【网络】ACL应用,权限设置,限定访问黑白名单

已于 2023-10-22 10:47:49 修改
阅读量587 收藏 1
点赞数 2
文章标签: 网络
于 2023-10-21 22:27:42 首次发布
csdn~lxy
本文链接:https://blog.csdn.net/liu_xueyin/article/details/133966568
版权
1、ACL技术背景

想要过滤掉一些访问对象,或者设定访问环境(比如:可以访问网页,不能文件下载)等,通俗地讲就是建立访问规则,设定访问权限

2、ACL的应用

①应用在接口的acl,可以过滤感兴趣的数据包(原目地址,协议,端口号)

②应用在路由协议上,可以匹配相应的路由条目

③NAT、IPSEC VPN、QOS可以匹配感兴趣的数据流(匹配个性化设置的数据流)

3、ACL的工作原理

当数据流经过时,由于接口启动了ACL,此时路由器会对报文进行检查,设定访问权限

4、ACL的种类

基础ACL——编号为2000-2999,依据数据包种的源ip地址匹配数据

高级ACL——编号为3000-3999,依据数据包中的源和目标ip、源和目标端口号、协议号匹配数据

数据包五元组:源ip地址、目标ip地址、协议类型、源端口号、目标端口号

二层ACL——编号4000-4999,可以依据数据包中的mac、vlan id、802.1q信息进行匹配数据

自定义ACL——编号5000-5999

5、ACL的实验操作

路由器配置:

<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/2]q

###基础acl建立
[R1]acl 2000   ##建立acl 2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0 ##限定拒绝源ip固定为192.168.1.1的访问
[R1-acl-basic-2000]int g0/0/1  ##计划与路由器接口g0/0/1绑定
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000  ##限定出去的流量匹配acl2000检查
[R1-GigabitEthernet0/0/1]q


###高级acl建立
[R1]acl 3000   ##建立acl 3000
##规则限定拒绝tcp协议,源ip为192.168.1.2,目标端口为80,也就是限定访问www
[R1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination-port eq 80
[R1-acl-adv-3000]int g0/0/0 ###计划绑定g0/0/0接口
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 ##限定进入的流量访问时进行acl 3000匹配
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
 traffic-filter inbound acl 3000
#
return

实验结果:

6、总给ACL的应用原则和匹配规则

①一个接口的一个方向只能与一个acl表匹配,比如inbound和outbound分别匹配一个acl

入口:先匹配后路由(更节省路由器资源),出口:先路由后匹配;

②一个acl可以创建多个rule,从大到小排序,从上到下依次匹配;

③一旦被rule匹配了,就不再向下匹配了

④一般基础acl配置在流量出口,高级acl配置在流量的入口,为了节省路由器的资源

7、拓展,通配符掩码学习

子网掩码转化为二进制的时候,表示对应为1的为网络位不变,为0的为主机位可变,且必须时连续的1;

通配符掩码规则:就是一个点分十进制表示,转化为二进制的时候,对应为0的部分固定不变,对应为1的可变,可以不是连续的1或0,记住规则!!!0不变1变

对应例题讲解:

①指定192.168.10.1这个数据包,那么对应所有位不能变,全为0,通配符掩码为0.0.0.0

②指定192.168.10.0/24这个网段,这是标准的c类网段,也就是前24位不变,后8位任意,那就是0.0.0.11111111,转化为点分十进制为0.0.0.255

③指定拒绝192.168.10.0/24的所有奇数网段,在第②题的基础上继续,奇数的特点就是第32位一定是1,也就是第32位固定不变,对应的通配符掩码是0.0.0.11111110,转化为点分十进制为0.0.0.254,通配符掩码也是要跟ip地址结合用,192.168.10.1 0.0.0.254

那么如果是偶数段,固定最后一位是0,通配符掩码不变,192.168.10.0 0.0.0.254

运维菜鸟XY
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用基本ACL限制公司网络访问.rar
02-17
1、资源内容:Word文档和topo文件 2、学习目标:配置交换机基础环境,配置路由器基础环境,配置基本ACL访问控制 3、应用场景:使用基本ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点内容已标红
Linux---权限管理(ACL权限、特殊位和隐藏属性)
m0_74934282的博客
02-23 1340
ACT权限是指在区块链技术中,用于对智能合约进行执行操作的权限。ACT(Action)是指在区块链上执行的操作单元,例如发送交易、调用合约等。授予ACT权限意味着在区块链上具有执行智能合约的能力,可以进行资产的转移、合约的调用等操作。ACT权限通常是由区块链网络的管理员授予给用户或智能合约,以确保合约的执行符合特定的规则和逻辑。user::rwx# 所属用户权限# 临时用户权限group::rwx# 所属组权限, 文件创建时的所属组# 一般组的权限 创建的临时组mask::rwx。
配置基本 ACL 和高级 ACL
最新发布
2401_83192797的博客
05-24 123
掌握基本 和高级ACL 的配置方法
ACL(访问控制列表)
2402_83450224的博客
03-18 476
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。ACL规则里包括他的规则编号(顺序),动作(允许或者拒绝)规则匹配的地址段(源/源-目的)生效时间段。一个ACL下有多个rule(编号越小越先执行)。
ACL 权限
qq_45206551的博客
04-28 1926
文章目录ACL 是什么ACL有什么用检查是否支持ACL如何设置ACLsetfaclgetfacl针对用户来设置权限针对用户组来设置权限子文件/目录继承父目录的权限更改 ACL 权限删除 ACL 权限备份和恢复 ACL 权限 ACL 是什么 ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的...
ACL权限
weixin_43815178的博客
09-01 398
ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限ACL有什么用 既然是作为UGO权限管理的补充,ACL自然要有UGO办不到或者很难办到的本事,例如: 可以针对用户来设置权限 可以针对用户组来设置权限 子文件/目录继承父目录的权限 检查是否支持ACL ACL
网络原理与应用——ACL、NAT
Katie_ff的博客
04-24 505
(1)acl是由一系列 permit 或 deny 语句组成的有序规则列表(2)ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL的基本应用
GRQ的博客
07-26 1281
vlan10可以与任意通讯,剩余之间互相不能通讯
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5378
ACL包过滤技术
ACL规则的应用
qq_58783778的博客
09-13 257
ACL规则及案例
三层交换机不同网段vlan透传
bienyou的博客
11-11 5451
配置过程: 交换机1: [Huawei]vlan batch 10 20 [Huawei-vlan20]q [Huawei]interface Vlanif 20 [Huawei-Vlanif20]ip address 192.168.1.1 24 [Huawei]interface GigabitEthernet 0/0/2 [Huawei-GigabitEthernet0/0/2]port ...
权限管理-ACL权限-简介与开启
08-21
权限管理-ACL权限-简介与开启
使用扩展ACL限制公司网络访问.rar
02-17
3、应用场景:使用扩展ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点...
实验:使用基本ACL限制公司网络访问.docx
11-09
通过这个实验,学生不仅能够理解ACL的工作原理,还能掌握如何在实际环境中配置和应用ACL,以实现对公司网络访问控制,从而提升网络的安全性和管理效率。同时,实验也涵盖了VLAN、三层交换机和路由器的基础配置,...
为zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序提供配置维护、命名、提供分布式同步和GROUP服务。为了确保 Zookeeper 的安全性和可靠性,需要配置相应的 ACL 权限。本文将...
ACL(访问控制列表)权限管理.txt
06-15
访问控制列表 ...除了文件的所有者,所属组和其他人,可以对更多的用户设置权限 CentOS7默认创建的xfs和ext4文件系统具有ACL功能 CentOS7之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
如何使用Cisco命令阻止访问特定网站
02-02 431
ACL阻止访问特定网站如何使用Cisco命令阻止访问特定网站 ==============================步骤1:配置一个DNS服务器假设我们打算屏蔽一个名为www.badsite.com的网站。我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题——Cisco IOS会自己 把地址找出来并填上它。 要做到这一点,我们需要至少在路由器上配置一台DNS服务器。若想
一招让你拥有“网络访问权限分配-ACL
qq_62462797的博客
07-20 1005
网络环境下,通常运用名单和白名单设置外部的访问权限白名单默认拒绝所有,放一个可以通信一个自己内部的业务名单默认开放所有,加入一个,不能通信一个。应用在接口的ACL-----过滤数据包(五元组源IP地址、目的IP地址、协议号、源端口、目的端口)应用在路由协议-------匹配相应的路由条目NAT、IPSECVPN、QOS-----匹配感兴趣的数据流(匹配上我设置的数据流的)1.区分出高级ACL和基础ACL的的作用用2.了解ACL的运用场景httpshttps。......
网络安全-ACL应用
A soul tortured by desire
09-05 996
网络安全——访问控制——ACL应用场景
访问控制列表ACL网络中的应用分析研究
02-13
访问控制列表(Access Control List,ACL)是一种网络安全技术,通常用于限制对计算机系统或网络中的资源的访问ACL通过指定允许或拒绝访问特定资源的用户或组来实现对资源的访问控制。 在网络安全领域中,ACL是一个非常重要的工具,可以帮助管理员保护网络中的敏感信息,防止恶意访问和攻击。例如,管理员可以使用ACL限制对特定的文件夹、数据库或Web应用程序的访问,并仅允许特定的用户组访问这些资源。 此外,ACL还可以帮助提高网络的效率,因为它允许管理员按照规定的访问策略进行流量管理。例如,ACL可以配置为允许特定的用户组使用大量的带宽,而限制其他用户组的带宽使用。 总的来说,ACL网络安全和管理的一个重要工具,在不同类型的网络环境中都有着广泛的应用。研究ACL网络中的应用,不仅有助于提高网络的安全性和效率,也有助于更好地了解如何利用ACL来实现网

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维菜鸟XY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值