一文读懂ACL:分类解析、应用场景及华为设备配置实战

作者:本站 来源:本站

2026-02-02 23:32 1426阅读

一文读懂ACL:分类解析、应用场景及华为设备配置实战

ACL的分类体系

根据功能和应用场景的不同,华为等主流网络设备将ACL分为多个类别,每种类型通过特定的编号范围进行标识。

其中,基本ACL仅基于源IP地址进行过滤,而高级ACL能够检查IP分组第3层和第4层报头中的更多字段,如源/目的IP地址、协议类型、端口号等,实现更精细的控制。此外,设备还支持通过名称来标识的命名型ACL。

ACL的常见应用场景

ACL的应用贯穿于网络安全的各个层面,从基础的访问隔离到复杂的流量管理。

智能流量管理

  • 分时访问控制:利用时间ACL,在工作时间禁止访问娱乐、游戏网站,非工作时间放开,以提升工作效率。
  • 分时带宽管理:在工作时间保障核心业务带宽,限制P2P下载;在夜间或周末放开限制,优化带宽利用率。
  • 服务访问控制:允许或拒绝特定端口的流量,例如只允许HTTP/HTTPS访问,拒绝Telnet或FTP。

ACL还可用于实现路由过滤,与路由策略结合,对路由信息的接收与发布进行精确控制,或用于网络地址转换(NAT),确定哪些内网地址通过哪个外网地址池进行转换。

华为设备ACL配置实战

下面以一个典型的企业网络场景为例,展示如何在华为路由器上配置ACL。假设网络中有研发部(网段:192.168.1.0/24)、市场部(网段:192.168.2.0/24)和财务服务器(IP:172.16.10.1)。

需求1:禁止研发部访问财务服务器,但允许其访问其他网络。

这需要使用高级ACL,在连接研发部的路由器接口入方向进行过滤。

华为设备配置命令

# 进入系统视图
<HUAWEI> system-view

# 创建高级ACL 3000
[HUAWEI] acl 3000

# 配置规则:拒绝研发部(192.168.1.0/24)访问财务服务器(172.16.10.1)
[HUAWEI-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0

# 配置规则:允许其他所有IP流量(避免隐含拒绝所有)
[HUAWEI-acl-adv-3000] rule permit ip
[HUAWEI-acl-adv-3000] quit

# 进入连接研发部的接口(例如GigabitEthernet 0/0/1)
[HUAWEI] interface GigabitEthernet 0/0/1

# 在接口入方向应用ACL 3000
[HUAWEI-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
[HUAWEI-GigabitEthernet0/0/1] quit

需求2:在工作时间(周一至周五 8:00-17:30)限制市场部的总上网带宽为4Mbps。

这需要结合时间ACL和流量策略(MQC)。

华为设备配置命令

# 定义工作时间段
[HUAWEI] time-range WORK_TIME 08:00 to 17:30 working-day

# 创建ACL识别市场部流量
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit ip source  192.168.2.0 0.0.0.255 time-range WORK_TIME
[HUAWEI-acl-adv-3001] quit

# 配置MQC流策略进行限速
[HUAWEI] traffic classifier MARKET_CLASSIFIER
[HUAWEI-classifier-MARKET_CLASSIFIER] if-match acl 3001
[HUAWEI-classifier-MARKET_CLASSIFIER] quit

[HUAWEI] traffic behavior SHAPING_4M
[HUAWEI-behavior-SHAPING_4M] car cir 4000  # 承诺信息速率4Mbps
[HUAWEI-behavior-SHAPING_4M] quit

[HUAWEI] traffic policy QOS_FOR_MARKET
[HUAWEI-trafficpolicy-QOS_FOR_MARKET] classifier MARKET_CLASSIFIER behavior SHAPING_4M
[HUAWEI-trafficpolicy-QOS_FOR_MARKET] quit

# 在连接市场部的接口入方向应用流策略
[HUAWEI] interface GigabitEthernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] traffic-policy QOS_FOR_MARKET inbound
[HUAWEI-GigabitEthernet0/0/2] quit
lass="syl-page-code">

关键配置原则与注意事项

  • 匹配顺序:ACL规则默认按配置顺序(规则ID从小到大)匹配,一旦命中即停止。也可设置为自动排序(深度优先)。
  • 隐含拒绝:如果数据包未匹配任何规则,设备将执行隐含的“拒绝所有”操作。因此,通常需要在ACL末尾显式添加一条`permit ip`规则以避免误阻断。
  • 应用方向:需仔细考虑将ACL应用在接口的`inbound`(入方向)还是`outbound`(出方向),这决定了过滤的是进入还是离开设备的流量。
  • 规则位置:通常将更具体、更严格的规则放在前面,避免被泛化的规则提前匹配。
  • 时间ACL依赖:时间ACL完全依赖设备的系统时钟,务必使用NTP同步时间,否则策略生效时间会错乱。

上一篇

VPN(虚拟专用网络)通过加密隧道在公共网络上实现私有网络的安全通信。本文详细解析VPN的四大核心技术:隧道技术(如PPTP、IPSec、SSL/TLS)、加密算法(对称/非对称/哈希)、身份认证(PAP/CHAP/数字证书/双因素)以及协议体系(远程访问、站点到站点、扩展企业VPN)。同时介绍了常用VPN类型(OpenVPN、IPSec、WireGuard等)、典型使用场景(企业远程办公、分支机构互联、个人隐私保护),并重点强调了在中国境内合法使用VPN的规范:个人需通过正规渠道申请企业级VPN,企业需获得通信管理局许可,严禁使用未授权个人VPN。

下一篇

远程监控为工业运营带来便利的同时也引入安全隐患。本文分析传统VPN的局限与风险,并介绍数据二极管、网络分段、零信任等新一代防护方案,旨在帮助企业既不牺牲安全,又实现高效的远程运维。来自多位行业专家的实践建议,为OT/IT融合与运营韧性提升提供了路径。

相关阅读

本文解答了上网记录监控能否被查到、监控软件能看什么以及合法性问题。通过专业软件如域智盾,管理者可以实时获取员工网站访问、搜索关键词等详细记录,并利用黑白名单、时段管控及统计报表提高工作效率。同时,文章提醒合理设置监控政策以规避法律风险,适用于企业网络行为管理。
VPN(虚拟专用网络)通过加密隧道在公共网络上实现私有网络的安全通信。本文详细解析VPN的四大核心技术:隧道技术(如PPTP、IPSec、SSL/TLS)、加密算法(对称/非对称/哈希)、身份认证(PAP/CHAP/数字证书/双因素)以及协议体系(远程访问、站点到站点、扩展企业VPN)。同时介绍了常用VPN类型(OpenVPN、IPSec、WireGuard等)、典型使用场景(企业远程办公、分支机构互联、个人隐私保护),并重点强调了在中国境内合法使用VPN的规范:个人需通过正规渠道申请企业级VPN,企业需获得通信管理局许可,严禁使用未授权个人VPN。
在第11个全民国家安全教育日之际,本文总结10个实用网络安全小常识,覆盖恶意程序、网络攻击、泄密防范、漏洞修复、钓鱼网站识别、伪基站辨识、个人信息保护、废弃载体处理、网络交友和守法上网等高频风险场景。每一条都提供简单易行的防范措施,帮助读者在日常上网中保护隐私、避免踩雷,养成安全习惯。
西班牙首相桑切斯在世界政府峰会上宣布,计划禁止16岁以下青少年访问社交网络平台,并要求平台实施有效年龄验证。相关措施已纳入《网络环境未成年人保护法》草案,与葡萄牙、法国等国同步。桑切斯还提议法律改革,让平台运营商对违法行为负责,操纵算法和传播非法内容将被视为违法。
2009年中国网络遭受大规模境外攻击惨烈:1800万终端被控,4.2万政府网站遭篡改,关键数据外泄。这场“数字珍珠港”促使中国放弃纯开放策略,建立网络防火墙。文章以鲜为人知的历史揭示中国互联网管理背后的安全考量,解读为何限制外网访问。
电脑卡顿、磁盘灯狂闪、网速变慢,可能是后台有恶意程序在偷偷读写磁盘和联网。本文通过一个真实案例,详细演示了如何利用Windows自带的工具——任务管理器、资源监视器、数据使用记录和事件查看器——一步步追踪可疑进程,最终定位并删除恶意软件。无需借助杀毒软件,仅靠系统内置功能就能揪出元凶。
网上冲浪时遇到风险提示,很多人选择忽略继续访问。本文详细分析了坚持访问危险网站的后果:恶意代码可能劫持手机,诱导下载流氓APP并难以卸载;钓鱼网站仿真度高,窃取账号密码;HTTP明文传输导致信息被黑客截获。此外,被举报的网站可能导致公安机关介入。鼓励用户遇到可疑页面及时举报,避免因一时好奇陷入网络安全陷阱。
本文深入浅出地解析了AI模型中的Token(词元)与网络访问接口中的Token(令牌)两个易混淆概念。AI模型Token是文本处理的最小单位,用于模型理解和生成文字,并以Token计费;网络接口Token则是身份验证凭证机制,用于身份验证和权限授权,常以JWT形式出现。通过比喻和工作流程对比,帮助读者清晰理解两者在技术栈中的不同角色与核心区别。
针对“路由器监控上网记录”的传言,本文揭示5个真相:家用路由器默认不记录浏览内容,仅存储基础信息;可查看的数据需用户授权,且HTTPS加密保护细节;企业公共WiFi依法留存日志但不得泄露;只有管理员才能查看后台,黑客攻破难度大;做好密码、固件和加密设置即可防范隐私泄露。选择正规品牌,无需过度焦虑。