(試験の焦点)
1. アクセス制御リスト
これは、ネットワーク内のデータ トラフィックを管理し、データ フィルタリングを実装するための重要な手段です。ルーター、レイヤー 3 スイッチング、レイヤー 2 スイッチング、ファイアウォールに実装できます。
非表示のルール:上記のルールがどれも一致しない場合、Huawei はデフォルトで許可し、Cisco はデフォルトで拒否します。
分類 | ルールの説明 | 数値範囲 |
基本的なACL | パケット内の送信元 IP アドレス、断片化情報、および有効期間情報のみを使用してルールを定義します | 2000~2999 |
高度な ACL | 送信元 IP アドレス、宛先 IP アドレス、プロトコル タイプ、および TCP/UDP 送信元/宛先ポート番号を使用してルールを定義します。 | 3000~3999 |
レイヤ 2 ACL | 送信元/宛先 MAC、イーサネット フレーム プロトコル タイプなど、IP パケット内のイーサネット フレーム ヘッダーに従って定義されます。 | 4000~4999 |
ユーザーの高度な ACL | より複雑で具体的な定義を実現するには | 5000~5999 |
ACL はシステム ビューで設定され、有効にするには特定のインターフェイスに適用する必要があります。
(午後にはさらに基礎/高度なACLケーステストがあります)
基本的な ACL 設定 (Huawei)
1、acl [番号] acl-番号(2000~2999) [一致順序] {auto|config}
2. ルール [ rule-id ] 許可|拒否 送信元 IP アドレスの逆サブネット マスク
その中で: any は任意のネットワーク セグメントを表し、ホストを表します: 192.168.10.1 0
例:
次のように構成されます
ルール許可ソース 192.168.1.0 0.0.0.255
ルール拒否ソース 192.168.1.1 0.0.0.0
config が設定されている場合は 192.168.1.1 のデータが転送されますが、auto が設定されている場合は転送されません。
例証します:
match-order: 一致する順序を示すオプションのパラメータ。
auto (深さ優先) は自動ソートを意味し、configはセキュリティ構成順序の一致を意味します (デフォルト)
注: auto が基本 ACL の場合、最初に送信元 IP アドレスの範囲を比較します。2 つのルールの送信元 IP アドレスが一致していれば、構成順序に従って一致します (理解してください)。
rules : 一致ルール、rule-idオプションのパラメータ、ルールの番号を指定します
allowed|deny : 照合操作、allow|deny
デフォルトの ACL ステップ サイズは 5 で、 ACL ビューの ステップstepで調整できます。
//送信元 IP が 172.16.10.3 のホスト パケットの通過を有効にし、ネットワーク セグメント 172.16.10.0/24 の送信元 IP を持つ他のパケットの通過を拒否し、172.16.10.3 のみの通過を許可するように説明情報を設定します。
[HUAWEI]ACL 2020
[HUAWEI-acl-basic-2020]ルール許可 172.16.10.3 0.0.0.0
[HUAWEI-acl-basic-2020]ルール拒否 172.16.10.0 0.0.0.255
[HUAWEI-acl-basic-2020]記述は 172.16.10.3 のみを許可します
//説明
最後に、この ACL をルーターのインターフェイスに適用します。
[インターフェイス ビュー]トラフィック フィルター アウトバウンド ACL 2020
2. インターフェイスへの ACL の適用
インターフェースアプリケーション方向のアクセス制御リスト
アウトバウンド:ルーターによって処理され、ルーター インターフェイスから出ていくデータ パケット: アウトバウンド
インバウンド:ルーター インターフェイスに到着したデータ パケットはルーターによって処理されます: インバウンド
注:デバイス自体によって生成されたトラフィックは ACL を検出しません。
3. 高度な ACL 構成 (Huawei)
1、acl [番号] acl-番号(3000~3999) [一致順序] {auto|config}
//アクセス制御リスト番号を設定する
2. ルール [ルール ID] 許可|拒否 { プロトコル} 送信元 送信 元 IP アドレス アンチマスク宛先 宛先 IP アドレス アンチマスク 宛先ポート eq ポート番号
例証します:
プロトコル: TCP、UDP、ICMP、IP などの対応するプロトコルを開発します。
destination-port:宛先ポート (送信元ポートの場合)
eq は gt に等しい、lt より大きい、neg より小さい、range と等しくない、範囲を指定する
ポート番号: telnet/WWW/dns など、ポートまたはプロトコルに対応するキーワードを直接記述できます。
例:
送信元 IP 172.16.10.3 から宛先 IP 172.16.20.0/24 ネットワーク セグメントへの ICMP パケットの通過を許可するように設定します。
[ファーウェイ]acl3000
[HUAWEI-acl-adv-3000]ルール許可 icmp 送信元 172.16.10.3 0.0.0.0 宛先 172.16.20.0 0.0.0.255
この ACL をルーター インターフェイスに適用します
[インターフェイス ビュー] トラフィック フィルター受信 ACL 3000
4. 時間ベースの ACL
例:
[HUAWEI]時間範囲 mytime 営業日 09:00 ~ 12:00
[HUAWEI]時間範囲 mytime 営業日 14:00 ~ 17:00
[ファーウェイ]ACL2000
[HUAWEI-acl-basic-2000]ルール許可ソース 192.168.10.0 0.0.0.255
[HUAWEI-acl-basic-2000]ルール許可ソース 192.168.20.1 0 時間範囲 mytime
[HUAWEI-acl-basic-2000]ルールはソースを拒否します
[HUAWEI-acl-basic-2000]終了
[HUAWEI]インターフェースg0/0/2
[HUAWEI-Gigabitethernet 0/0/2]トラフィック フィルター アウトバウンド ACL 2000
5. 名前付きACL
名前付きアクセス コントロール リストを使用すると、標準および拡張アクセス コントロール リストでラベルの代わりに名前を使用できます。
1. 基本的な命名 ACL:
acl 名 acl-name {basic acl-numble} [match-order{auto|config}]
例えば:
ACL名 csai 2000
2. 高度なコマンド ACL:
ACL 名 ACL 名 {advance acl-numble} [match-order{auto|config}]
例えば:
ACL名 Csai Advance
6. ACL展開場所(テストサイト)
- 高度な ACL は、データ フローのソースのできるだけ近くに配置する必要があります。
- エラーを避けるために、基本 ACL はデータ フローの宛先にできるだけ近くに配置する必要があります。
7. トラフィック分類、トラフィック動作、およびトラフィック戦略 (1 回テスト)
一部の Huawei レイヤ 3 スイッチ (S シリーズ) の ACL はインターフェイスに直接適用できません。
- ACLの構成
[ファーウェイ]acl3000
[HUAWEI-acl-adv-3000]ルール拒否IP送信元192.168.1.0 0.0.0.255宛先192.168.2.0 0.0.0.255
- ACLベースのトラフィック分類
[HUAWEI]トラフィック分類フィルター c_xs//name
[HUAWEI-classifilter-c_xs]if-match acl 3000
- トラフィックの動作を構成すると、パケットの通過が拒否されます。
[HUAWEI]トラフィック動作 b_xs
[HUAWEI-behavior-b_xs]拒否
- トラフィック分類をトラフィック動作に関連付けるトラフィック ポリシーを構成する
[HUAWEI]トラフィックポリシー p_xs
[HUAWEI-trafficpolicy-p_xs]classifilter c_xs 動作 b_xs
- フロー ポリシーを適用して、対応するアクセス制御を実装する
[HUAWEI]インターフェースe0/0/1
[インターフェイス ビュー] Traffice-policy p_xs 受信
8. 再帰 ACL (Cisco 時代にテスト済み)
概念: デバイスは、一方向の ACL に基づいて、逆方向の ACL を自動的に作成します。再帰性は高度な ACL に基づいてのみ実行でき、ACL ルールは TCP/UDP/ICMP メッセージに基づいてのみ生成できます。
特徴:
イントラネットによって開始されたトラフィックの場合、デバイスはトラフィックのレイヤ 3 およびレイヤ 4 情報に基づいて一時的なリバース ACL を生成し、それを一定期間保持します。この一時的な ACL では、プロトコル タイプは変更されず、送信元IP 宛先IP、送信元ポート、宛先ポートを初期ACLと入れ替え、エージング期間を設定可能 エージング期間中に該当トラフィックが返されない場合、再帰ACLが削除されるため、エージングの安全性が高まります。
(つまり、再帰 ACL が設定された後、サーバーはホストがトラフィックをサーバーに送信した後にのみホストにトラフィックを返すことができ、サーバーによってアクティブに開始されたトラフィックは ACL によって破棄されます。)
構成:
- 高度な ACL3000 を作成し、UDP パケットの通過を許可する ACL ルールを構成します。
[HUWEI]acl 3000
[HUAWIE-acl-adv-3000]ルール許可 udp
[HUAWIE-acl-adv-3000]終了
- インターネットからのパケットはインターフェイス g2/0/1 を介してルーターに入力されるため、UDP パケットを反映するようにインターフェイス g2/0/1 のアウトバウンド方向に再帰 ACL 機能を設定できます。
[HUWEI]インターフェイス ギガビットイーサネット 2/0/1
[インターフェイス ビュー] トラフィック反映アウトバウンド ACL 3000
//再帰 ACL はインターフェイスのアウトバウンド方向に適用されます
9. ファイアウォール上の拡張 ACL アプリケーション (Huawei)
- Huawei ファイアウォールはデフォルトで 3 つのセキュリティ ゾーンに分割されています
信頼エリア (85): このエリアのネットワークは高度に信頼されており、通常はイントラネットを定義するために使用されます。
DMZ ゾーン (50): このエリアのネットワーク信頼レベルは中程度で、通常はパブリック サーバーが配置されているエリアを定義するために使用されます。
untrust ゾーン (5): このゾーンは信頼できないネットワークを表し、通常は外部ネットワークを定義するために使用されます。
ファイアウォール自体のローカルゾーン優先度は100です。
- セキュリティ ドメイン間のデータ フローには、受信と送信を含む方向性があります。
インバウンド方向: データは低優先度エリアから高優先度エリアに送信されます。
アウトバウンド方向: データは優先度の高いエリアから優先度の低いエリアに送信されます。
- セキュリティ ゾーンの設定コマンドは主に次のとおりです。
[FW]ファイアウォール ゾーン名 test //セキュリティ ゾーンの作成 TEST
[FW-zone-test]set priority 10 //セキュリティレベルは10に設定されます
[FW-zone-test]add interface g0/0/1 //インターフェイス g0/0/1 をセキュリティ ゾーンに追加します
構成例:
セキュリティ ゾーンから非セキュリティ ゾーンへの方向では、送信元アドレス 192.168.0.100 のホスト パケットが拒否され、送信元ネットワーク セグメント 192.168.0.0/24 からネットワーク セグメント 172.16.0.0/ へのパケットが拒否されることが必要です。 24名が通過可能です。
[FW]ACL3000
[FW-acl-adv-3000]ルール拒否 IP ソース 192.168.0.100 0
[FW-acl-adv-3000]ルール許可IP送信元192.168.0.0 0.0.0.255宛先172.16.0.0 0.0.0.255
[FW-acl-adv-3000]終了
[FW]ファイアウォール ゾーン間信頼 untrust
[FW-interzone-trust-untrust]パケット フィルター 3000 送信
10. NATアドレス変換技術
- 静的 NAT: 固定の 1 対 1 IP アドレス マッピング
[R1]インターフェイス e0/0/1
[インターフェースビュー]IPアドレス 192.1.1.1 30
[インターフェイスビュー] nat static global 192.1.1.2 inside 10.1.1.2
- ダイナミック NAT: 基本 NAT (変換を行う最初のペアでもあります)
[R1]nat address-group 1 192.1.1.2 192.1.1.4 //パブリックネットワークアドレスプールを定義します
[R1]ACL2000
[R1-acl-basic-2000]ルール許可ソース 10.1.1.0 0.0.0.255
//この ACL はデータグラムをフィルタリングしませんが、NAT 変換が必要なアドレスをマークします。
[R1-acl-basic-2000]終了
[R1]インターフェイス e0/0/1
[インターフェイス ビュー] nat アウトバウンド 2000 アドレス グループ 1 no-pat
//ACL2000 で定義された IP は、アドレス プール内のアドレスと 1 対 1 で変換できることを認識します。
- ダイナミックNAT-PT(ファーウェイ)
PAT ポートベースのアドレス変換
[R1]nat アドレスグループ 1 192.1.1.2 192.1.1.4
[R1]ACL2000
[R1-acl-basic-2000]ルール許可ソース 10.1.1.0 0.0.0.255
[R1-acl-basic-2000]終了
[R1]インターフェイス e0/0/1
[インターフェイス ビュー]nat アウトバウンド 2000 アドレス グループ 1
// 送信インターフェイスで PAT を実行します