网络信息安全:三、ACl

访问控制列表(ACL)

IP首部

UDP和TCP端口号范围

端口号范围端口类型
0~1023周知端口
1024~49151注册端口
49152~65535私有或动态端口

一些周知端口

端口号协议应用缩写
20TCP文件传输协议(数据)FTP
21TCP文件传输协议(控制)FTP
22TCP安全外壳SSH
23TCPTelnet-
25TCP简单邮件传输协议SMTP
53UDP、TCP域名服务DNS
67/68UDP动态主机配置协议DHCP
69UDP简单文件传输协议TFTP
80TCP超文本传输协议HTTP
110TCP邮局协议3版POP3
143TCPInternet消息访问协议IMAP
161UDP简单网络管理协议SNMP
443TCP安全超文本传输协议HTTPS

ACL数据包过滤

数据包过滤是路由器通过分析传入和传出的数据包,然后根据给定条件转发或丢弃分析后的数据包,来控制对网络的访问。数据包过滤可以在3或4层进行。标准ACL仅在3层执行过滤。扩展ACL可在3和4层执行过滤。

标准ACL

可以允许或拒绝仅来自源ipv4地址的流量,它不检查数据包的目的地址及其端口。

Router(config)#access-list 10 permit 192.168.30.0 0.0.255.255

扩展ACL

  • 协议类型
  • 源IPv4地址
  • 目的IPv4地址
  • 源TCP或UDP端口
  • 目的TCP或UDP端口
  • 用于进行精确控制的可选协议类型信息
Router(config)#access-list 102 permit tcp 192.168.30.0 0.0.0.255 any eq 80

编号ACL和命令ACL

  • 1~991300~1999:标准IP ACL
  • 100~1992000~2699:扩展IP ACL

要配置命名ACL可指派一个名称来标识ACL

ACL的放置位子:

  • 扩展ACL:将扩展ACL放置在尽可能靠近需要过滤的流量源的位置上。
  • 标准ACL:由于标准ACL不指定目的地址,所以其位置应该尽可能靠近目的地。

配置一个标准ACL

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255
//			access-list x permit/deny source
//指定一个具体主机
R1(config)#access-list 10 permit host 192.168.10.1
R1(config)#show access-lists
//no access-lists x:删除
//可以添加一个注释:access-list x remark permit xxxxxx
//应用到接口:
R1(config-if)#ip access-group x out/in

命名标准ACL

R1(config)#ip access-list standard xxx
R1(config-std-nacl)#deny host 192.168.10.1
R1(config-std-nacl)#permit any 
//思科ACL默认禁止所有
//应用
R1(config-if)#ip access-group xx out/in

配置一个扩展ACL

//在标准的acl基础上添加一些规则
R1(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
//				扩展ACL的标号 允许/禁止 服务类型 源 目的 端口

命名扩展ACL

R1(config)#access-list extended xxx
...............

ACL顺序列表:按照顺序执行。默认禁止所有

实验:ACL

要求:

1、禁止PC0 ping PC5,但是PC5可以pingPC0.允许PC2 ping PC5;

2、禁止PC0 访问 服务器WEB服务,但是可以ping通服务器;

//使用扩展ACL
//在R1上的配置应用在fa0/1
R1#show access-lists 
Extended IP access list 100
    10 deny icmp host 192.168.1.1 host 192.168.2.2 echo
    20 permit ip host 192.168.1.2 host 192.168.2.2
    30 deny tcp host 192.168.1.1 host 192.168.2.254 eq www
    40 permit ip any any
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无法长大的Panda

您的鼓励是最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值