安全政策 让连接更安全

关于防火墙ACL配置的三点注意事项

  防火墙的功能为保护网络环境,外部入侵者首先需通过防火墙的防御功能,才可以入侵用户计算机。一台防火墙配置的好坏关系到整个网络的安全,但是在配置防火墙的时候需注意一些事项。访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。正确的ACL配置可以提高防火墙的性能和网络安全。

 

 

  1. 慎用deny any规则

 

  防火墙的ACL主要用于软件对业务或管理流量的识别与分类,并不直接用于报文的允许或阻断动作。在配置防火墙各软件模块功能参数时,常常需要使用ACL,此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可,无须在所有规则最后配置一条deny any,这样可以在很大程度上减少防火墙的无谓性能消耗。

 

  例如,配置NAT转换策略时,需要通过ACL限制仅允许内网192.168.1.0/24网段的用户做出方向源地址转换,引用至NAT命令。如下列所示ACL 3001是正确的配置方式,而ACL 3002是错误的配置方式。

 

  正确的ACL配置方式示例:

 

  acl number 3001

 

  rule 1 permit ip source 192.168.1.0 0.0.0255.255

 

  错误的ACL配置方式示例:

 

  acl number 3002

 

  rule 1 permit ip source 192.168.1.0 0.0.0255.255

 

  rule 2 deny ip

 

 

  2. 禁用ACL加速功能

 

  部分防火墙产品支持ACL加速特性,通过启用该特性,可使软件在对单个ACL中存在大量规则时的查找匹配速度更快。但另一方面,当启用某条ACL的加速特性后,不允许再对该ACL进行任何修改,否则会造成加速失效,规则查找匹配将出现混乱。为避免日常维护过程中因操作失误,导致管理员在启用ACL加速的状态下修改规则导致配置失效,在实际操作中建议禁用ACL加速功能。

 

在防火墙Web配置页面中,禁用ACL加速功能。停止加速后,正确的状态如下图所示:

 

 

 

  3. 禁止通过ACL方式实现远程管理访问控制

 

  为提高防火墙在网络运行安全性,网络管理人员应严格限制可以远程访问设备的源主机IP地址。在配置此类策略时,注意不要通过ACL方式做简单限制。例如,以下两种通过配置方式都是不推荐的。

 

  ①在user-interface下配置ACL,对SSH做访问控制。

 

  user-interface vty 0 4

 

  acl 2001 inbound

 

  ②在IP HTTPS后面配置ACL,对HTTPS做访问控制。

 

  ip https acl 2001

 

在防火墙上配置限制可以远程访问本设备的主机源IP地址,应通过配置防火墙域间策略实现。