自反 ACL

最新推荐文章于 2024-06-25 10:51:56 发布
最新推荐文章于 2024-06-25 10:51:56 发布
阅读量843 收藏
点赞数
分类专栏: 网络

     允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络,并提升了扩展访问列表的能力。

       自反ACL(Reflective ACL)是动态ACL技术的一种应用。它根据IP报文的上层会话信息生成,只有当私网用户先访问了公网后才允许公网访问私网。利用自反ACL可以很好的保护企业内部网络,免受外部非法用户的攻击。

       网络管理员使用自反 ACL 来允许从内部网络发起的会话的 IP 流量,同时拒绝外部网络发起的 IP 流量。此类 ACL 使路由器能动态管理会话流量。路由器检查出站流量,当发现新的连接时,便会在临时 ACL 中添加条目以允许应答流量进入。自反 ACL 仅包含临时条目。当新的 IP 会话开始时(如数据包出站),这些条目会自动创建,并在会话结束时自动删除。

   

自反 ACL 不能直接应用到接口,而是“嵌套”在接口所使用的扩展命名 IP ACL 中。
自反 ACL 仅可在扩展命名 IP ACL 中定义。自反 ACL 不能在编号 ACL 或标准命名 ACL 中定义,也不能在其它协议 ACL 中定义。自反 ACL 可以与其它标准和静态扩展 ACL 一同使用。

Heuristic_7
关注
专栏目录
一个简单的自反ACL的配置例子
理小学生的博客
06-13 989
拓扑图: 配置R1: R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 10.10.1.2 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 10.10.1.1 //默认路由 配置R2: R2#conf t R2(config)#int f0/0 R2(config-if)#ip...
Cisco 自反ACL真机配置实例
qq_24328629的博客
05-20 1268
Cisco 自反ACL真机配置实例 某个机会下接触到Cisco的自反ACL自反ACL主要实现单项访问类似于防火墙基于会话的方式控制访问自反ACL在有匹配到对应数据流时,设备自动生成一条自反ACL实现返回的数据不至于没有放行ACL而丢弃。 具体实验通过平去测试,实现A侧可以ping通B侧而另B侧不能ping通A侧。 实验拓扑: 配置: 配置命令: Router(config)#interface G0/0/0 Router(config-if)#ip add Router(c
自反ACL
hhh_yang的专栏
09-07 1507
自反ACL(reflective ACL)是一个企业网的安全特性,部署在企业网与互联网的边缘设备上,如防火墙,边缘出口路由器。自反ACL使外部网络不能主动访问企业内部的网络,只能在内部网络先访问外部网络,外部网络作为应答访问企业的内部网络。 因为企业网络内部通过边缘设备与外部进行通信必须有一个入口和出口,所以自反ACL可以部署在入口和出口上(相对于内部网络而言) 部署在入口上时
华为eNSP实验:自反ACL
最新发布
fanshizhiren的博客
06-25 804
自反ACL、高级ACL和基本ACL是网络设备上用于控制流量访问的三种不同类型的访问控制列表(ACL),它们在匹配能力、动态性以及应用场景等方面存在明显区别。匹配能力基本ACL:基本ACL只能匹配IP源地址,其编号范围为2000-2999。高级ACL:高级ACL可以匹配源IP地址、目标IP地址、协议号、源端口和目标端口等三层和四层字段,其编号范围为3000-3999。自反ACL自反ACL不直接匹配具体的IP地址或端口号,而是根据会话的初始请求动态生成允许响应流量的规则。动态性基本ACL
华为eNSP:自反ACL
nankon_的博客
06-20 1222
综上所述,自反ACL通过动态创建临时的反向规则来允许响应流量进入,而阻止未被请求的外部流量。这种技术可以有效地保护内部网络,同时确保合法通信的顺畅。在实际应用中,管理员需综合考虑安全需求、管理复杂性和性能影响,以合理部署自反ACL,从而最大化其优势。
实验9、自反ACL.doc
05-30
拥有扩展ACL,就会拥有自反ACL,通过本文档你可以了接到自反ACL的原理以及如何配置自反ACL,同样里面也包含了实验的拓扑图和相关的步骤命令。
怎样配置思科路由器自反ACL 实现网段之间单向访问
10-01
配置思科路由器的自反ACL(Access Control List)是一种有效的网络安全措施,主要用于限制网络流量并提高网络性能。自反ACL可以在不增加过多复杂性的前提下,实现特定的访问控制策略,比如在本例中,我们希望通过它...
如何使用自反ACL限制外网访问.docx
09-27
### 使用自反ACL限制外网访问 #### 一、引言 随着网络安全威胁的日益增多,企业对于内外网之间的通信安全越来越重视。一种常见的做法是使用访问控制列表(Access Control List,简称ACL)来限制不必要的网络流量。...
Cisco自反ACL列表
01-09
【Cisco自反ACL列表】是一种高级的访问控制技术,它解决了传统扩展访问列表在处理双向通信时存在的问题。自反ACL能够智能地过滤特定方向的流量,允许数据包的回应通过,而不会阻断反向的合法通信。这在需要精细控制...
自反ACL cisco配置示例
09-07
自反ACL cisco配置示例 自反ACL cisco配置示例
中低端交换机典型配置实例
05-09
中低端交换机典型配置实例 中低端交换机的配置基本都涵盖了
自反ACL详解
weixin_30636089的博客
09-15 1702
----------RA(s0/0)------------(s0/0)RB------------- 1,什么情况下用自反ACL:  根据路由特性,当路由不设置任何ACL情况下,二个路由间互访是不受约束的。当RA(s0/0)设置IN方向permit时,默认其他是拒决的。换句话说,当RA,RB都不设置ACL时,RA能够得到RB的ICMP的响应包。但是,如果RA(s0/0)设置IN方向的permi...
自反 ACL 的配置
weixin_34224941的博客
11-27 238
自反ACL 1.实验目的 通过本实验可以掌握: (1)自反ACL工作原理 (2)配置自反ACL (3)自反ACL调试 实验要求: 本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。 2.拓扑结构 对于R1的配置 R1(config)#inte2/0 R1(config-if)#ipadd192.16...
自反ACL(2)
weixin_33995481的博客
05-11 126
因为量比较大,所以直接以word的形式放在了附件中,大家可以下载自己来看,有问题请留言哦! 转载于:https://blog.51cto.com/xuzhiming302/1198062
自反ACL的实验配置
weixin_30762087的博客
05-28 449
GNS3拓扑和地址表 R1 F0/0 10.47.1.1 255.0.0.0 F1/0 14.47.1.1 255.0.0.0 R2 F0/0 10.47.1.2 255.0.0.0 R3 F0/0 ...
防火墙技术 自反ACL
weixin_33725722的博客
05-24 376
自反ACL 拓扑以及地址规划 Ping 通截图 配置拒绝外网主动访问内网 配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回 r1(config)#ip access-list extended come r1(config-ext-nacl)#permit icmp any any被允许的ICMP是不用标记即可进入内网的 ...
在三层交换机上配置ACL反向ACL访问控制列表
weixin_34214500的博客
11-12 1404
拓扑图要求3750配置:3750#conf t3750(config)#int f0/153750(config-if)#switchport mode trunk3750(config)#end3750#vlan database3750(vlan)#vtp server3750(vlan)#vtp domain sy3750(vlan)#vtp password cisc...
自反访问控制列表ACL
black_zt666的博客
07-30 2586
实验名称 自反访问控制列表ACL 一、 实验目的 1、理解自反 ACL 工作原理,掌握 reflect和evaluate字段意义; 2、掌握自反ACL的配置方法。 二、实验仪器设备或材料 Cisco PT Gns3 华为Ensp 三、实验原理 自反ACL(Reflective ACL)是动态ACL技术的一种应用。设备根据一个方向的ACL,可以自动创建出一个反方向的ACL自反ACL),该ACL和原ACL的源IP地址和目的IP地址、源端口号和目的端口号完全相反。 利用自反ACL,可以实现单向访问控制,只
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值