2.2配置遵循的条件
ACL 指令需要应用于入站数据流或者应用于出站数据流。入站 ACL 是指对到来的分组进行处理后在路由到主站接口,效率高。出站 ACL 是指将分组路由到出站接口,然后根据 ACL 对其进行处理。一般配置不会这样,会增加路由器的工作量。特殊情况下需要计算机进行内网访问服务器。ACL 的运行顺序一般是从上到下,每次一条语句。当外来的信息进入路由器接口时,在 ACL 中会对于相应的条件进行指令设置, 指令满足进行立即执行,指令不满足自动跳转到下一行指令。ACL 配置的命令要将限制条件明确的指令放在前面, 限制条件宽泛的指令放在后面, 否则会影响相关条件的判断。
2.3 ACL 访问列表
ACL 访问列表是 ACL 实现功能的基本条件。信息通过对比 ACL 控制列表来进行数据拒绝还是通过的判断,基本的配置内容如下:
(1)访问控制列表的编号指明了使用何种协议的访问列表。
(2)每个端口、 每个方向、 每条协议只能对应于一条访问列表。
(3)访问列表的内容决定了数据的控制顺序。
(4)具有最严格限制条件的语句应放在访问控制列表的最上面。
(5)在访问列表的最后有一条隐含声明:deny any-(拒绝所有)每一条正确的访问列表都至少应该有一条允许语句。
(6)先创建访问列表, 然后应用到端口上。
(7)访问列表不能过滤路由器自己产生的数据。
3 ACL的基本原则和实现方式
3.1标准网络控制列表
1-99和 1300-1999 基于源 IP 地址过滤,也就是说只考虑信号发出端 IP 地址的形式,不考虑其他的形式。
3.2扩展网络控制列表
100-199 和 2000-2699 (基于源、 目的 IP 地址 :源、目的 TCP/UDP 端口、 协议类型)。标准网络控制列表和扩展网络控制列表的区别:标准网络控制列表由于只能拒绝固定端源 IP 发出的信息, 所以应用的时候具有一定的局限性。 而扩展网络控制列表既可以控制信息的源发出,又可以控制信息送的方向。 例如:如果要控制一台办公计算机只可以访问办公网站,不能访问游戏等娱乐网站, 就要利用扩展网络控制列表对于信息的源和目的都进行限制,才能准确地完成先关的操作。另一方面, 扩展访问控制列表的限制手段较为灵活。对于信息的限制, 扩展网络控制列表可以根据协议等不同的特性将某一类的网址进行限制, 但是不影响源计算机对于其他网址的访问, 灵活地对于上网工作进行规范。
3.3配置原则
ACL 访问控制列表在配置的过程当中一定要包含一下几种内容:基于每一种协议配置一个 ACL(数据通过某种形式来的),即指数据进入路由器时遵守哪一种网络访问协议;于每一个方向配置一个 A-CL (数据在网络中的流向), 要将数据是进入路由器还是从路由器向外发送标记清楚, 即分清信息的内外;基于一个接口配置一个 ACL( ACL 在哪一个接口上进行加载实现);ACL 的指令不能直接在路由器中进行使用, 必须要将指令放在路由器的端口处才能正常地工作。
4 应用领域
| 业务分类 | 应用场景 | 涉及业务模块 |
| 登录控制 | 对交换机的登录权限进行控制,允许合法用户登录,拒绝非法用户登录,从而有效防止未经授权用户的非法接入,保证网络安全性。例如,一般情况下交换机只允许管理员登录,非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL,并在ACL中定义哪些主机可以登录,哪些主机不能。 | Telnet、SNMP、FTP、 TFTP、SFTP、HTTP |
| 对转发的报文进行过滤 | 对转发的报文进行过滤,从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。例如,可以利用ACL,降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级,在网络拥塞时优先丢弃这类流量,减少它们对其他重要流量的影响。 | QoS流策略、NAT、IPSEC |
| 对上送CPU处理的报文进行过滤 | 对上送CPU的报文进行必要的限制,可以避免CPU处理过多的协议报文造成占用率过高、性能下降。例如,发现某用户向交换机发送大量的ARP攻击报文,造成交换机CPU繁忙,引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL,将该用户加入黑名单,使CPU丢弃该用户发送的报文。 | 黑名单、白名单、用户自定义流 |
| 路由过滤 | ACL可以应用在各种动态路由协议中,对路由协议发布和接收的路由信息进行过滤。例如,可以将ACL和路由策略配合使用,禁止交换机将某网段路由发给邻居路由器 | BGP、IS-IS、OSPF、 OSPFv3、RIP、RIPng、组播协议 |
5 仿真实验
要求R1和R2不能互访,PC1也不能访问PC4,其他可以互相访问
5.1 配置详情
R1:
R2:
5.2 在R1上ping仿真测试
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
