访问控制列表(ACL)详细讲解

最新推荐文章于 2024-05-06 21:37:52 发布
最新推荐文章于 2024-05-06 21:37:52 发布
阅读量3.1k 收藏 10
点赞数 5
文章标签: 服务器 网络 java 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzl10211345/article/details/127064134
版权

前言:tcp/ip协议簇的传输层有两个重要的协议;TCP和UDP,本篇文章将详细介绍其首部格式,TCP连接建立与终止的过程

目录

访问控制列表

         控制位     

TCP 连接

       结束连接的四次握手

 UDP  协议

ACL   access control list  访问控制列表  

ACL 的类型

ACL 检查条件

ACL  匹配的顺序规则

ACL  规则的应用方向

标准ACL 配置

本章命令(思科)

访问控制列表

   tcp/ip  协议簇 传输层协议主要有两个:

           TCP 传输控制协议和UDP  用户数据包协议

      tcp 是面向连接的, 可靠的进程到进程通信的协议

            提供双向服务,数据可以在统一时间双向传输

            每个tcp 都有发送缓存和接收缓存  用来临时存储数据

            tcp 将若干个字节构成一个分组 成为报文段 segment

            tcp 报文端封装在ip 数据报中

以下是传输层数据段解图:

 

         源端口  16位   发送方进程对口  电脑随机

         目标端口号    16位   对应接收端的进程

         序号  对接受到数据字节的编号  编号不一定从零开始  每个方向上编号互相独立

         确认号  对发送端确认信息,发送端编号+1

         首部长度   确定首部数据结构的字节长度

         保留    未使用

         控制位     

                URG  紧急指针有效位

                ACK  接受确认位, 当ACK=1  确认序号字段才有效

                PSH   推送标志位 为 1 时 接受方需尽快将数据送达应用层

                RST   重置位   为 1 时 表示 重新建立TCP 连接

                SYN  请求同步位  为 1 时 表示请求和目标建立tcp 连接

                FIN  完成位    为 1时 表示提出和目标方断开TCP连接

         窗口大小  说明可接受数据段的数目

         校验和  校验整个tcp 数据段,包括 tcp 头部  数据和 其他填充字节

         紧急指针位  当URG=1 时  有效

TCP 连接

   tcp 面向连接的协议,源和目标端 建立 一条虚连接

   tcp 通双方需先建立连接,数据发送结束后 双方再断开连接

         建立连接需要三次握手   断开连接 分四步  需四次握手

      建立连接的三次握手:

        第一次握手     源端发送方 tcp 数据段中  控制位 只有 SYN=1  其他全部为 0 

          第二次握手    目标端收到后,确收收到  确认号 是源端发来序号+1  控制位中 ACK=1  其他全部为 0  

                      另发送目标端向源端的数据连接请求  控制位 其中 SYN=1

                      为了节省时间上面两步 和为一步完成

          第三次握手    源端收到后,确认目标端的syn 请求  发送tcp 字段  确认号 是目标端序号+1  控制位中 ACK=1

       结束连接的四次握手

          服务器向客户端发送  FIN 和 ACK 位置 1 的 TCP报文段 

          客户端向服务端返回  ACK 位置 1 的 TCP报文段

          客户端向服务端发送  FIN 和 ACK 位置 1 的 TCP报文段 

          服务器向客户端返回  ACK 位置 1 的 TCP报文段   

       TCP 断开连接过程中的  半关闭概念

           一方可以终止发送数据, 另一个任然可以接受数据 称为半关闭

                 客户都安发送 FIN 报文 半关闭 了这个连接, 服务器发送ACK 报文端接受半关闭

                 服务器继续发送数据  而客户端只发送ack 确认 不再发送任何数据

                 当服务器 已经把所有数据发送完毕后,就发送FIN 报文 客户端再 ACK 报文确认

      常见的 TCP 端口  ftp 21    telnet 23      smtp 25    http  80

 UDP  协议

   UDP 是一个无连接,不保证可靠性的传输协议

          发送端不关心 发送数据是否到达目标主机,数据是否出错  数据可靠性由上层数据来保障

          优点 报文结构简单, 传输开销小  时间快

      常见的UDP 端口  TFTP  简单文件传输协议 69端口

                       RPC   远程过程调用   端口 111

                       NTP   网络时间协议   端口 123

ACL   access control list  访问控制列表  

       应用再路由器接口的指令列表  用来告诉路由器哪些数据包可以接受  哪些数据包需要拒绝

       基本原理: 使用包过滤技术, 路由器读取 osi 七层中的第三层及 第四层 如源地址, 目的地址,源端口, 目标端口等 根据预先设置的规则 对包进行过滤

ACL 的类型

      标准ACL   根据数据包的源ip 地址来允许或拒绝 数据包

                 标准ACL的访问控制列表号是 1—99

扩展ACL   根据数据包的源ip 地址  目的ip 地址  指定协议  端口和标志来允许或者拒绝数据包

           扩展ACL 访问控制列表号 100—199

命名ACL   允许再标准ACL和扩展ACL 中使用名称代替表号

ACL 检查条件

      五个元素   源ip 地址  目标 ip 地址   协议    源端口    目标端口

ACL  匹配的顺序规则

      如果匹配第一条规则,则不再往下检查

      如果不匹配第一条规则, 则依次往下检查 知道任何一条规则匹配

      如果最后没有任何一条规则匹配  则路由器根据默认规则将丢弃该数据包

ACL  规则的应用方向

      只有两个方向  出, 已经过路由器处理,正离开路由器接口的数据包

                    入,  已到达路由器接口的数据包,  将被路由器处理

标准ACL 配置

   创建ACL

本章命令(思科)

        router(config)# access-list  1   permit/deny   源地址    源地址子网掩码反码

   默认路由器隐含的拒绝语句

        access-list 1 deny  0.0.0.0  255.255.255.255

关键字 host  any

允许某台主机通信

router(config)# access-list 1 permit  host  主机IP地址

 

拒绝任何主机通信

router(config)#access-list  1 deny  any    

将ACL 应用到接口

router(config-if) ip  access-group  acl 号    in/out

 

路由器一个接口可以由两个方向, 每个方向只能应用一个acl  

     

小刘在C站
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ACL配置大全及命令
01-16
ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
高级ACL访问控制列表
07-23
比较全面的讲解了思科设备ACL控制列表的配置以及使用方法。希望对热爱网络的丝米们有所帮助!
ACL访问控制列表
superman66697的博客
09-12 539
ACL,也称为访问控制列表,是一种网络安全工具,用于在网络设备上对数据流进行匹配和筛选。它可以控制数据包的流向,允许或拒绝数据包通过网络接口,以实现网络安全和资源管理。基于 ACL 的包过滤是一种网络安全措施,它对每个进出网络接口的数据包逐个进行检查,并根据ACL规则决定是否允许或丢弃数据包。这些规则必须配置在特定接口的某个方向上才能生效,每个接口的一个方向只能配置一个包过滤策略。
2024年网络安全最全TCP IP安全 之 ACL访问控制列表_acl icmp tcp(1),不了解这些多线程的基础知识很难学懂网络安全
最新发布
2401_84302761的博客
05-06 410
ping别人,就是生成ICMP探测包发给对方,然后对方给我回应一个ICMP探测包,代表ping通了!策略就是升级版的ACL,策略可以基于IP、端口、协议、应用层数据进行各种过滤。协议:TCP/UDP/IP/ICMP (当写了端口号,只能写tcp或udp)特点:可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤!注释:ICMP协议就是ping命令所使用的协议,ICMP协议是。表号:100-199或2000-2699。特点:只能基于源IP地址对包进行过滤!表号:1-99或1300-1999。
ACL———访问控制列表
小柏ぁ的博客
08-27 2999
目录 一、ACL简介 二、ACL的作用 三、访问控制列表的调用方向 四、访问控制列表的处理原则 五、访问控制列表类型 1、标准访问控制列表 2、扩展访问控制列表 验证两种类型 总结 一、ACL简介 ACL——访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网...
[网络]ACL 访问控制列表
热心网友
10-22 488
访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。1.2、ACL在接口的应用方向要弄清方向,在接口下调用acl 分为两个方向inbound方向--------当接口收到数据包时执行ACLoutbound方向-------当设备从特定接口向外发送数据时执行ACL
ACL访问控制列表详细配置教程)
热门推荐
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
ACL访问控制列表
qq_47175413的博客
06-03 4174
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
使用基本ACL限制FTP访问权限示例
2301_77023501的博客
12-04 642
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
网络基础之ACL访问控制列表
ljj的学习笔记
11-01 1378
本章目录一、概念1、ACL2、ACL在接口上的应用3、ACL的工作原理4、ACL的作用5、ACL种类6、ACL的应用原则和规则二、配置实验 一、概念 1、ACL ACL(Access Control Lists,缩写ACL),是存取控制列表。它读取第三层和第四层的包头信息(这里就引出了通信四元素:原地址,目标地址,源端口。目标端口),根据预先设置的规则对包进行过滤。 2、ACL在接口上的应用 在入口上:数据包从入口进路由器,就会被路由器处理 在出口上:数据包在经过路由器处理后,才会让它从出口出去 3、AC
思科模拟器 | 访问控制列表ACL实现网段精准隔绝
做技术人 · 产优质博客 · 找好工作
05-08 7588
访问控制列表ACL实现网段精准隔绝,灵活控制IP的访问接入
访问控制列表(ACL)
IvyXYW的博客
11-01 2290
一、访问控制列表(ACL) 1.1ACL两种作用: 1、用来对数据包做访问控制(丢弃或者放行) 2、结合其他协议,用来匹配范围 通信四元素:源地址、目的地址、源端口、目的端口 通信五元素:源地址、目的地址、源端口、目的端口、HTTP/SSH(应用层协议) 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 1.2 访问控制列表的工作原理 当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。 1.2.1 访问控制列表在接口应用的方向 出:已经过路由器处理,正
cisco路由器配置ACL详细讲解.pdf
05-27
标准访问控制列表是最简单的 ACL,它是通过使用 IP 包中的源 IP 地址进行过滤,使用的访问控制列表号 1 到 99 来创建相应的 ACL。标准访问控制列表的格式如下: access-list ACL 号 permit|deny host ip 地址 例如...
cisco路由器配置ACL详细讲解.doc
12-18
Cisco 路由器配置 ACL 详细讲解主要讲解了 Cisco 路由器中的访问控制列表ACL)的配置方法与命令。ACL 是一种用来控制网络访问的技术,通过读取第三层及第四层中的信息,如源地址、目的地址、源端口、目的端口等,...
Cisco-ACL配置.pdf
09-30
CISCO ACL访问控制列表设置介绍及讲解CISCO ACL访问控制列表设置介绍及讲解CISCO ACL访问控制列表设置介绍及讲解
路由器ACL实验详细过程讲解
03-04
通过路由器访问控制列表ACL)实现特定的网络访问策略是网络管理中的常见操作。在这个实验中,我们将学习如何配置路由器的ACL,以阻止R3通过telnet访问R2,以及防止R1 ping通R2。这涉及到对IP数据包的过滤,确保...
0基础学RS(二十七)ACL访问控制列表
weixin_45816894的博客
06-10 2993
访问控制列表ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。ACL分为基本ACL和高级ACL。基本ACL针对网络层和传输层进行过滤,也叫包过滤。 其中基本ACL中包含标准ACL和扩展ACL。拓扑由于ACL的使用是基于底层互通的情况下来制定一些规则,所以首先保证底层互通。规则1:禁止PC3访问PC1(源为PC3,目的为PC1,所以靠近源配置(R1))方法一: 方法二: ACL一般用在接口上,其中包括入站ACL和出站ACL注意:ACL对路由器自己产生的数
网络工程师】ACL访问控制列表
wmh的博客
01-09 812
1、Access Contral List 访问控制列表2、ACL是一种包过滤技术。3、ACL基于(三层)IP包头的IP地址、(四层)TCP/UDP头部的端口号[五层数据不能]4、ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)5、ACL主要分为2大类标准ACL扩展ACL表号:1-99特点:只能基于源IP对包进行过滤反子网掩码:将正子网掩码0和1倒置反子网掩码作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略。
ACL访问控制
weixin_46041124的博客
02-23 886
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
访问控制列表ACL详解
04-22
ACL(Access Control List)指访问控制列表,是一种权限控制方法。ACL用于控制文件和文件夹的访问权限,规定了哪些用户可以访问这些文件和文件夹,以及哪些用户可以读、写、执行这些文件和文件夹。ACL的实现方式一般分为两种:基于对象(如文件、文件夹等)的ACL和基于主体(如用户、用户组等)的ACL。基于对象的ACL允许在被控制对象上定义一个访问控制模板,这个模板可以标识哪些用户能够对对象所具有的各种访问权限进行修改。基于主体的ACL允许在主体上定义一套ACL信息,以此来规定与这个主体相关的文件或文件夹的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小刘在C站

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值