ACL/访问控制列表

最新推荐文章于 2023-06-19 20:48:28 发布
最新推荐文章于 2023-06-19 20:48:28 发布
阅读量647 收藏 2
点赞数 1
分类专栏: 数通安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42094992/article/details/103962619
版权

ACL

1.Access Control List

2.ACL是一种包过滤技术。

3.ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据]

           基于三层和四层过滤

4.ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)

5.ACL主要分为2大类:

1)标准ACL

2)扩展ACL

6.标准ACL:

表号:1-99

特点:只能基于源IP对包进行过滤

命令:

conf t

access-list 表号 permit/deny 源IP或源网段 反子网掩码

注释:反子网掩码:将正子网掩码0和1倒置

255.0.0.0 -- 0.255.255.255

255.255.0.0 -- 0.0.255.255

255.255.255.0 -- 0.0.0.255

反子网掩码作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略!

 

例如:access-list 1 deny 10.0.0.0 0.255.255.255

           解释:该条目用来拒绝所有源IP为10开头的!

                     access-list 1 deny 10.1.1.1 0.0.0.0

           解释:该条目用来拒绝所有源IP为10.1.1.1的主机

           简写:access-list 1 deny host 10.1.1.1

           access-list 1 deny 0.0.0.0 255.255.255.255

           解释:该条目用来拒绝所有所有人

           简写:access-list 1 deny any

完整的案例:

conf t

acc 1 deny host 10.1.1.1

acc 1 deny 20.1.1.0 0.0.0.255

acc 1 permit any

查看ACL表

show ip access-list [表ID]

将ACL应用到接口:

int f0/x

  ip access-group 表号 in/out

exit

sh run

7.扩展ACL:

       表号:100-199

       特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤

       命令:

acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 [eq 端口号]

注释:协议:tcp/udp/icmp/ip

案例:

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80

acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255

acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255

acc 100 permit ip any any

8.ACL原理

1)ACL表必须应用到接口的进或出方向才生效

2)一个接口的一个方向只能应用一张表

3)进还是出方向应用?取决于流量控制总方向

4)ACL表是严格自上而下检查每一条,所以要主要书写顺序。

5)每一条是由条件和动作组成,当流量完全满足条件当某流量没有满足某条件则继续检查下一条

6)标准ACL尽量写在靠近目标的地方

7)小原理:

      1)做流量控制,首先要判断ACL写的位置(哪个路由器?哪个接口的哪个方向?)

      2)在考虑怎么写ACL、

      3)如何写?

         首先要判断最终要允许所有还是拒绝所有

         然后写的时候要注意:将严格的控制写在前面

8)一般情况下,标准或扩展ACL一旦编写号,无法修改某一条,也无法删除某一条,也无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目。如想修改或插入或删除,只能删除整张表重新写!

       conf t

       no access-list 表号

       9命名ACL:

      作用:可以对标准或扩展ACL进行自定义命名

      优点:自定义命名更容易辨认,也便于记忆!

                 可以任意修改某一条,或删除某一条,也可以往中间插入某一条

命令

conf t

ip access-list standard/extended 自定义表名

          开始从deny或permit编写ACL条目

          exit

删除某一条:

ip access-list stand/extended 自定义表名

          no 条目ID

          exit

插入某一条

ip access-list standard/extended 自定义表名

         条目ID 动作 条件

         exit

10.实验

实验一在60.1.1.0网段网关路由器f0/1出接口out配置acl

命令:

acc 1 deny 10.1.1.0 0.0.0.255

acc 1 permit any

int f0/1

ip access-group 1 out

exit

sh run

实验二

删除实验一配置:

在三个网段交叉的路由器上配置ACL

命令:

access-list 100 permit tcp 10.1.1.0 0.0.0.255 host 60.1.1.1 eq 80
access-list 100 deny 10.1.1.0 0.0.0.255 host 60.1.1.1
access-list 100 deny tcp 40.1.1.0 0.0.0.255 host 60.1.1.1 eq 80
access-list 100 deny icmp 10.1.1.0 0.0.0.255 host 60.1.1.2
access-list 100 deny icmp 40.1.1.0 0.0.0.255 host 60.1.1.2
access-list 100 permit ip any any

 

 

 

 

火中的冰~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
十分钟带你了解你不知道的ACL访问控制技术
03-26 2639
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
网络层访问权限控制技术-ACL详解 (1)
weixin_34122548的博客
06-01 240
 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。  A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一...
ACL访问控制列表
honest_gg的博客
01-19 2367
目录: ACL技术概述 ACL的基本概念及其工作原理 背景: 随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。 ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 本章将介绍ACL的基本原理和基本作用,ACL的不同种类及特点,A...
【零基础入门】ACL访问控制列表
B站:众元网络
09-09 1408
【零基础入门】ACL访问控制列表
10、ACL访问控制列表)原理与配置
2301_76274559的博客
06-19 2560
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置。
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
访问控制列表(ACL)
最新发布
04-11
访问控制列表(ACL)
ACL访问控制列表.docx
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
ensp配置acl高级配置访问控制列表
03-27
在IT网络领域,访问控制列表(Access Control List, ACL)是一种强大的工具,用于管理网络流量,确保只有授权的通信能够通过网络。ENSIM(Enterprise Network Simulation Platform)是华为推出的一款网络仿真软件,...
几句话就能让你明白:ACL 访问控制列表(一)
weixin_34095889的博客
06-25 279
【TCP/IP】 TCP数据传输时,上层协议标识会添加在下层报文头部 #应用层端口号会添加在‘TCP/UDP’的报文头部中 #传输层协议号会添加在‘IP’的报文头部中 #网络层协议类型号会添加在‘以太网帧’的报文头部中【HTTP 80/TCP】可以理解为http的端口号是80,使用的是TCP上层协议一、TCP和UDP协议TCP/IP协...
ACL扩展IP访问控制列表配置
BUXIU_L_C的博客
06-26 1140
ACL扩展IP访问控制列表配置 (笔记) 随着大规模网络的发展,网络面临的威胁越来越多。而ACL是实现网络安全的基本技术之一。 ACL访问控制列表 1)限制网络流量、提高网络性能,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。 2)提供对通信流量的控制手段。 3)提供网络访问的基本安全手段。 4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 分类: 标准ACL 扩展ACL 实验设备 三台路由 一台PC 一台服务器 IP规划
acl-控制列表编辑
07-09 781
 多条规则的组合一条访问列表可以由多条规则组成多条规则使用同样的序号对冲突规则判断的依据是“深度”,也就是描述的地址范围越小的,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list 4 deny 202.38.0.0 0.0.255.255access-list 4 permit 202.38.160.1 0.0.0.255两条规则结合则表示
各厂商接入交换机通过ACL限制端口应用的配置信息
热门推荐
yangzhong881的专栏
05-15 1万+
这几天针对“勒索病毒”全世界都是限制445端口,现在工作单位也利用了这次机会对接入交换机进行了处理。现在将这些解决方案总结如下,希望能帮到需要的同行。 设备一:H3C S3528 版本信息: Huawei Versatile Routing Platform Software VRP Software, Version 5.20, Release 5309 Copyright (c)
ACL(访问控制列表
weixin_62466637的博客
10-20 752
ACL 读取第三层,第四层包头信息。 根据预先定义好的规则对包进行过滤。 通信4元素:源地址、目的地址、源端口、目的端口 ACL的作用 用来对数据包做访问控制。 结合其他协议,用来匹配范围。 工作原理 当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后作出相应处理。 ACL的种类 基于ACL(2000-2999):匹配IP地址 高级ACL(3000-3999):匹配源IP,目标IP,源端口,目标端口等三四层的字段和协议。 二层ACL(4000-4999):据数据
IPv4 ACL访问列表简介、ACL的3种主要分类介绍与配置、以大白话介绍ACL通配符、ACL动作、定义方向、Rule序号。
Hades_Ling的CSDN博客
12-19 2176
ACL访问控制列表(Access Control List)ACL可以对网络中报文流的精确匹配,通过与其它技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而保障网络环境的性能和网络服务质量的可靠性。ACL应用在功能/策略上时是不需要定义方向的,但应用在接口上时才需要定义方向。ACL的方向有inbound 入方向和outbound 出方向。如何判定入方向和出方向?基于数据流的走向定义应用的方向与ACL的匹配有何关联?
网络学习(第二十篇-ACL
qq_43068990的博客
12-29 452
ACL-访问控制列表 ACL是一种包过滤技术。 ACL基于IP包头的IP地址,四层TCP/UDP头部的端口号。[5层也可以,但不建议] 基于3,4层过滤 ACL在路由器上配置,也可以在防火墙上配置(一般称为策略) 防火墙:主要用于3,4层,过滤网络流量。 IDS/IPS:主要对帧进行全面检查,过滤木马,病毒。 ACL主要分为2大类: 1)标准ACL 2)扩展ACL 标准ACL: 表号:1-99 特点:只能基于源IP对包进行过滤 命令: conf t access-list 表号 permit/deny 源I
nginx封ip,禁用IP段的设置说明
weixin_33775572的博客
08-10 1067
nginx的ngx_http_access_module 模块可以封配置内的ip或者ip段,语法如下: deny IP; deny subnet; allow IP; allow subnet; # block all ips deny all; # allow all ips allow all; 如果规则之间有冲突,会以最前面匹配的规则为准。 如何配置禁...
11、标准访问控制列表配置(思科)
qq_64951792的博客
06-17 2597
ACL的全称为接入控制列表(Access Control Lists),也称为访问列表(Access List),俗称为防火墙,在有的文档中还称之为包过滤。IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、100~199、1300~1999、2000~2699;扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的。1、编号访问控制列表
理解ACL访问控制列表详解
本文档详细介绍了访问控制列表ACL,Access Control List)的基础知识,包括其定义、基本原理、分类、步长设定、匹配顺序、生效时间段、常用匹配项以及配置原则。ACL是一种用于网络安全和网络服务质量管理的重要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值