
1. Visão geral da ACL
2. Conceitos Básicos e Mecanismo de Trabalho de ACLs
3. Configurações e aplicação básica de ACLs
Page 4 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Histórico: Uma ferramenta é necessária para filtrar
o tráfego
VLAN 10 Existe alguma
Servidor do ferramenta disponível
departamento para filtrar o tráfego IP?
Financeiro
Departamento de 192.168.4.4/24
P&D
192.168.2.0/24
Internet
VLAN 20
Tráfego negado
Escritório do
Tráfego permitido
Presidente
192.168.3.0/24
Para garantir a segurança dos dados financeiros, uma empresa proíbe o acesso do departamento de P&D ao servidor do
departamento financeiro, mas permite o acesso do escritório do presidente ao servidor do departamento financeiro.
Page 5 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Visão geral de ACL
Uma ACL é um conjunto de regras sequenciais compostas por instruções de permissão ou negação.
Uma ACL combina e distingue pacotes.
Aplicação da ACL
• Matching do Tráfego IP
Endereço IP de origem, Números de
endereço IP de destino e porta de origem • Invocado em um filtro de tráfego
tipo de protocolo e destino
• Invocado na tradução de endereço de rede
Cabeçalho Cabeçalho (NAT)
Dados
IP TCP/UDP
• Invocado em uma política de roteamento
• Invocado em uma política de firewall
• Invocado em QoS
• Outros
Page 6 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Contents
1. Visão geral da ACL
2. Conceitos Básicos e Mecanismo de Trabalho de ACLs
3. Configurações e aplicacão básica de ACLs
Page 7 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL
correspondência de ACL
Composição de ACL
Uma ACL consiste em várias instruções de permissão ou negação. Cada instrução é uma regra da ACL e
permit ou deny em cada instrução é a ação correspondente à regra.
Page 8 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL
correspondência de ACL
ID da regra
acl number 2000 Rule ID e Step
Rule ID
• Rule ID
rule 5 deny source 10.1.1.1 0 Cada regra em uma ACL possui um ID.
rule 10 deny source 10.1.1.2 0 • Step
rule 15 permit source 10.1.1.0 0.0.0.255 Um Step é um incremento entre rule IDs vizinhos alocados
automaticamente pelo sistema. O Step padrão é 5. Definir
Step = 5
um Step facilita a inserção de regra entre as regras
existentes de uma ACL.
Como faço para adicionar uma regra? • Atribuição de Rule ID
Se uma regra for adicionada a uma ACL vazia, mas
rule 11 deny source 10.1.1.3 0
nenhum ID for especificado manualmente para a regra, o
sistema aloca um valor de Step (5 por exemplo) como rule
acl number 2000 ID. Se uma ACL contiver regras com IDs especificados
rule 5 deny source 10.1.1.1 0 manualmente e uma regra sem ID especificado
rule 10 deny source 10.1.1.2 0 manualmente for adicionada, o sistema aloca para esta
rule 11 deny source 10.1.1.3 0 regra um ID que é maior que o maior rule ID na ACL e é o
rule 15 permit source 10.1.1.0 0.0.0.255 menor múltiplo inteiro do valor de Step.
Page 9 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL
correspondência de ACL
Wildcard (1)
Wildcard
acl number 2000 Wildcard
• Uma wildcard é um número de 32 bits que indica quais bits
em um endereço IP precisam ser estritamente
rule 5 deny source 10.1.1.1 0 correspondidos e quais bits não precisam ser
rule 10 deny source 10.1.1.2 0 correspondidos.
rule 15 permit source 10.1.1.0 0.0.0.255 • Uma wildcard é geralmente expresso em notação decimal
com pontos, como uma máscara de rede é expressa. No
entanto, seus significados são diferentes.
• Regra de correspondência
0: correspondência; 1: alocação aleatória
192.168.1.1 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1
Segmento de rede
192.168.1.0/24
0.0.0.255 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1
Wildcard (2)
A wildcard pode ser usado para corresponder a endereços IP ímpares no segmento de rede 192.168.1.0/24, como
192.168.1.1, 192.168.1.3 e 192.168.1.5.
Strict matching Random allocation Strict matching
Page 11 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição do LCA Classificação ACL
correspondência de ACL
Define regras com base em endereços IPv4 de origem e destino, tipos de protocolo IPv4, tipos ICMP, números de porta
ACL avançada 3000 a 3999
TCP de origem/destino, números de porta UDP de origem/destino e intervalos de tempo efetivos.
Define regras com base nas informações nos cabeçalhos dos pacotes Ethernet, como endereços MAC de origem e destino e
ACL da Camada 2 4000 a 4999
tipos de protocolo da camada 2.
ACL definida pelo Define regras com base em cabeçalhos de pacotes, deslocamentos, máscaras de cadeia de caracteres e cadeias de caracteres
5000 a 5999
usuário definidas pelo usuário.
Define regras com base em endereços IPv4 de origem ou grupos de lista de controle de usuários (UCL), endereços IPv4 de
ACL do usuário 6000 a 6999 destino ou grupos UCL de destino, tipos de protocolo IPv4, tipos ICMP, números de porta TCP de origem/destino e
números de porta UDP de origem/destino.
Page 12 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL
correspondência de ACL
Page 13 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL correspondência de
ACL
A ACL Não
contém
regras?
sim
Analise a primeira A ação da
regra. ACL é permitir
permitida ou
negada?
Combine a sim
regra. negar
Não
Não O resultado correspondente O resultado correspondente O resultado correspondente
Existem regras
da ACL é negado. de ACL é permitida. da ACL é "combinação
restantes?
negativa".
sim
Analise a próxima
Fim
regra.
Page 14 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL correspondência de
ACL
Page 16 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL correspondência de
ACL
Data packet
Page 18 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Regras de
Composição ACL Classificação ACL correspondência de
ACL
Não
Pacote de A ACL é aplicada à Roteie o pacote Está disponível Não
direção de entrada de dados. uma entrada de rota
dados
da interface? correspondente?
Não
Sim
Sim
Não
Não
Pacote de Pacote de
dados dados
Page 19 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Contents
1. Visão geral da ACL
2. Conceitos Básicos e Mecanismo de Funcionamento de ACLs
3. Configurações básicos e aplicação de ACLs
Page 20 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Comandos básicos de configuração de ACLs básica
1. Criar uma ACL Básica.
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-
name ]
Na vista da ACL básica, você pode executar este comando para configurar uma regra para a ACL básica.
Page 21 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Caso: use uma ACL básica para filtrar o tráfego
de dados
1. Configure endereços IP e rotas no router.
192.168.1.0/24 Router
Server 2. Crie uma ACL básica no router para evitar que o segmento de
GE 0/0/1 GE 0/0/2
10.1.1.1/24
rede 192.168.1.0/24 acesse a rede onde o servidor reside.
endereços IP de origem estão no segmento de rede [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
Page 23 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Comandos básicos de configuração de ACLs
avançadas (1)
1. Criar uma ACL avançada.
Page 24 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Comandos básicos de configuração de ACLs
avançadas (2)
2. Configurar uma regra para a ACL avançada.
Você pode configurar regras de ACL avançada de acordo com os tipos de protocolo de pacotes IP. Os parâmetros variam de
acordo com os tipos de protocolo.
Na vista da ACL avançada, você pode executar este comando para configurar uma regra para a ACL avançada.
Na vista da ACL avançada, você pode executar este comando para configurar uma regra para a ACL avançada.
Page 25 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Caso: Use ACLs avançada para impedir que hosts de
usuários em diferentes segmentos de rede se comuniquem (1)
Requisitos:
• Os departamentos de uma empresa são conectados por meio do 3. Crie o ACL 3002 e configure as regras para que o ACL negue pacotes do
router. Para facilitar o gerenciamento da rede, o administrador departamento de marketing para o departamento de P&D.
aloca endereços IP de diferentes segmentos de rede para os
departamentos de P&D e marketing.
[Router] acl 3002
• A empresa exige que o router impeça que os hosts dos usuários
em diferentes segmentos de rede se comuniquem para garantir a [Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255
segurança das informações. destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit
Page 27 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Caso: use ACLs avançadas para impedir que hosts de
usuários em diferentes segmentos de rede se comuniquem (2)
Page 28 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Quiz
1. (Single) Qual das seguintes regras é uma regra válida da ACL básica? ( )
A. rule permit ip
B. rule deny ip
2. Quais parâmetros você pode usar para definir regras de ACL avançadas?
Page 29 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Summary
ACL é uma tecnologia de rede amplamente usada. Seu princípio é o seguinte: os pacotes são
comparados às regras ACL configuradas e as ações são executadas nos pacotes conforme
configurado nas regras ACL. As regras e ações correspondentes são configuradas com base nos
requisitos de rede. Devido à variedade de regras e ações correspondentes, as ACLs podem
implementar várias funções.
As ACLs costumam ser usadas com outras tecnologias, como firewall, política de roteamento,
QoS e filtragem de tráfego.
Page 30 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Thank You
www.huawei.com
Page 31 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.