ACL访问控制:
网络安全:威胁防护,病毒防护
核心设备和核心机房是不能对外直接提供访问的
访问控制:屏蔽一些网站,用来对数据包做访问控制,丢弃或者放行
设备:路由器来做访问控制
结合其他协议,用于控制的匹配范围
Tcp udp icmp
ACL数据包从接口经过,接口启用了ACL时,路由器会对报文进行检查,然后根据策略做出相应的处理(丢弃或者放行)
ACL 的种类:
基本ACL:2000-2999只能匹配源ip地址
高级ACL:3000-3999可以匹配源ip还可以匹配目的ip,源端口,目的端口,以及三层四层的协议
二层ACL:4000-4999根据数据包的mac地址进行匹配,一般不用。
ACL在接口上的应用:
在入口上:数据包从入口进入路由器,有策略就会执行。
在出口上:数据包经过路由器处理之后,数据包才能出去
华为设备默认是放通的,不做限制,需要人工配置策略。
白名单:在名单上的才可以放行,不在的一律丢弃。
默认是拒绝所有的,允许个别(企业配置核心)
黑名单:在名单上的一律丢弃,不在的可以放行
ACL的应用原则:
基本ACL:尽量用在靠近目的地
高级ACL:尽量用在靠近源的地方
应用规则:
1一个接口的同一方向,只能调用一个acl
2一个acl里可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3数据包一旦被某个规则匹配,就不在继续向下匹配了。
Acl:有acl但是没有配置策略,默认就是放行所有
如果没有匹配到任何策略,也是放行。
扫一扫
1526
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
