ACL访问控制列表

最新推荐文章于 2024-05-30 16:08:30 发布
最新推荐文章于 2024-05-30 16:08:30 发布
阅读量84 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abc13245821907/article/details/132449492
版权

ACL简述

   ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

网路安全:威胁防护病毒防护
                核心设备和核心机房不对外直接提供访问。
                访问控制:屏蔽网站。
访问控制:用来对数据包做访问控制。丢弃或者方行。
设备:路由器来做访问控制。、结合其他协议,用于控制的匹配范围
tcp udp icmp
http tcp 80不受影响
icmp ping 禁用
ACL的工作:数据包从接口经过,接口启用了acl时,路由器会对报文进行检查,然后根据策略做出相应的处理。处理方式:丢弃,放行。

ACL种类与应用

ACL的种类:
基本acl:2000-2999  基本acl只能匹配源ip地址
高级acl:3000-3999可以匹配源ip,还可以匹配目的ip,源端口,目的端口,以及三层和四层的协议。
二层acl:4000-4999:根据数据包的mac地址进行匹配,一般不用。
ACL在接口上的应用:
1、在入口上:数据包从入口进入路由器,有策略就会执行。
2、在出口上:数据包经过路由器处理之后,数据包才能出去。
华为设备默认是方通的,不做限制。需要人工配置策略。

白名单:在名单上的才可以方行。不在的一律丢弃。默认是拒绝所有,允许个别。
黑名单:在名单上的一律丢弃,不在的可以方行。

ACL的应用原则:

基本acl:尽量用在靠近目的地。

高级ACL:尽量用在靠近源的地方。

1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多rule规则,按照规则id从小到大排序,从上往下依次执行的。如果上面执行了通过,则下面的拒绝指令无法生效
3、数据包一旦被某个规则匹配,就不再继续向下匹配了。

4、华为默认放过所有。

acl:你有acl,但是没有配置策略,默认就是放行所有。如果没有匹配到任何策略,也是放行。

ACL的组成

1.rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0
rule 创建规则固定格式
deny拒绝
icmp 拒绝网络层ICMP协议
source: 192.168.1.0
destination:目的地址 192.168.3.30

192.168.1.0整个网段不能和192.168.3.39这个ip通信,禁用ICMP协议,ping不通。

2.rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80
rule:创建规则的固定格式
permit:允许TCP
source: 192.168.1.30
destination:192.168.3.30destination-port eg:80   http服务的默认端口。
允许192.168.1.30这个地址,可以访问192.168.3.30这个服务器对外提供的httpd服务的80端口。

3.调用命令:traffic-filter outbound acl 2000

通配符

 0表示匹配,1表示随机匹配

在192.168.10.0/24中匹配,前三位都是固定,都为零
匹配

10
20
30
40

转换二进制

00001010
00010100
00011110
00101000

前两位固定,最后一位固定都为0,其余为1

00111110
62

通配符0.0.0.62

相遇蟹堡王,尽享蟹黄堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ACL访问控制列表原理及实例
m0_51160032的博客
08-27 1559
目录 一、ACL概述 1.ACL访问控制列表作用 2.ACL访问控制列表工作原理 3.ACL访问控制列表处理过程原则 二、ACL访问控制列表类型 1.标准访问控制列表 2.扩展访问控制列表 三、配置实例 1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机 2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器 四、总结 一、ACL概述 1.ACL访问控制列表作用 读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。 三层头部
ACL与NAT
Au杨的博客
07-20 438
ACL访问控制列表白名单默认拒绝所有,放一个可以通信一个自己内部的业务黑名单默认开放所有,加入一个,不能通信一个。ACL应用ACL两种应用1.应用在接口的ACL-----过滤数据包(原目ip地址,原目mac,端口五元组)2.应用在路由协议-------匹配相应的路由条目3.NAT、IPSECVPN、QOS-----匹配感兴趣的数据流(匹配上我设置的数据流的)ACL种类。...
【安全漏洞】简要分析复现了最近的ProxyShell利用链
HBohan的博客
08-29 820
前言 近日,有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现了最近的ProxyShell利用链。 1.ProxyLogon: The most well-known pre-auth RCE chain 2.ProxyOracle: A plaintext-password recovery attacking chain 3.ProxyShell:
ACL 访问控制列表
热门推荐
高飞的博客
12-28 32万+
访问控制列表
如何绕过堡垒机远程登录
08-10 2万+
假设一个场景:在Webshell中执行mimikatz获取到win管理员密码,并且本地查看端口3389是开放的,可是从当前跳板机无法远程到目标机器。因为某个特定需求,一定要远程登录到这台win服务器,这时该怎么办? 首先我们先分析一下这个场景,端口开放却无法连接,最有可能的情况,就是到达目标网段受到ACL策略限制,只允许通过特定网段登录,比如说堡垒机。大多数堡垒机部署时,为了不改变现有的...
一招让你拥有“网络访问的权限分配-ACL
qq_62462797的博客
07-20 981
网络环境下,通常运用黑名单和白名单来设置外部的访问权限白名单默认拒绝所有,放一个可以通信一个自己内部的业务黑名单默认开放所有,加入一个,不能通信一个。应用在接口的ACL-----过滤数据包(五元组源IP地址、目的IP地址、协议号、源端口、目的端口)应用在路由协议-------匹配相应的路由条目NAT、IPSECVPN、QOS-----匹配感兴趣的数据流(匹配上我设置的数据流的)1.区分出高级ACL和基础ACL的的作用用2.了解ACL的运用场景httpshttps。......
ACL访问控制列表.docx
10-13
ACL访问控制列表.docx
ACL访问控制列表说明
10-24
ACL
26_ACL访问控制列表基础.pptx
09-27
ACL访问控制列表基础
squid的反向代理【可用域名,可用ip地址】、squid的ACL访问控制和日志管理【sarg软件】以及故障解决
zhang_yazhou的博客
09-07 738
squid的反向代理、ACL和日志管理 文章目录squid的反向代理、ACL和日志管理一、squid日志管理系统【1】安装squid服务【2】便于service管理设置脚本【3】squid传统代理服务器配置【4】安装squid日志管理系统【5】在浏览器上面访问192.168.60.30/squid-reports就能出现sarg软件的统计界面。【6】使用周期性计划每天执行生成报告二、squid反向代理【1】安装squid服务【2】便于service管理设置脚本【3】squid传统代理服务器配置【4】修改反向
squid-ACL
bianhongxiang的专栏
04-11 477
squid服务执行普通代理和透明代理时,使用ACL控制内网用户对外网的访问。ACL要先定义后调用 定义方式: acl 名称 类型 内容 调用方式: http_access 控制方式 acl名称 使用方法: src(源地址):可以为网段(例:192.168.4.0/24,192.168.4.0/255.255.255.0)或单独IP(192.168.4.1/32,192.168.4.1
acl访问控制列表
jhy1798807161的博客
03-22 1118
作用:1访问控制列表ACL)读取第三层,第四层包头协议,根据预先定义好的规则对包进行过滤。要么放行要么丢弃。2结合其他协议,用来匹配范围。根据通信五元素来实现具体的匹配1 访问控制列表在接口应用的方向2 事先在一个接口定义好相关的规则,然后根据相关的规则去处理经过这个接口的数据包,最终结果要么放行要么丢弃。基本acl(2000-2999)只能匹配源IP地址高级acl(3000-3999)可以匹配源ip,目标IP,源端口,目标端口等三层和四层的字段和协议)
(复现)CVE-2021-34473 Microsoft Exchange远程代码执行
daxi0ng的博客
08-17 6414
0x00 简介 Microsoft Exchange Server 是微软公司的一套电子邮件服务组件。 0x01 漏洞概述 2021年8月5日,安全研究员在国外安全会议上公开了CVE-2021-34473 Microsoft Exchange Server 远程代码执行漏洞分析及其POC。攻击者利用该漏洞可绕过相关权限验证,进而配合其他漏洞可执行任意代码,控制Microsoft Exchange Server。 漏洞利用使用了以下漏洞: CVE-2021-34473...
Packer tarcer——ACL、DNS、Web、路由
irene@1999的博客
11-19 731
文章目录网络拓扑图配置PC、域名服务器(DNS)、服务器(Web)路由ACL实现访问控制列表ACL用途:配置方法:标准ACL扩展ACL实现 网络拓扑图 配置 PC、域名服务器(DNS)、服务器(Web) 先按照拓扑图配置好PC机和路由器 Server0->域名服务器配置: 这边地址和名称设定为192.168.1.10和www.test.com Server1->服务器配置: 需...
Linux防火墙之iptables(二)
lxplxplike的博客
05-26 945
在Internet中发布位于局域网内的服务器。
I2C SPI UART TCP/UDP AD/DA PWM大总结
芯心智库
05-26 784
那么当处理器输出的是全0则外部测量的电压是0V,输出全1则外部测量电压是5V,如果0/1各一半则是输出2.5V,如此只要控制0/1的比例就可以控制电压的输出了。V1是待测的电压,V0是比较器的输出电压,两者会进入比较器,直到结果V0大于V1(注意是大于,不是等于,这里会引入精度的概念),此时的计数值是D0~D7,可以表示此时的电压数值的水平。UART就比较特殊点了,它是异步通信(无CLK进行同步,有CLK的就是USART),全双工,有两根数据线,一根是RX一根是TX。
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
最新发布
weixin_46970383的博客
05-30 268
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
【TC8】如何测试IOP中PHY芯片的Llink-up time
jasonj333
05-28 110
在TC8一致性测试用例中,物理层的测试用例分为两个部分:IOP和PMA。其中IOP中对PHY芯片的Link-up时间的测试,又包含三个测试用例。这三条case从名称就能够判断出它们的不同。OABR_LINKUP_01是给DUT的对手件上电唤醒,OABR_LINKUP_02是DUT上电唤醒,OABR_LINKUP_03是DUT报文唤醒。
ensp acl访问控制列表
08-30
在ensp中配置ACL访问控制列表,可以通过以下步骤进行操作: 1. 进入ensp CLI命令行界面。 2. 使用acl命令创建一个ACL,并定义它的规则。例如,可以指定允许或拒绝哪些IP地址、端口、协议等等。 3. 将ACL应用到设备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值