九、用访问控制列表进行包过滤

已于 2024-02-20 08:41:47 修改
阅读量879 收藏 28
点赞数 21
分类专栏: 计算机网络 # H3CNE 文章标签: 网络 网络协议 智能路由器 tcp/ip 服务器
于 2024-01-20 17:12:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51721050/article/details/135718072
版权
本文详细介绍了ACL(访问控制列表)的概念、工作原理、分类(基本、高级和二层用户自定义ACL),以及如何配置包过滤防火墙,包括规则设置、匹配顺序和注意事项。同时讨论了ACL的局限性,如依赖于数据包头信息和静态性质。
摘要由CSDN通过智能技术生成

1 ACL概述

(1)ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的

(2)ACL可以应用于诸多方面,包过滤防火墙功能;NAT(Network Address Translation,网络地址转换);QoS(Quality of Service,服务质量)的数据分类;路由策略和过滤按需拨号

2 ACL包过滤原理

2.1  基于ACL的包过滤技术

        对进出的数据包逐个过滤,丢弃或允许通过;ACL应用于接口上,每个接口的出入双向分别过滤;仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤

2.2 入站包过滤工作流程

2.3 出站包过滤工作流程

2.4 通配符掩码

        (1)通配符掩码和IP地址结合使用以描述一个地址范围
        (2)通配符掩码和子网掩码相似,但含义不同
        (3)0表示对应位须比较,1表示对应位不比较

2.5 通配符掩码的应用示例

3 ACL分类

3.1 ACL的标识

3.2 基本ACL

3.3 高级ACL

3.4 二层ACL与用户自定义ACL

        (1)二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则
        (2)用户自定义ACL可以根据任意位置的任意字串制定匹配规则:报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。

4 配置ACL包过滤

4.1 ACL包过滤配置任务

        (1)启动包过滤防火墙功能,设置默认的过滤规则 
        (2)根据需要选择合适的ACL分类
        (3)创建正确的规则:设置匹配条件;设置合适的动作(Permit/Deny)
        (4)在路由器的接口上应用ACL,并指明过滤报文的方向(入站/出站)

4.2 启动包过滤防火墙功能

4.3 配置基本ACL

4.4 配置高级ACL

4.5 配置二层ACL

4.6 在接口上应用ACL

4.7  ACL包过滤显示与调试

5 ACL包过滤的注意事项

5.1 ACL规则的匹配顺序

        (1)匹配顺序指ACL中规则的优先级。
        (2)ACL支持两种匹配顺序:
        ①配置顺序(config):按照用户配置规则的先后顺序进行规则匹配;②自动排序(auto):按照“深度优先”的顺序进行规则匹配,即地址范围小的规则被优先进行匹配
        (3)配置ACL的匹配顺序: 

5.2 不同匹配顺序导致结果不同

5.3 在网络中的正确位置配置ACL包过滤

        (1)尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发
        (2)高级ACL:应该在靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络
        (3)基本ACL:①过于靠近被过滤源的基本ACL可能阻止该源访问合法目的;②应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源

5.4 高级ACL部署位置示例

5.5 基本ACL部署位置示例

5.6 ACL包过滤的局限性

(1)ACL包过滤防火墙是根据数据包头中的二、三、四层信息来进行报文过滤的,对应用层的信息无法识别,无法根据用户名来决定数据是否通过;无法给不同的用户授予不同的权限级别
(2)ACL包过滤防火墙是静态防火墙,无法对应用层协议进行动态检测

天局•胜天半子
关注
专栏目录
ACL(用访问控制列表实现过滤
m0_51600840的博客
07-12 3346
ACL(AccessControlList,访问控制列表
访问控制列表实现过滤
weixin_47144616的博客
02-13 720
ACL 定义 访问控制列表:用于数据流的匹配和筛选 常见功能 1、访问控制 数据过滤 2、路由控制 ACL+Router-policy 3、流量控制 ACL+QOS 基于ACL的过滤 定义 对进出的数据检查,丢弃或允许通过,过滤必须配置在接口的某个方向上才能生效,一个接口的一个方向只能配置一个过滤策略 过滤的方向 入方向:只对从外部进入的数据过滤 出方向:只对从内部发出的数据过滤 过滤的工作流程 1、数据到达接口检查是否应用了ACL,是则进入匹配,否则放行 2、按照ACL编号匹
ACL(访问控制列表 ) 在路由器配置ACL语句
azsx02的博客
04-05 1万+
ACL(Access Control List)访问控制列表 ACL作用 分类 工作原理 通配符掩码
第21节 ACL(访问控制列表)原理及实验—根据设定的条件对接口上的数据进行过滤
m0_64378913的博客
02-05 3980
ACL1 ACL概述2 ACL分类2.1 标准ACL2.2 扩展ACL3 ACL原理4 编写ACL的步骤及原理5 命名ACL6 总结参考文章 1 ACL概述 (1)定义:Access Control List 访问控制列表,其实是一种过滤技术。访问控制列表(ACL)是一种基于过滤访问控制技术,它可以根据设定的条件对接口上的数据进行过滤,允许其通过或丢弃。 (2)作用: 1)访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程
CISCO学习笔记(十)访问控制列表ACL
热门推荐
My Inspiration World _" Franz °
10-21 2万+
一、访问控制列表的作用: *过滤:通过过滤经过路由器的数据来管理IP流量 *分类:标识流量以进行特殊处理     ACL在作用的时候有两个动作,即允许和拒绝。 允许或拒绝经过路由器的数据 允许或拒绝来自路由器或到路由器的vty访问 如果没有ACL,所有数据会发往网络的所有部分。   配置完以后一定要记得调用ACL的访问控制列表。 二、访问列表的分类: *标准  -
X00060100 第27章 用访问控制列表实现过滤.pptx
06-29
### X00060100 第27章 用访问控制列表实现过滤 #### 一、ACL概述 访问控制列表(Access Control List,简称ACL)是一种用于实现数据识别的重要工具,在网络管理中扮演着核心角色。通过定义一系列的规则,ACL...
X00060100 第27章 用访问控制列表实现过滤
09-14
X00060100 第27章 用访问控制列表实现过滤 本章节主要介绍了使用访问控制列表(ACL)实现过滤的技术。ACL 是一种网络安全技术,用于控制网络设备对某些访问或某些数据的能力。通过 ACL,可以对数据进行识别,...
高级网络人才培训专家-X00060100 第27章 用访问控制列表实现过滤
03-26
### 高级网络人才培训专家-X00060100 第27章 用访问控制列表实现过滤 #### 知识点概览 - **访问控制列表(ACL)概念** - **ACL过滤原理** - **ACL分类及其应用** - **配置ACL过滤** - **ACL过滤配置应用...
X1第17章用访问控制列表实现过滤.ppt
12-30
X1第17章用访问控制列表实现过滤.ppt
路由基础之访问控制列表
晚风挽着浮云的博客
12-24 4187
访问控制列表 原理概述: 访问控制列表(ACL:AccessControlList)是一种常用的网络技术,它的基本功能是对经过网络设备的报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,它首先通过报文匹配过程来实现对报文的分类识别,然后根据报文的分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定的报文的过滤处理。除此之外,ACL还有其他一些功能,这些功能常常被Route-Policy、Qos(Quality of Service...
ACL(访问控制列表) 和 IP prefix-list(前缀列表)的路由匹配区别
黑夜搬砖的网工
07-07 1万+
总结 能否匹配路由 路由匹配是否精确 能否做数据过滤 目的 ip-prefix 能 精确 不能 诞生的目的就是精确匹配路由 acl 基本ACL可以,但是高级acl不能匹配路由 不精确 能 最初是为了做数据过滤 访问控制列表.
Wireshark应用
00's Blog
01-03 2846
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
ip过滤常用规则
lepton126的专栏
03-09 2288
 www.wireshark.org/tools/string-cf.html IP Filters ip[0] & 0x0f low nibble: header length in 4octet words. should be 5 ip[1] type of service/QoS/DiffServ ip[2:2]...
iptables IP过滤规则设置
做好自己
09-13 835
添加自定义规则链 iptables -N ODAE_DRUID_INPUT 删除空的自定义规则链 iptables -X ODAE_DRUID_INPUT -t nat 添加一条规则到自定义规则链 iptables -A ODAE_DRUID_INPUT -s 10.244.160.58 -p tcp -m multiport --dports 26200:26999 -j REJECT 关联自定义规则链 iptables -A INPUT -s 172.31.0.0/16 -j ODAE_DRUID_IN
网络安全学习--过滤规则P174-P175
m0_51943976的博客
06-30 1750
过滤规则过滤防火墙实验需要用到的虚拟机 过滤防火墙 iptables 工具 具有四个功能(表) raw mangle 这两个表实现数据流量的跟踪与整型 nat --网络地址转换 filter --过滤 实验 需要用到的虚拟机 一台xp,两台linux ...
过滤规则配置示例
hem的专栏
06-07 7494
 过滤规则配置示例在东方龙马防火墙用户手册中第七章过滤技术中,我们对过滤规则中的各个参数进行了介绍,由于过滤规则作为防火墙控制内外访问的一项重要依据,所以定制过滤规则成为防火墙中比较关键的一个环节,下面对过滤规则的各种配置情况做示例说明。定制过滤规则根据不同的需要会有很多种不同的情况,各条规则有其相似的地方,又有其特殊的不同,所以定制规则的方法,可以从大同中求小异,是不难
kubernetes网络(一)之calico详解
鲜少伟的博客
09-22 1163
本文介绍Kubernetes最流行的网络解决方案calico。
个人计算机与网络的安全
最新发布
nn_84的博客
09-24 254
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。种漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
访问控制列表实现过滤
05-16
访问控制列表(ACL)是一种用于控制网络流量的技术,可以实现过滤。ACL 可以定义哪些流量可以进入或离开网络。以下是实现过滤的步骤: 1. 定义 ACL 规则:根据需要,定义 ACL 规则。ACL 规则是由多个规则组成的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值