ACL 网安基础

ACL:access control list
访问控制列表

网络当中哪些流量可以通过,哪些流量不能通过,哪些用户可以登录,哪些用户拒绝登录。

permit    允许
deny    拒绝

flow control

ACL的功能:
(1)过滤:针对通过路由器的IP包进行过滤,决定数据包是否通过
(2)分类:针对通过路由器的IP包进行标识(标记)分类处理,有其他协议或者进行可能会调用这个ACL中匹配的结果

ACL分的分类:
(1)standard ACL,标准ACL    
    编号范围:1-99,1300-1399
(2)extended ACL,扩展ACL    
    编号范围:100-199,2000-2699
【(3)named ACL,命名ACL    】

DOS:denial of service,拒绝服务攻击
DDOS:distributed denial of service,分布式拒绝服务攻击

***ACL要么用于控制到达我本身的流量,要么用于控制穿越我的流量,我无法控制自己本地始发的流量

ACL分为入站(inbound ACL)ACL和出站ACL(outbound ACL)

入站ACL和出站ACL的效率比较????
入站ACL要先匹配ACL,在查询路由表
出站ACL要先查询路由表,最后在匹配ACL列表

客观的结论:入站ACl效率要高于出站ACL,这个过程中,减少了路由表查询的压力

标准ACL:只能根据源地址进行过滤IP包(只能匹配match源IP地址)

语法:

access-list 1 permit/deny 192.168.1.0 0.0.0.255
access-list 1 permit/deny 192.168.1.100 0.0.0.0

扩展ACL:能够根据源IP、目的IP、源tcp/udp端口号、目的tcp/udp端口号、协议类型进行match过滤

access-list 110 permit/deny tcp host 192.168.1.100 host 200.1.1.1 eq 80
access-list 110 permit/deny tcp 192.168.1.100 0.0.0.0 200.1.1.1 0.0.0.0 eq 80

access-list 110 permit/deny tcp 192.168.1.0 0.0.0.255 200.1.1.1 0.0.0.0 eq 80


*******************************************************
思科的网络设备,会在你做的ACl最后,追加一条语句“默认拒绝所有访问所有”
标准ACL:access-list 1 deny any
扩展ACL:access-list 110 deny ip any any

如果我在R1上写了一条ACL:

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any

实现的效果:只有192.168.1.0段的这254台主机能够上网,其他网段的主机都没戏

access-list 110 permit tcp host 192.168.1.100 host 200.1.1.1 eq 80
access-list 110 deny ip any any

实现的效果:只有192.168.1.100这台主机能够访问200.1.1.1的网页服务,其他人都不行

**********************************************

ACL的匹配规则:“自顶向下逐条匹配”

eg:

    ACL 110
        
        5 deny tcp 192.168.1.0 0.0.0.255 200.1.1.1 0.0.0.0 eq 443
        10 deny udp host 10.1.1.0 0.0.0.255 100.1.1.1 0.0.0.0 eq 22
        15 deny ip any any


ACL在书写的时候,应该至少包含一条允许permit的语句,否则这个设备就会被置为黑洞
如果ACL策略中有些策略你忘记写了,或者漏掉了,你可以通过设置新的ACL的序列号进行添加

ACL在配置的时候,一定要记得,先写好策略,最后一定要在某个具体的接口下应用,同时定义好使入站ACL还是出站ACL

 

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值