ACL-Access Control List 包过滤技术

最新推荐文章于 2024-05-08 11:18:42 发布
最新推荐文章于 2024-05-08 11:18:42 发布
阅读量314 收藏
点赞数
文章标签: list udp tcp/ip
原文链接:https://www.bilibili.com/video/BV1Lf4y1t7Mc?p=93
版权

一、ACL基础知识

1.Access Control List
2.一种包过滤技术
3.ACL是基于IP包头的IP地址、四层TCP/UDP头部的端口号、5层数据
4.ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
主要分为2大类:

  • 标准ACL
  • 扩展ACL
    在这里插入图片描述

5.标准ACL:

表号范围:1-99

功能:只能基于源IP对包进行过滤
比如:禁止10网段访问50网段,如果写在in方向,那么acl会禁止所有源IP为10的ACL包通过,导致其他到20,30的包也无法通过,而写在out方向则会避免这一特点
在这里插入图片描述
命令:

conf t
access-list 表号 [动作]permit/deny  [条件] 源IP或源网段 反子网掩码
# 反子网掩码就是将正子网掩码0和1倒置  255.0.0.0变成0.255.255.255
# 反子网掩码是用来匹配的,与0对应的需要严格匹配与1对应的忽略
例如 
access-list 1 deny 10.0.0.0 0.255.255.255
解释:该条目用来拒绝所有源ip为10开头的

access-list 1 deny 10.1.1.1 0.0.0.0
解释:该条目用来拒绝所有源ip为10.1.1.1的主机
ip为固定1个人的时候可以简写:
access-list 1 deny host 10.1.1.1 

access-list 1 deny 0.0.0.0 255.255.255.255
解释:该条目用来拒绝所有人
简写:access-list 1 deny any

# 查看acl表
show access-list [表id]

# 将ACL应用到接口
int f0/x
ip access-group 表号 in/out
exit

# 完整的案例
conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any

6.拓展ACL

  • 表号:100-199
  • 特点:可以基于源IP,目标IP,端口号,协议等对包进行过滤
  • 命令
acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 [eq 端口号]

案例: 
# 10.1.1.1这个人禁止访问20.1.1.1的整个网段,除了这个网段的80可以访问
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
# 如哦前面加上icmp,表示可以ping通,但是不能访问所有服务
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255 echo-reply
# 10.1完全不能ping通20网段
# ping使用的ICMP协议,与ip协议并行,因此不能ping通
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255

acc 100 permit ip any any

# 协议: tcp/udp/icmp/ip 
如果eq后面跟端口号了,那么前面必须加协议名称
如果没有端口号,那么前面协议随便写

在这里插入图片描述

7、命名ACL

可以对标准ACL或拓展ACL进行自定义命名
优点:自定义命名更容易辨认,也易于记忆

7、ACL原理

  • ACL表必须应用到接口的进(in)或出(out)方向才生效

  • 一个接口的一个方向只能应用一张表

  • 进或出方向取决于流量控制总方向

  • ACL表是严格自上而下检查每一条,所以要主要书写顺序

  • 每一条是由条件和动作组成,当某流量完全满足条件没有满足某条件,则继续检查下一条

  • 标准ACL尽量写在靠近目标的地方

  • wencoll小原理:
    1)做流量控制,首先要先判断ACL写的位置(哪个路由器,哪个接口的哪个方向)
    2)再考虑怎么写ACL
    3)如何写?
    首先要判断最终要允许所有还是拒绝所有
    然后写的时候要注意将严格控制写在前面

  • 一般情况下,标准或扩展ACL一旦编写好,无法修改某一条,也无法删除某一条,也无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目

  • 如果向修改或插入或删除,只能删除整张表,重新写!

conf t
no access-list 表号

二、ACL实验演示

1.标准ACL实验图示
在这里插入图片描述
2.步骤

1)全网互通

a. 路由配IP,no shut 开启路由器通路
b. ip route配置静态IP路由

2)编写ACL表格

实验要求:
a.要求10网段禁止访问整个50网段
b.要求40.1.1.1PC禁止访问50网段,其他访问均不受影响
c.要求10.1.1.1禁止访问40网段,其他不受影响

R2配置

en 
conf t
# 查看相关ACL表格
do show ip access list
#
acc 2 deny 10.1.1.0 0.0.0.255
acc 2 deny host 40.1.1.1
acc 2 permit any
int g0/2
ip access-group 2 out

结果
在这里插入图片描述
配置r3
在这里插入图片描述
结果:
10网段主机显示
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.拓展ACL实验演示

TonCC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
7.ACL(access control list)访问控制列表
mingyqf的博客
01-09 1186
ACL(access control list)访问控制列表(限制流量进出) 1.ACL是一个过滤技术 2.ACL是基于ip数据头的IP地址、tcp/udp头部的端口 主要是基于三四层的过滤 3.ACL主要是在路由器上进行配置,防火墙上也可以配置(策略) 4.ACL主要分为两类 (1)表号acl ①标准acl 表号:1-99 特点:只能基于源IP进行过滤(范围太大!) 命令:access-list 表号 permit/deny 源IP地址或者网段 反掩码 编号从10 20 30— 反掩码:将正子网
Cisco路由器aclaccess-list命令使用详解
wqltrue的专栏
02-19 2万+
1.什么是ACL? 访问控制列表(Access Control ListACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据ACL适用于所有的被路由协议,如IPIPX、AppleTalk等。这张表中含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。 2.ACL有什么用处? **ACL可以限制网络流量、提高网络性能。**例如,ACL可以根据数据...
过滤技术实现个人防火墙
09-18 3407
王永彪 徐凯声   摘   要 本文通过介绍如何运用过滤技术实现个人防火墙,深入的剖析了个人防火墙中所用到的各种技术,并重点介绍了通过微软的NDIS 中间驱动程序实现网络封装,以及驱动程序与应用程序之间的通讯方法.关键词 过滤技术     NDIS      中间层驱动程序        随着网络的迅速发展,各种各样的网络软件也随之出现,人们的生活和学习对网络的依赖也越来越多,但问题也接踵而
ACL过滤技术
Hello World ^—^
10-23 1万+
简介ACL:Acess Control List,即访问控制列表。这张表中含了匹配关系、条件和查询语句,ACL表只是一个框架结构,其目的是为了对某种访问进行控制,使用过滤技术,在路由器上读取第三层及第四层头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对进行过滤,从而达到访问控制的目的。访问控制列表ACL增加了在路由器接口上过滤数据出入的灵活性,可以用来限制网络流量,
WINDOWS网络过滤技术
阿智的专栏
01-28 4649
WINDOWS网络过滤技术                (文:http://www.ndis.com/papers/winpktfilter.htm) //似乎是翻译的#转者注:) //作  者:  sevencat (七猫)  //文作者不详#转者注 一、user-mode网络过滤 1、winsock分层service provider 参照Microsoft P
学习笔记:ACL访问控制列表(过滤技术
qq_22930647的博客
06-10 1098
ACL访问控制列表(过滤技术)欢迎使用Markdown编辑器1.过滤点2.ACL的分类重难点访问ACL理编写ACL的规则命令标准ACL命令扩展ACL命令创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章FLowchart流程图导出与导入导出 欢迎使用Markdown编辑器 1.过滤点 主要...
防火墙安全策略之过滤技术及转发理3.1
kanxingxingdemao的博客
02-01 779
比如建立tcp三次握手,只有第一个syn 是首,能建立会话表,策略是10.0.0.1到20.0.0.1通过,为什么tcp 的回 syn ack 是从20到10也能通过? 答案:是因为第一个创建了会话表,20到10时直接查会话表通过。 需要关闭状态检测的情况,防火墙旁挂,来回路径不一致。出去流量不经过fw,回来经过, ...
访问控制列表ACLAccess Control List)基础知识
qq_52831698的博客
10-30 328
访问控制列表ACL基础知识,以及配置命令详细解析。
ACL-Browser-开源
05-02
ACLAccess Control List,访问控制列表)是一种网络设备上的安全机制,用于定义并管理网络流量。在本场景中,"ACL-Browser-开源"是一个专为管理和查看ACL设计的开源项目。这个工具允许用户通过常见的Web浏览器来...
Access Control List.pptx
01-03
Access Control ListACL)学习目标 理解 ACL 的基本理 会配置标准 ACL 会配置扩展 ACL 会配置 ACL 对网络进行控制 一、访问控制列表(ACL)的概述 访问控制列表(ACL)是一种网络访问控制机制,用于根据预先...
基于linux内核过滤技术的应用网关
herelsp
11-22 331
基于linux内核过滤技术的应用网关基于linux内核过滤技术的应用网关硬件形态基本理应用场景主要功能其他功能客户定制 基于linux内核过滤技术的应用网关 硬件形态 基本理 应用场景 媒体内容过滤和深度识别 上网行为管理 应用网关或防火墙 主要功能 括但不限于如下功能: 功能名称 说明 协议过滤 常用协议、用户自定义协议 端口过滤 传输层 源端口、目的端口...
ACL技术   扩展ACL
weixin_33688840的博客
11-18 138
实验目的:实现ACL的功能实验理:通过创建ACL中的条件,在调用ACL的时候,就可以通过ACL条件实现对数据的筛选。实验步骤:第一步:配置PC机基本信息192.168.1.1 255.255.255.0没有网关,本实验不需要192.168.1.2255.255.255.0给路由器配置网关inter g0/0no shutdownip add 192.168.1.254 2...
防火墙技术基础篇:什么是过滤技术
qq_39241682的博客
05-08 1969
当数据在网络中传输时,它们被分割成小的单元,称为数据。防火墙的过滤是一种基本的网络安全技术,用于检查这些数据并根据预定义的规则决定是否允许它们通过防火墙。防火墙过滤是一种关键的网络安全技术,它工作在网络层,用于控制进出一个网络的数据。通过检查每个数据的头部信息(比如源IP地址、目的IP地址、端口号以及协议类型等),过滤防火墙能够决定哪些数据被允许通过,哪些被阻止或丢弃。
防火墙安全策略
热门推荐
曹世宏的博客
05-17 8万+
过滤技术基础 过滤技术简介: 对需要转发的数据,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据进行转发或丢弃。 实现过滤的核心技术是访问控制列表。 过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的过滤防火墙对于需要转发的报文,会先获取报文头信息,括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...
CCNA学习笔记十 ACL访问控制列表、过滤
catkint的博客
11-28 2101
实现访问控制列表的核心技术过滤拆开,查看源端口和目的端口 TCP 65535 UDP 65535 Telnet 23 FTP 21 HTTP 80show  分析数据头信息,进行判断 RIP 520端口 ETGRP IP协议号88 OSPF IP协议号 当所有的规则都没有匹配到,那么最后一条默认是拒绝所有,数据被丢弃。 router eigrp    
ACL理及应用
ausey868082的博客
04-18 557
概述访问控制列表ACL(Access Control List) 功能:对经过网络设备的报文进行过滤处理,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文的分诶信息 和相关的执行动作判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤。 一个ACL可以由多条“deny/permit"语句组成,每条语句描述一条规则,每条规则有一个Rule-ID。 Rul...
ACL
weixin_44681307的博客
07-30 1594
8、一般情况下,标准或扩展ACL一旦写好,无法修改某一条,也无法删除某一条,也无法修改顺序,也无法在中间插入新的条目,只能一直在最后添加新的条目。ACL是一种用于控制网络设备访问权限的技术,可以通过配置ACL来限制特定用户、应用程序或网络设备对网络资源的访问。​ 反子网掩码的作用:用来匹配,与0对应的需要严格匹配,与1对应的忽略。​ 1)做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的那个方向?​ 可以任意修改某一条,或删除某一条,也可以往中间插入某一条。
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 6026
ACL过滤技术
ACL--标准访问控制列表配置
最新发布
06-21
ACLAccess Control List,访问控制列表)是一种网络访问控制机制,用于定义网络设备(如路由器、交换机)上数据过滤规则,根据数据源地址、目的地址、端口号等信息,决定是否允许该数据通过。标准访问控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值