ACL主要用于实现流量的过滤,业务中网络的需求不止局限于能够连同。
一、过滤工具
1、ACL实现
你的公司当中有研发部门,包括有财务部门,财务部门的访问是要做到控制的,防止被攻击。
这种的过滤方法为:在设备侧可以基于访问需求来实现特定的流量过滤,其中过滤把最基本的ACL策略到Bt防火墙策略,由简单到复杂有不同的工具,而我们最简单的工具称为ACL实现。
2、举例说明
简单来讲,我不希望研发部门和财务部门互通,在现实生活中有很多过滤策略要求非常高,比如要求某些文件不能通过,某些文件达到过滤,某些文件达到检测,这些需要防火墙来实现。
而在基本策略当中,如果仅仅是希望,他们部分网段之间部分部门之间不能互访,那这个需求相对来说比较简单。
过滤工具,比如在现实生活中,管理一个班级,需要指定班规,班规就是策略,班规里会有条文去限制,同样我们的ACL的本质就是写过滤的条文。在里面写好,哪些流量可以通信,哪些不能。
二、ACL实现过滤的方式
1、访问控制
不同部门之间不能互通,他们很明显的特征能够代表部门,最终的结果是流量过来我来执行策略,不同部门之间哪些能够代表一个部门的,在传输的IP报文当中,每一层都可以定义,网络层当中有网段,如果收到一个数据包,源地址是192.168.2.x这样2开头IP全部不行,那么研发部门的流量就不能上网了,这个就叫做访问控制。
2、策略过滤
如果VLAM10的主机原MAC为A,那么就禁止原MAC为A的。同样,如果我不希望你打开某个网站,那么就可以在传输层,假设目标端口为80进行禁止。
其实,写的就是流量特征,实现我们的策略过滤。
3、实现
#define SOE_MIN 0x6000 //驱动程序处理最小值
#define BANPING 0x6001 //过滤程序和驱动程序对话时禁ping功能编号
#define BANIP 0x6002 //禁ip功能编号
#define BANPORT 0x6003 //禁port功能编号
#define NOWRULE 0x6004 //获取防火墙当前规则功能编号
#define SOE_MAX 0x6100 //驱动程序处理最大值
typedef struct ban_status{
int ping_status; //是否禁ping,1禁止,0未设置
int ip_status; //是否禁ip,1禁止,0未设置
int port_status; //是否禁port,1禁止,0未设置
unsigned int ban_ip; //禁ip数值
unsigned short ban_port; //禁port数值
}ban_status;
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
