2024年网络安全最全TCP IP安全 之 ACL访问控制列表_acl icmp tcp

已于 2024-05-01 19:21:37 修改
阅读量41 收藏 4
点赞数 5
分类专栏: 程序员 文章标签: 安全 web安全 tcp/ip
于 2024-05-01 19:21:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82257383/article/details/138378142
版权
本文详细介绍了ACL(访问控制列表)的原理,包括其基于IP地址和端口号的过滤方式,标准和扩展ACL的区别,以及配置和应用的技巧。还提供了标准和扩展ACL的命令示例,帮助读者理解和掌握网络安全中这一关键概念。
摘要由CSDN通过智能技术生成

ACL是基于数据包中的IP地址、端口号来对数据包进行过滤!

三、ACL的分类
3.1 标准ACL

标准—Standard

表号:1-99或1300-1999

特点:只能基于源IP地址对包进行过滤!

3.2 扩展ACL

扩展—Extended

表号:100-199或2000-2699

特点:可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤!

四、ACL的过滤原理
4.1 飞哥配置ACL的小技巧
1)先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断ACL可以写在哪些路由器上!
2)打开那台路由器,开始编写ACL过滤规则!
3)最后将ACL表应用到某个接口的某个方向才能生效!
4.2 ACL的原理
1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效!  
2)一个接口的一个方向上只能应用一张表。
3)在所有ACL表的最后都有一条隐藏的拒绝所有条目(大boss) !
4)在匹配ACL时,是严格自上而下的匹配每一条的!  匹配成功,则完成动作,没匹配成功,则继续匹配下一条,如全部不匹配,则直接丢弃拒绝通过!(一定要注意书写的先后顺序!!)
5)标准ACL因为只能基于源IP对包进行过滤,so建议写在靠近目标端的地方!
6) 一个ACL编写完成后,默认情况下,不能删除某一条,也不能往中间插入新的条目,只能继续往最后追加新的条目!
4.3 ACL讲解原理过程图

五、ACL命令
5.1 标准ACL命令
conf  t
access-list  表号  permit/deny  条件

表号:1-99

条件:源IP+反子网掩码

反子网掩码:0.0.0.255 0代表严格匹配 255代表不需要匹配!

例如:

access-list  1  deny  192.168.1.0  0.0.0.255        # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  0.0.0.0  255.255.255.255    # 允许所有网段
access-list  1  deny  192.168.2.1  0.0.0.0          # 拒绝一台主机/拒绝一个人

简化:

0.0.0.0  255.255.255.255  == any
192.168.2.1  0.0.0.0   ==  host  192.168.2.1

简化后:

access-list  1  deny  192.168.1.0  0.0.0.255              # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  any                               # 允许所有网段
access-list  1  deny  host  192.168.2.1                   # 拒绝一台主机/拒绝一个人
5.2 扩展ACL命令
conf  t
access-list 表号 permit/deny  协议  源IP 反掩码 目标IP 反掩码  [eq  端口号]

表号:100-199

协议:TCP/UDP/IP/ICMP (当写了端口号,只能写tcp或udp)

注释:ICMP协议就是ping命令所使用的协议,ICMP协议是
网络探测协议,ping别人,就是生成ICMP探测包发给对方,然后对方给我回应一个ICMP探测包,代表ping通了!

[ ]:代表可选

以下案例:

conf  t
access-list  101  permit  tcp  192.168.1.0  0.0.0.255  192.168.6.1  0.0.0.0   eq  80
access-list  101  deny    ip   192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  101  permit  ip   any  any

另外一个案例:

access-list  102  deny  icmp  192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  102  permit  ip  any  any

再来一个案例:

acc  103  deny  tcp  192.168.1.0  0.0.0.255  host  192.168.6.1   eq  23
acc  103  permit  ip  192.168.1.0  0.0.0.255   host  192.168.6.1
acc  103  deny  ip  any  any

再来一个案例:

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2301_82257383
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问控制列表ACL的用法
liu_阳的博客
12-29 1837
1、拒绝某个特定的主机 例如:拒绝源地址为1.1.1.1的报文通过 rule 5 source 1.1.1.1 0.0.0.0 #必须要带有0.0.0.0 2、允许某个网段的所有主机通过 例如:允许192.168.1.0/24所有主机通过 rule 5 permit source 192.168.1.0 0.0.0.225 #(0.0.0.255)=(255.255.255.255)-(255.255.255.0) #24位掩码为255.255.255.0 允许192.168.2.0 2.
思科模拟器:acl网络访问控制 命名设置(extended)
鲍海超
03-16 2934
思科模拟器:acl网络访问控制 命名设置(extended)
计算机网络基础 ---- ACL----访问控制列表----详解
Murphy_Biao的博客
10-25 2614
访问控制列表(Access Control List)是路由器和交换机接口的指令列表,用来控制端口进出的数据包;包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制
交换机与路由技术-31-扩展ACL
w辣条小王子
09-25 1540
所有的ACL类型只能在一个接口一个方向上配置一个组ACL(表号相同算一组)配置扩展ACL使用表号是100~199access-list 表号(100~199)deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) (端口号)eq 等于gt 大于lt 小于neq 不等于range 范围。
基本ACL和扩展ACL
weixin_69884785的博客
04-20 3511
如果有两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面,而最一般的语句排在列表的最后面,这是ACL语句排列的基本原则。出于安全性考虑,ACL的默认动作是拒绝(Implicit Deny),即在ACL中没有找到匹配的语句时分组将被拒绝通过,这相当于在列表最后有一个隐含语句拒绝了所有的通信(deny any)。①一旦发现匹配的语句,就不再处理列表中的其他语句。
ACL访问控制列表.docx
最新发布
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
实验三、ACL访问控制列表配置.doc
02-25
- **理解访问控制列表ACL)的概念**:访问控制列表是一种重要的网络安全措施,用于控制数据包进出网络设备的策略,能够有效地管理网络流量和方向,同时保障网络的安全性。 - **掌握访问控制列表的配置方法**:学习...
IP网络技术中的ACL的gns3文件
04-25
标题"IP网络技术中的ACL的gns3文件"表明这是一个关于IP网络技术的实践案例,特别是涉及到访问控制列表(Access Control List, ACL)的应用,且使用了GNS3(Generic Network Simulator 3)这个网络模拟工具。...
DHCP+RIP+ACL访问控制列表实验配置
07-30
ACL(Access Control List,访问控制列表)是一种安全机制,用于控制网络流量和访问权限。 在本实验中,我们将配置DHCP服务器,RIP路由协议和ACL访问控制列表,以实现网络的互通和安全控制。 一、DHCP服务器配置 ...
ACL访问控制列表的应用[参照].pdf
10-11
总的来说,访问控制列表在软件开发中用于实现网络访问策略,保护系统安全,防止未授权的访问,同时也可以用作流量控制和资源隔离。理解并正确配置ACL对于构建安全、高效的网络环境至关重要。开发者应熟悉各种类型的...
ACL常用的匹配项
qq_32044265的博客
05-29 4642
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某某月某日的某一时间开始,到某某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
ACL策略
五彩斑斓的黑@的博客
06-07 2588
高级acl命令:rule deny icmp soure 192.168.10.1 0 destination 192.168.0.20 0(这里的意思为拒绝192.168.10.1的所有网段访问目的ip 192.168.0.20 其中icmp即通过网际控制协议来达到控制访问的目的)3000~3999 高级acl 可以匹配源ip、目标ip以及源端口和目的端口号、以及三层和四层的相关协议(例:icmp udp tcp)根据通配符规则:0表示匹配(即不变的) 1表示随机分配(即有变化的)
配置标准访问控制列表ACL
生活不易,喵喵叹气
11-11 4036
熟练使用访问控制列表ACL,使路由器可以自主过滤某一网络或某一主机的数据包流量,使用基本命令 Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码 配置ACL,此篇文章帮助你设置网络拓扑结构下的ACL配置
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5841
ACL包过滤技术
访问控制列表
Galdys的专栏
01-07 1300
访问控制列表ACL)    使用 ACL 的指导原则: 在位于内部网络和外部网络(例如 Internet)交界处的防火墙路由器上使用 ACL。 在位于网络两个部分交界处的路由器上使用 ACL,以控制进出内部网络特定部分的流量。 在位于网络边界的边界路由器上配置 ACL。这样可以在内外部网络之间,或网络中受控度较低的区域与敏感区域之间起到基本的缓冲作用。 为边界路由器接口上配
网络基础四(传输层TCP协议 ACL NAT)
刘大可1017的博客
10-11 544
一   传输层的作用     • 网络层提供点到点的连接     • 传输层提供端到端的连接      二    传输层的协议     • TCP(Transmission Control Protocol)     – 传输控制协议  – 可靠的、面向连接的协议  – 传输效率低              • UDP(User Datagram Protocol)     – 用户数据报协议  ...
acl 允许同网段访问_企业实用的NAT+ACL,网工必备的技术
weixin_39812577的博客
11-30 237
一、网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT的实现方式有三种,即静态转换Static ...
ACL扩展IP访问控制列表配置
xtggbmdk的博客
03-27 7929
一、实验目标 理解扩展IP访问控制列表的原理及功能; 掌握编号的扩展IP访问控制列表的配置方法; 二、实验背景 分公司和总公司分别属于不同的网段,部门之间用路由器进行信息传递,为了安全起见,分公司领导要求部门主机只能访问总公司服务器的WWW服务,不能对其使用ICMP服务。 三、技术原理 访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域; 扩展IP访问列表(编号为...
服务器限制远程ip网段,acl限制所有ip网段访问服务器ip
weixin_35627928的博客
07-30 2112
第一阶段调试(基础网络配置):SW1:SW1:sysSystem View: return to User View with Ctrl+Z.[H3C]sysname SW1[SW1]int loopback 0[SW1-LoopBack0]ip address 1.1.1.1 32[SW1-LoopBack0]quit[SW1]router id 1.1.1.1[SW1]vlan 10[SW1-...
理解ACL访问控制列表详解
匹配项包括但不限于IP地址、协议类型(如TCP、UDP)、端口号、ICMP类型等,可以根据这些元素定制规则,精确控制网络流量。 8. ACL的常用配置原则 配置ACL时,应遵循一些基本原则,例如尽可能细化规则、最小权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值