网络信息安全:三、ACl

最新推荐文章于 2023-04-12 20:49:59 发布
最新推荐文章于 2023-04-12 20:49:59 发布
阅读量711 收藏 2
点赞数
分类专栏: 网络技术 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45851211/article/details/117671180
版权

访问控制列表(ACL)

IP首部

UDP和TCP端口号范围

端口号范围端口类型
0~1023周知端口
1024~49151注册端口
49152~65535私有或动态端口

一些周知端口

端口号协议应用缩写
20TCP文件传输协议(数据)FTP
21TCP文件传输协议(控制)FTP
22TCP安全外壳SSH
23TCPTelnet-
25TCP简单邮件传输协议SMTP
53UDP、TCP域名服务DNS
67/68UDP动态主机配置协议DHCP
69UDP简单文件传输协议TFTP
80TCP超文本传输协议HTTP
110TCP邮局协议3版POP3
143TCPInternet消息访问协议IMAP
161UDP简单网络管理协议SNMP
443TCP安全超文本传输协议HTTPS

ACL数据包过滤

数据包过滤是路由器通过分析传入和传出的数据包,然后根据给定条件转发或丢弃分析后的数据包,来控制对网络的访问。数据包过滤可以在3或4层进行。标准ACL仅在3层执行过滤。扩展ACL可在3和4层执行过滤。

标准ACL

可以允许或拒绝仅来自源ipv4地址的流量,它不检查数据包的目的地址及其端口。

Router(config)#access-list 10 permit 192.168.30.0 0.0.255.255

扩展ACL

  • 协议类型
  • 源IPv4地址
  • 目的IPv4地址
  • 源TCP或UDP端口
  • 目的TCP或UDP端口
  • 用于进行精确控制的可选协议类型信息
Router(config)#access-list 102 permit tcp 192.168.30.0 0.0.0.255 any eq 80

编号ACL和命令ACL

  • 1~991300~1999:标准IP ACL
  • 100~1992000~2699:扩展IP ACL

要配置命名ACL可指派一个名称来标识ACL

ACL的放置位子:

  • 扩展ACL:将扩展ACL放置在尽可能靠近需要过滤的流量源的位置上。
  • 标准ACL:由于标准ACL不指定目的地址,所以其位置应该尽可能靠近目的地。

配置一个标准ACL

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255
//			access-list x permit/deny source
//指定一个具体主机
R1(config)#access-list 10 permit host 192.168.10.1
R1(config)#show access-lists
//no access-lists x:删除
//可以添加一个注释:access-list x remark permit xxxxxx
//应用到接口:
R1(config-if)#ip access-group x out/in

命名标准ACL

R1(config)#ip access-list standard xxx
R1(config-std-nacl)#deny host 192.168.10.1
R1(config-std-nacl)#permit any 
//思科ACL默认禁止所有
//应用
R1(config-if)#ip access-group xx out/in

配置一个扩展ACL

//在标准的acl基础上添加一些规则
R1(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
//				扩展ACL的标号 允许/禁止 服务类型 源 目的 端口

命名扩展ACL

R1(config)#access-list extended xxx
...............

ACL顺序列表:按照顺序执行。默认禁止所有

实验:ACL

要求:

1、禁止PC0 ping PC5,但是PC5可以pingPC0.允许PC2 ping PC5;

2、禁止PC0 访问 服务器WEB服务,但是可以ping通服务器;

//使用扩展ACL
//在R1上的配置应用在fa0/1
R1#show access-lists 
Extended IP access list 100
    10 deny icmp host 192.168.1.1 host 192.168.2.2 echo
    20 permit ip host 192.168.1.2 host 192.168.2.2
    30 deny tcp host 192.168.1.1 host 192.168.2.254 eq www
    40 permit ip any any
无法长大的Panda
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
思科模拟器 | 访问控制列表ACL实现网段精准隔绝
做技术人 · 产优质博客 · 找好工作
05-08 7404
访问控制列表ACL实现网段精准隔绝,灵活控制IP的访问接入
思科模拟器:acl网络访问控制 命名设置(extended)
鲍海超
03-16 2761
思科模拟器:acl网络访问控制 命名设置(extended)
思科设备ACL与NAT技术
热门推荐
CSDN
05-23 1万+
ACL 访问控制列表(Access Control Lists),是应用在路由器(或层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的种方式
标准与扩展ACL 、 命名ACL 、 总结和答疑
weixin_33709590的博客
05-14 1217
1 配置标准ACL1.1 问题络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。1)配置标准ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server P的浏览器访问1.2 方案访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的...
思科模拟器:acl网络访问控制 扩展设置 (100-199)
鲍海超
03-16 1929
思科模拟器:acl网络访问控制 扩展设置 (100-199)
ACL技术在网络安全的应用.pdf
09-20
ACL是一种基于数据包过滤的技术,可以对进出设备数据包的源、目的地址、端口、协议等信息进行过滤,从而判断并做出对数据包进行转发或丢弃的动作,实现对网络访问的安全控制。ACL技术广泛应用在路由器和层交换机上...
基于安全的企业网络毕业设计
最新发布
11-27
如今,网络接入技术迅猛发展,有线网络已经不能满足企业对灵活、快捷、 高效办公的需求。...为了提高网络信息安 全性,还布设防火墙、内外地址转换(NAT)、分部与总部建立虚拟专用网络(VPN) 等安全措施。
信息系统网络安全技术规范.docx
07-14
应在内部网络与互联网边界,内部网络与外联单位边界之间应部署防火墙等访问控制设备,对访问网络的行为进行控制,应确保接入网络的用户不会破坏网络的安全性 网络服务安全策略 应采用扩展的ACL或者在防火墙使用端口...
软考高项信息系统安全管理必须掌握知识
09-29
安全审计是信息系统安全管理的重要组成部分,目的是识别与防止计算机网络系统内的攻击行为,追查计算机网络系统内的泄密行为。安全审计可以分为两方面的内容: 1. 网络监控与入侵防范系统:用于识别网络各种违规...
阿里云 专有云企业版 V3.8.1 专有网络VPC 安全白皮书 20190910
04-08
用户可以根据需要配置安全组和网络ACL来控制入流量和出流量。 访问控制 阿里云专有云企业版V3.8.1专有网络VPC提供了访问控制机制,防止未经授权的访问和恶意攻击。用户可以根据需要配置安全组和网络ACL来控制入流量...
ACL访问控制(华为)
Jian Sun_的博客
07-30 8660
一、ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址...
思科ASA防火墙:控制防火墙不让访问指定网站
鲍海超
04-12 1304
access-list + 名字 + permit + 协议 + 要被控制的网段 +子网掩码 + any全部 + eq + 协议。regex + 创建的w1 + "\.名字\.后缀"检查到c3里面的网址后把包丢弃 并且发送日志。创建一个检查http类型的类 c3。外网客户机:server 2016。win10可以通过域名访问网站。创建一个c2 把 w1 映射进去。要检查的内容是c2里包含的网址。创建一个检查类型的策略p1。exit exit 退回全局。exit exit 退回全局。内网客户机:win10。
ACL访问控制实验——CISCO
爱吃仡坨的Blog
08-11 5731
访问控制列表的定义访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和层交换机,也可以配置在防火墙上,一般称为策略。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。.........
ACL--访问控制列表
dingshun129的博客
08-28 1454
目录 一、ACL 1、作用 2、访问控制列表的调用方向 3、策略做好后,在入接口调用和出接口调用的区别 4、访问控制列表的处理原则 5、访问控制列表的类型 二、标准访问控制列表拓扑实验 、扩展访问控制列表拓扑实验 四:总结 一、ACL ACL--访问控制列表 1、作用 读取层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤 层头部信息:源、目IP 四层头部信息:TCP/UDP协议,源、目端号 2、访问控制列表的调用方向 入:流量将要进入本地路由器,将被..
网络安全-扩展ACL访问控制列表配置
千寻的博客
08-09 2966
一.实验要求 1.全网互通 1).将server1及server2设置为web服务器及DNS服务器2).并在PC1及PC2上成功访问server1及2,并能ping通2.ACL需求:1).禁止PC1访问server1的web服务,但可以访问server1的其它服务2).PC2只能访问server1的web服务,不可以访问server1的其它服务 3).禁止PC1及PC2ping server2,...
思科网络基础---ACL配置
coisini的博客
12-27 4214
记得这是多年前的一道作业题,如今再接触网络,感触颇深。 先提下配置要求吧,说实话,这拓扑图是真的简单,配置要不复杂,当然,这只是基本的训练题。 用RIP路由协议配置,实现网络连通。 1、终端PC-5的WEB浏览器上输入http://40.4.4.200,是否可以打开页面? 2、若要拒绝该网段访问Server-2的网站,该如何实现? 3、PC-6能否ping通R-1所连接主机?如果想拒绝所...
cisco命令防ping_ACL配置禁止PING
weixin_39995439的博客
12-20 2920
从r1过来的数据包送给r2的时候,r2数据链路层解封装之后会查看是否acl in的acl。如果有的话先检查acl是否放行,如果放行的话再查路由表然后再进行2层的封装。如果不放行的话直接给discrad。我觉得可能是2个问题导致你能ping成功。第一:ping的时候没有指定source。第二:可能是模拟器的问题用小凡试了下并debug看了下结果再r2与r1的in方向和r2连pc的out方向都能达到...
CCNA(十五)思科ACL、NAT配置命令
qq_43624033的博客
02-22 2764
ACL 访问控制列表 ACL可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。被广泛地应用于路由器和层交换机,借助于ACL,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 ACL功能: 访问控制—在路由器上流量进或出的接口上规则流量; 定义感兴趣流量 —为其他的策略匹配流量,抓取流量 访问控制:定义ACL列表后,将列表调用于路由器的接口上,当流量通过接口时,进行匹配...
高级ACL限制不同网段互访 拓扑与命令
Yyl0826的博客
10-25 1267
核心: u t m sys vlan batch 10 20 int vlan if 10 ip add 10.1.1.1 24 int vlan if 20 ip add 10.1.2.1 24 quit int g0/0/1 port link trunk port trunk allow-pass vlan 10 undo port trunk allow-pass vlan 1 stp dis int g0/0/2 port link trunk port trunk allow-pas...
ACL(访问控制列表网络技术
03-27
ACL(Access Control List)是一种网络技术,用于控制网络设备(如路由器、交换机)上的流量。ACL是一种规则列表,允许或拒绝网络流量通过网络设备。ACL通过检查每个数据包的源地址、目的地址、协议类型、端口号等信息,来决定是否允许该数据包通过网络设备。 ACL可以用于实现以下功能: 1. 控制网络流量:ACL可以允许或拒绝某些特定类型的流量,从而保护网络安全。 2. 限制网络资源的使用:ACL可以限制某些用户或组织对网络资源的访问,从而控制网络资源的使用。 3. 提高网络性能:ACL可以限制某些无关紧要的流量,从而提高网络性能。 ACL有两种类型:标准ACL和扩展ACL。标准ACL只能根据源IP地址来控制流量,而扩展ACL可以根据源IP地址、目的IP地址、协议类型、端口号等信息来控制流量。扩展ACL比标准ACL更为灵活。 ACL网络安全一种重要的技术,可以保护网络免受攻击和滥用。ACL的配置需要谨慎,必须根据网络环境和需求进行精细的规划和设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无法长大的Panda

您的鼓励是最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值