Princípios e

Configuração do ACL
 Introdução

• O rápido desenvolvimento da rede traz desafios para a segurança da rede e qualidade

de serviço (QoS). As listas de controle de acesso (ACLs) estão intimamente relacionadas
à segurança de rede e QoS.
• Ao identificar com precisão os fluxos de pacotes em uma rede e trabalhar com outras
tecnologias, as ACLs podem controlar os comportamentos de acesso à rede, prevenir
ataques à rede e melhorar a utilização da largura de banda da rede, garantindo assim a
segurança do ambiente de rede e a confiabilidade da QoS.
• Este curso descreve os princípios básicos e funções de ACLs, tipos e características de
ACLs, composição básica de ACLs, ordem de correspondência de ID de regra de ACL, uso
de curingas e configurações de ACL.
 Objetivos
• Ao concluir este curso, você deve ser capaz de:
• Descrever os princípios básicos e as funções das ACLs.
• Compreender os tipos e características dos ACLs.
• Descrever a composição básica da ordem de correspondência da ID da
regra ACL e ACLs.
• Entender como usar curingas em ACLs.
• Completar as configurações básicas de ACLs.
 Conteúdo

1. Visão geral da ACL

2. Conceitos Básicos e Mecanismo de Trabalho das ACLs

3. Configurações Básicas e Aplicações de ACLs

 Fundo: Uma ferramenta é necessária para
filtrar o tráfego
VLAN 10 Existe alguma
Servidor do ferramenta disponível
departamento para filtrar o tráfego IP?
financeiro em
Departamento de 192.168.4.4/24
P&D em
192.168.2.0/24
Internet

VLAN 20

Tráfego negado
Presidência em
Tráfego permitido
192.168.3.0/24

• Para garantir a segurança dos dados financeiros, uma empresa proíbe o acesso do departamento de P&D ao servidor
do departamento financeiro, mas permite o acesso do escritório do presidente ao servidor do departamento
financeiro.
 Visão geral da ACL
• Uma ACL é um conjunto de regras sequenciais compostas por declarações de permissão ou negação.
• Um ACL combina e distingue pacotes.
Aplicação ACL

Endereço IP de origem, Números da

• Tráfego IP correspondente
endereço IP de destino e porta de origem • Invocado em um filtro de tráfego
tipo de protocolo e destino
• Invocado na tradução de endereços de
rede (NAT)
Cabeçalho IP Cabeçalho TCP/UDP Dados
• Invocado em uma política de roteamento
• Invocado em uma política de firewall
• Invocado em QoS
• Outros
 Conteúdo

1. Visão geral da ACL

2. Conceitos Básicos e Mecanismo de Trabalho das ACLs

3. Configurações Básicas e Aplicações de ACLs

 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Composição da ACL
• Um ACL consiste em várias declarações de permissão ou negação. Cada afirmação é uma regra do ACL, e
permitir ou negar em cada afirmação é a ação correspondente à regra.

O que cada regra significa?

acl number 2000 Número ACL

rule 5 permit source 1.1.1.0 0.0.0.255

ID de regras
rule 10 deny source 2.2.2.0 0.0.0.255
Ação Regras definidas pelo
usuário
Opção de rule 15 permit source 3.3.3.0 0.0.0.255
correspondência
(Endereço IP de
...
origem)

rule 4294967294 deny Regra oculta no final do ACL

 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

ID de Regras
acl number 2000 ID e Etapa da Regra
ID de regras
• ID de regras
rule 5 deny source 10.1.1.1 0 Cada regra em um ACL tem um ID.
rule 10 deny source 10.1.1.2 0 • Passo
rule 15 permit source 10.1.1.0 0.0.0.255 Uma etapa é um incremento entre IDs de regras vizinhas
alocadas automaticamente pelo sistema. O passo padrão
Step = 5
é 5. Definir um passo facilita a inserção de regras entre as
regras existentes de um ACL.
Como faço para adicionar uma regra? • Alocação de ID de regra
Se uma regra for adicionada a uma ACL vazia, mas
rule 11 deny source 10.1.1.3 0
nenhum ID for especificado manualmente para a regra, o
sistema aloca um valor de etapa (5 por exemplo) como o
acl number 2000 ID da regra. Se uma ACL contiver regras com IDs
rule 5 deny source 10.1.1.1 0 especificados manualmente e uma regra sem ID
rule 10 deny source 10.1.1.2 0 especificado manualmente for adicionada, o sistema aloca
rule 11 deny source 10.1.1.3 0 a esta regra uma ID que é maior que a maior ID de regra
rule 15 permit source 10.1.1.0 0.0.0.255 na ACL e é o menor múltiplo inteiro do valor da etapa.
 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Coringa (1)
Curinga
acl number 2000 Curinga
• Um curinga é um número de 32 bits que indica quais bits
em um endereço IP precisam ser estritamente
rule 5 deny source 10.1.1.1 0 correspondidos e quais bits não precisam ser
rule 10 deny source 10.1.1.2 0 correspondidos.
rule 15 permit source 10.1.1.0 0.0.0.255 • Um curinga é geralmente expresso em notação decimal
pontilhada, como uma máscara de rede é expressa. No
entanto, seus significados são diferentes.

• Regra de correspondência
0: matching; 1: random allocation

Como faço para corresponder o endereço do segmento de rede correspondente a

192.168.1.1/24?
192.168.1.1 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1
192.168.1.0/24
segmento de rede
0.0.0.255 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1

Correspondência estrita Alocação aleatória

 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Coringa (2)
• Um curinga pode ser usado para combinar endereços IP ímpares no segmento de rede 192.168.1.0/24, como
192.168.1.1, 192.168.1.3 e 192.168.1.5.

Correspondência
estrita Alocação aleatória Correspondência estrita

192.168.1 1 192.168.1.1 0.0.0.254

192.168.1 0 0 0 0 0 0 0 1

192.168.1 3 O valor 1 ou 0 no curinga pode ser não consecutivo.

192.168.1 0 0 0 0 0 0 1 1

192.168.1 5
Coringa especial
192.168.1 0 0 0 0 0 1 0 1 • Corresponda exatamente ao endereço IP 192.168.1.1.
… 192.168.1.1 0.0.0.0 = 192.168.1.1 0
Curinga
• Corresponder a todos os endereços IP.
0.0.0. 1 1 1 1 1 1 1 0 0.0.0.0 255.255.255 = any
 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Classificação e Identificação do ACL

• Classificação da ACL com base nos métodos de definição de regras da ACL

Categoria Faixa Numérica Descrição

ACL Básica 2000 a 2999 Define regras baseadas em endereçosIPv4 de origem, informações de fragmentação e intervalos de tempo eficazes.

Define regras baseadas em endereços IPv4 de origem e destino, tipos de protocolo IPv4, tipos de ICMP, números de porta
ACL Avançada 3000 a 3999
de origem/destino TCP, números de porta de origem/destino UDP e intervalos de tempo eficazes.
Define regras com base em informações em cabeçalhos de pacotes de quadros Ethernet, como endereços MAC de
ACL Camada 2 4000 a 4999
origem e destino e tipos de protocolo da Camada 2.
ACL Definido pelo Define regras baseadas em cabeçalhos de pacotes, deslocamentos, máscaras de caracteres e cadeias de caracteres
5000 a 5999
usuário definidas pelo usuário.
Define regras baseadas em endereços IPv4 de origem ou grupos de lista de controle de usuário (UCL), endereços IPv4 de
ACL do usuário 6000 a 6999 destino ou grupos UCL de destino, tipos de protocolo IPv4, tipos de ICMP, números de porta de origem/destino TCP e
números de porta de origem/destino UDP.

• Classificação da ACL com base nos métodos de identificação da ACL

Categoria Descrição
ACL numerado Método tradicional de identificação da ACL. Uma ACL numerada é identificada por um número.
ACL Nomeada Uma ACL nomeada é identificada por um nome.
 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

ACLs Básicas e Avançadas

• ACL Básica Endereço IP de origem

Faixa Numérica: Cabeçalho IP Cabeçalho TCP/UDP Dados

2000 a 2999
acl number 2000
rule 5 deny source 10.1.1.1 0
rule 10 deny source 10.1.1.2 0
rule 15 permit source 10.1.1.0 0.0.0.255

Endereço IP de origem, Números da porta

• ACL Avançada endereço IP de destino e de origem e
tipo de protocolo destino

Faixa Numérica: Cabeçalho IP Cabeçalho TCP/UDP Dados

3000-3999
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
rule 10 permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 destination-port eq 21
 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Mecanismo de Correspondência ACL

Começo
Princípio de correspondência: A correspondência para quando uma
regra é correspondida.
A ACL Não
referenciada
existe?
Sim

Não
A ACL contém
regras?

Sim
Analise a primeira
regra. A ação da ACL permitir
é permitir
ou negar?
Combine a Sim
regra. negar
Não

Existem regras Não O resultado da O resultado da O resultado da

restantes? correspondência ACL é correspondência ACL é correspondência da ACL é
negar. permitir. "correspondência
Sim negativa."
Analise a próxima
Finalizado
regra.
 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Ordem e Resultado de Correspondência ACL

• Ordem de configuração (config mode)
• O sistema combina pacotes com regras ACL em ordem crescente de ID de regra. Ou seja, a regra com o menor ID é
processada primeiro.

192.168.1.1/24 acl 2000

192.168.1.1/24
192.168.1.2/24 rule 1 permit source 192.168.1.1 0.0.0.0
192.168.1.2/24
192.168.1.3/24 rule 2 permit source 192.168.1.2 0.0.0.0
192.168.1.4/24
192.168.1.4/24 rule 3 deny source 192.168.1.3 0.0.0.0
192.168.1.5/24
192.168.1.5/24 rule 4 permit 0.0.0.0 255.255.255.255

Objeto a ser ACL Básica Endereços IP permitidos

correspondido
regra 1: permite pacotes com o endereço IP de origem 192.168.1.1.
regra 2: permite pacotes com o endereço IP de origem 192.168.1.2.
regra 3: nega pacotes com o endereço IP de origem 192.168.1.3.
regra 4: permite pacotes de todos os outros endereços IP.
 Regras de
Composição da ACL Classificação da ACL
correspondência da ACL

Posição de Correspondência ACL

Pacote de dados

Configure uma ACL na interface. Configure uma ACL na interface.

Para permitir que a ACL entre em vigor para Para permitir que a ACL entre em vigor para o
o pacote de dados mostrado na figura, pacote de dados mostrado na figura,
aplicar a ACL na direção de entrada. aplicar a ACL na direção de saída.
 Conteúdo

1. Visão geral da ACL

2. Conceitos Básicos e Mecanismo de Trabalho das ACLs

3. Configurações Básicas e Aplicações de ACLs

 Comandos Básicos de Configuração de
ACLs Básicas
1. Cria uma ACL básica.

[Huawei] acl [ number ] acl-number [ match-order config ]

Cria uma ACL básica numerada e entre na sua view.

[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]

Cria uma ACL básica nomeada e entra na sua view.

2. Configure uma regra para a ACL básica.

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-
name ]

Na view da ACL básica, você pode executar este comando para configurar uma regra para a ACL básica.
 Caso: Use uma ACL básica para filtrar o
tráfego de dados 1. Configure endereços IP e rotas no roteador.

192.168.1.0/24 Rotead
or Servido 2. Crie uma ACL básica no roteador para evitar que o segmento de
GE 0/0/1 GE 0/0/2
r
10.1.1.1/24
rede 192.168.1.0/24 acesse a rede onde o servidor reside.

[Router] acl 2000

192.168.2.0/24
• Requisitos:
Para evitar que o host do usuário no segmento de
rede 192.168.1.0/24 acesse a rede onde o servidor
reside, configure uma ACL básica no roteador. Após a
conclusão da configuração, a ACL filtra os pacotes de
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source any
3. Configure a filtragem de tráfego na direção de entrada da GE
0/0/1.
[Router] interface GigabitEthernet 0/0/1

dados cujos endereços IP de origem estão no segmento [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

de rede 192.168.1.0/24 e permite outros pacotes de [Router-GigabitEthernet0/0/1] quit

dados.
 Comandos Básicos de Configuração de
ACLs Avançadas (1)

1. Cria uma ACL avançada.

[Huawei] acl [ number ] acl-number [ match-order config ]

Cria uma ACL avançada numerada e entra na sua view.

[Huawei] acl name acl-name { advance | acl-number } [ match-order config ]

Cria uma ACL avançada nomeada e entra na sua view.

 Comandos Básicos de Configuração de
ACLs Avançadas (2)
2. Configura uma regra para a ACL avançada.
Você pode configurar regras avançadas de ACL de acordo com os tipos de protocolo de pacotes IP. Os parâmetros variam de
acordo com os tipos de protocolo.

▫ Quando o tipo de protocolo é IP, o formato de comando é:

rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard |
any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]

Na view da ACL avançada, você pode executar este comando para configurar uma regra para a ACL avançada.

▫ Quando o tipo de protocolo é TCP, o formato de comando é:

rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port {
eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt
port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *

Na view da ACL avançada, você pode executar este comando para configurar uma regra para a ACL avançada.
 Caso: Use ACLs avançadas para impedir
que os hosts de usuários em diferentes
segmentos de rede se comuniquem (1)
GE 0/0/1 1. Configure endereços IP e rotas no roteador.
Departamento de P&D 10.1.1.1/24
2. Crie a ACL 3001 e configure regras para a ACL negar pacotes do
10.1.1.0/24
Rotead departamento de P&D para o departamento de marketing.
Internet
or
[Router] acl 3001
GE 0/0/2
10.1.2.1/24 [Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255
destination 10.1.2.0 0.0.0.255
Departamento de
Marketing [Router-acl-adv-3001] quit
10.1.2.0/24
Requisitos:
• Os departamentos de uma empresa são conectados através do 3. Crie a ACL 3002 e configure regras para a ACL negar pacotes do
roteador. Para facilitar o gerenciamento de rede, o departamento de marketing para o departamento de P&D.
administrador aloca endereços IP de diferentes segmentos de
rede aos departamentos de P&D e marketing.
[Router] acl 3002
• A empresa exige que o roteador impeça que hosts de usuários
em diferentes segmentos de rede de se comunicar para garantir [Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255
a segurança da informação. destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit
 Caso: Use ACLs avançadas para impedir
que os hosts de usuários em diferentes
segmentos de rede se comuniquem (2)

GE 0/0/1 4. Configure a filtragem de tráfego na direção de entrada do GE 0/0/1 e

Departamento de P&D 10.1.1.1/24 GE 0/0/2.
10.1.1.0/24
Rotead Internet
or [Router] interface GigabitEthernet 0/0/1
GE 0/0/2 [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
10.1.2.1/24
[Router-GigabitEthernet0/0/1] quit
Departamento de
Marketing
10.1.2.0/24 [Router] interface GigabitEthernet 0/0/2
Requisitos: [Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002
• Os departamentos de uma empresa são conectados através do [Router-GigabitEthernet0/0/2] quit
roteador. Para facilitar o gerenciamento de rede, o
administrador aloca endereços IP de diferentes segmentos de
rede aos departamentos de P&D e marketing.
• A empresa exige que o roteador impeça que hosts de usuários
em diferentes segmentos de rede de se comunicar para garantir
a segurança da informação.
 Resumo

• ACL é uma tecnologia de rede amplamente utilizada. Seu princípio é o seguinte: os

pacotes são combinados com as regras configuradas do ACL e as ações são tomadas nos
pacotes, conforme configurado nas regras do ACL. As regras e ações correspondentes
são configuradas com base nos requisitos de rede. Devido à variedade de regras e
ações correspondentes, as ACLs podem implementar muitas funções.
• As ACLs são frequentemente usadas com outras tecnologias, como firewall, política de
roteamento, QoS e filtragem de tráfego.
Obrigado