HuaWei ❀ ACL对分片报文的支持

最新推荐文章于 2023-03-06 15:04:54 发布
最新推荐文章于 2023-03-06 15:04:54 发布
阅读量415 收藏
点赞数
分类专栏: Network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42197548/article/details/106726603
版权

ACL对分片报文的支持

传统的包过滤并不处理所有IP报文分片,而是只对第一个分片报文进行匹配处理,后续分片一律放行,这样,网络攻击者可能构造后续的分片报文进行流量攻击,带来安全隐患;
设备的包过滤提供了对分片报文过滤的功能,包括对所有分片报文进行三层匹配过滤;
在ACL规则中,可以配置该ACL规则对所有分片报文有效,可以配置该规则仅对非首片分片报文有效,也可以配置规则对所有报文均有效;

无糖可乐没有灵魂
关注
专栏目录
华为acl怎么生效_华为ACL配置教程(一)
weixin_39908985的博客
12-20 1422
一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。[Huawei]time-rangetest ?Starting time...
HCIA-Datacom实验指导手册:4.1 实验一:访问控制列表配置实验,fragment分片acl演示。
最新发布
lvshiliang123的博客
01-29 456
fragment分片acl
H3CNE-用访问控制列表实现包过滤(ACL
CSerwangjun的博客
02-27 4000
PS:本篇挑选作者认为重要的模块,并不全面供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。用访问控制列表实现包过滤ACL:访问控制列表,用来实现数据包识别功能       NE课程中的ACL的应用:            把ACL下发到路由器的接口下,过滤接口收发的用户数据             该过滤功能是通过路由器的防火墙功能模块实现整体叫包过滤防火...
华为防火墙分片缓存
Jian Sun_的博客
02-05 3255
 分片缓存   分片缓存功能用来缓存先于首片分片报文到达的后续分片报文,避免分片报文被防火墙丢弃。      网络设备在传输报文时,如果设备上配置的MTU(Maximum Transfer Unit)小于报文长度,则会将报文分片后继续发送。   我们知道,状态检测防火墙是依据首包检测机制进行过滤报文的,即防火墙除首包(如TCP的SYN包)可以生成会话表项外,其他数据包一律会予以丢弃。在理想情况下,各分片报文将按照固定的先后顺序在网络中传输。在实际传输过程中,可能存在首片分片报文不是第一个到达防火
ACL技术原理和实验(华为设备)
tushanpeipei的博客
01-20 5167
概述: 常用的路由选择工具:过滤器,只匹配,不调用就不会生效。 ACL访问控制类表 • ACL是由permit或deny语句组成的一系列有顺序规则的集合,它通过匹配报文的信息实现对报文的分类。路由器根据ACL定义的规则判断哪些报文可以接收,哪些报文需要拒绝,从而实现对报文的过滤。 • ACL通过配置的一系列匹配规则对特定的数据包进行过滤,从而识别需要过滤的对象。然后,根据预先设定的策略允许或禁止相应的数据包通过。同时,ACL可以作为基础配置被其他功能模块引用。 ip-prefix前缀类表 • ip-pr
最详细的ACL介绍与实验配置
yuyeconglong的博客
03-06 3441
ACL原理和实验配置
2021-05-14
soulzw的博客
05-14 259
分片,首片,非分片非首片分片,首片分片都尼玛是什么 转载 分片:就是一个火腿肠可以用刀分成好几块 首片:火腿肠可以用刀砍了,如果要组合起来,就是火腿肠的头部的那一片 非分片:你买的火腿你直接一口吃了,不分割的 非首片分片:就是你把火腿肠看成了7,8块,不是第一个的,其他的切开的肉块 IP分片除了首片报文外,还有后续分片报文,又叫做非首片分片报文首片分片报文携带四层信息(如TCP/UDP端口号等),后续分片报文均不携带。意思就是这玩意,没有第一个切割的数据包的信息多,只有第一个才有tcp,u
ACL技术与园区网络
upmans的博客
10-28 442
NAT,对于从内到外的流量设备会通过NAT将数据包的源地址进行转换(转换成特定的公网 地址);即可以使用ipv4报文的源IP地址,也可以使用目的的IP地址,协议类型、甚至使用ICMP、TCP、UDP、ipv6等协议的各类字段信息来定义规则。配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报文执行优先设定好的处理动作。如果是公网地址,则会根据事先配好的静态ip地址映射表查找该源ip对应的公网ip地址。访问控制:在设备的流入或流出接口上,匹配流量,然后执行设定的动作。
十分钟带你了解你不知道的ACL访问控制技术
03-26 2668
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
华为1+x网络系统建设与运维(中级)第6章 网络安全技术v3.0.pptx
12-28
基本 ACL 只能基于 IP 报文的源 IP 地址、报文分片标记和时间段信息来定义规则。高级 ACL 基于报文的源 IP 地址、目的 IP 地址、报文优先级、IP 承载的协议类型及特性等信息来定义规则。 二、 网络地址转换(NAT) ...
IP数据包与分片解析
06-12
IP数据包与分片解析,通过ping des-IP -l 1472 与ping des-IP -l 1473,抓包分析,解释其中的标识字段,标志,片偏移等。
报文分片(16位分片标识、3位标志、13位片偏移字段详解)
challenglistic的博客
08-31 7194
什么是分片?如何分片分片以后如何组装?
IP分片报文的接收与重组
redwingz的博客
09-12 2万+
对于长度超过接口MTU的数据包,需要进行分片处理,IP报头中与分片相关的字段有如下几个: Identification       -  用来确认不同的分片是否属于同一个IP报文; Flags                  -  其中IP_MF表示还有分片,此分片为中间分片; Fragment Offset -  表示此分片在整个报文中的偏移地址。 了解了这几个字段之后,来看一下内核中的实...
UDP包的大小与MTU
热门推荐
木木
05-03 3万+
在进行UDP编程的时候,我们最容易想到的问题就是,一次发送多少bytes好?当然,这个没有唯一答案,相对于不同的系统,不同的要求,其得到的答案是不一样的,我这里对像ICQ一类的发送聊天消息的情况作分析,对于其他情况,你或许也能得到一点帮助:首先,我们知道,TCP/IP通常被认为是一个四层协议系统,包括链路层,网络层,运输层,应用层.UDP属于运输层,下面我们由下至上一步一步来看:以太网(Ethernet)数据帧的长度必须在46-1500字节之间,这是由以太网的物理特性决定的.这个1500字节被称为链路层的
防火墙技术之----包过滤(Packet Filter)
weixin_33824363的博客
08-22 5041
1.包过滤防火墙简介 防火墙是指设置在不同网络(任何信任的企业内部网络和不信任的公网)或网络安全域之间的一系列的部件组合。她可以通过检测、限制、分析跨越防火墙的数据流,按照用户的需要对这些数据流进行安全性划分,尽可能的对外部屏蔽内部网络的信息、结构和运行情况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效的监控了内网和Inter...
wireshark捕获IP分片数据包实践
实践求真知
04-06 2万+
一 简介如果一个数据包超过1500个字节,就需要将该包进行分片发送。通常情况下,是不会出现这种情况的。下面通过使用ICMP包,来产生IP分片数据包。使用ICMP包进行测试时,如果不指定包的大小,可能无法查看被分片的数据包。由于IP首部占用20个字节,ICMP首部占8个字节,所以捕获ICMP包大小最大为1472字节。但是一般情况下,ping命令默认的大小都不会超过1472。这样,发送的ICMP包就可...
报文学习一(过滤报文
弘毅_hao的博客
12-16 4118
以下为在实际操作中常用操作 1. 协议过滤 报文协议:tcp udp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等 过滤方式:直接写协议名称:http 2.ip过滤(等于号两侧空格可有可无) ip.src == xx(源ip地址) ip.dst == xx(目的ip地址) ip.addr == xx(ip地址) 3.mac过滤 eth.addr == xx 4.协议端口过滤...
nginx 过滤post报文 防火墙_【网络干货】网络安全之最全防火墙技术详解
weixin_39815943的博客
10-19 766
一、安全域防火墙的安全域包括安全区域和安全域间。安全区域在防火墙中,安全区域(Security Zone),简称为区域(zone),是一个或多个接口的组合,这些接口所包含的用户具有相同的安全属性。每个安全区域具有全局唯一的安全优先级,即不存在两个具有相同优先级的安全区域。设备认为在同一安全区域内部发生的数据流动是可信的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发防火墙的...
分片报文
方子的博客
05-31 5681
分片模块按照SIP+DIP+ID号+PROTO转发。前中后三片必须ID号一致,协议一致。1.分片首片配置如下:偏移位:0;字节为838;2.中片配置如下:偏移位:100;*8为800;字节为838;3.尾片配置如下:偏移位:200;*8为1600;字节小于838即可;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无糖可乐没有灵魂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值