访问控制列表-ACL

于 2024-08-31 10:47:03 发布
阅读量1k 收藏 11
点赞数 21
分类专栏: ensp 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58981141/article/details/141749206
版权

一.回顾

NTFS权限时,ACL就是让用户有不同的权限访问文件夹或者文件

二.概述

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

image-20240401153534412

三.原理

当PC1对数据进行封包,发送到路由器AR10/0/0号口,假设该口用作了ACL机制,首先查看ACL表规则,从编号为小到大进行匹配,如果一旦匹配上就查看操作是拒绝还是允许,如果匹配不上继续往下匹配,知道匹配所有规则

四.ACL的分类

对于过滤条件进行了分类,ACL的编号是5的倍数,可以省略不写

  • 基本ACL

    • ACL编号:2000-2999

    • 只过滤源IP地址

  • 高级ACL

    • ACL编号:3000-3999

    • 过滤协议,源端口,目的端口,源IP,目的IP(五元组)

五.基本ACL实验

image-20240401154102900

AR1 配置命令
1.创建acl编号
[Huawei]acl 2000
2.编写acl规则
[Huawei-acl-basic-2000]rule 规则编号 操作(deny拒绝/permit允许) 源IP 通配符子网掩码
[Huawei-acl-basic-2000]rule deny source 192.168.10.1 0
3.进入应用的接口
[Huawei]int g0/0/0
4.设置作用在入站还是出战
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

image-20240401155307507

六.高级ACL实验

image-20240401162804841

配置高级ACL命令
1.创建acl编号
[Huawei]acl 3000
2.编写acl规则
命令格式:rule deny/permit IP上层协议 source 源IP destination 目的IP source-port eq 源端口 destination-port eq 目的端口
[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.1 0.0.0.0 destination-port 
eq 21
3.进入应用的接口
[Huawei]int g0/0/0
4.设置作用在入站还是出战
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
​
​
根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
​
当IP承载的协议类型为ICMP时,高级访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | icmp-type { icmp-name | icmp-type icmp-code } | source { source-address source-wildcard | any } | logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] * ] | [ fragment | none-first-fragment ] | vni vni-id ] *
​
当IP承载的协议类型为TCP时,高级访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end | port-set port-set-name } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end | port-set port-set-name } | tcp-flag { ack | fin | psh | rst | syn | urg | established } * | logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] * ] | [ fragment | none-first-fragment ] | vni vni-id ] *
​
当IP承载的协议类型为UDP时,高级访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit }{ protocol-number | udp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end | port-set port-set-name } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end | port-set port-set-name } | logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] * ] | [ fragment | none-first-fragment ] | vni vni-id ] *
​
当IP承载的协议类型为GRE、IGMP、IPINIP、OSPF时,高级访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard | any } | logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] * ] | [ fragment | none-first-fragment ] | vni vni-id ] *
​

一枚不正经的程序猿
关注
专栏目录
访问控制列表ACL
oldyan
08-16 6540
ACL 简单介绍及使用实战
访问控制列表-ACL匹配规则
weixin_30412013的博客
10-22 7179
1、ACL匹配机制 首先,小编为大家介绍ACL匹配机制。上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。 ...
访问控制列表ACL
王大雏的博客
03-21 234
访问控制列表ACL一级目录二级目录三级目录 一级目录 二级目录 三级目录
访问控制列表ACL-要点总结
weixin_34279246的博客
12-28 634
资料来源:北大青鸟BENET2.0课程第二学期PPT。以下内容经本人总结后作学习交流之用,可随意转载,转载请注明出处!请勿用于商业用途,否则后果自负!!! 访问控制列表ACL -什么是访问控制列表访问控制列表ACL):应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。 ACL的工作原理:读取第...
访问 控制列表
weixin_44551911的博客
10-28 1347
访问控制列表ACL:Access Control List)是一种常用的网络技术,基本功能是对网络设备报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。ACL还有一些其它功能,这些功能常常被Route-policy、QoS(Quality of Service)、IPSec(IP Security)、Firewall等技术结合
访问控制列表(ACL)
m0_50818626的博客
03-31 443
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备可以根据这些定义的规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等功能。如图2-2所示,ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作(如加密等等)。如图4-1所示,每个ACL可以包含多个规则,RTA可以根据规则来对数据流量进行过滤操作。如图2-1所示,ACL可以通过定义规则来允许或拒绝流量的通过。
访问控制列表-ACL应用篇
01-03
### 访问控制列表 (ACL) 应用详解 #### ACL 概述及应用场景 访问控制列表(Access Control List,简称 ACL)是一种重要的网络安全技术,它通过对数据包进行过滤,来实现对网络流量的控制。ACL 本身并不具备执行...
IPv6--ACL6(IPv6访问控制列表--基本ACL6配置)
最新发布
m0_62017216的博客
01-19 1575
HCIE
访问控制列表-初识ACL
01-03
### 访问控制列表ACL)详解 #### ACL概述 访问控制列表(Access Control List,简称ACL)在网络安全领域扮演着至关重要的角色。它本质上是一种报文过滤工具,通过一系列预定义的规则来决定哪些数据包可以进入网络...
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
acl访问控制列表
钻石
08-06 1658
用户相关目录和文件 #如果要彻底删除用户必须对这些文件和目录修改 /etc/passwd /etc/shadow /home/zhang3 /var/spool/mail groupadd teachers #创建teachers组 groupadd class1 #创建class1组 useradd -g teachers teacher1 ...
访问控制列表——ACL
热门推荐
sunboy_guo的博客
05-17 3万+
1.ACL简介 当需要针对数据流量或者报文进行一些过滤的时候,需要一个抓取要过滤的工具。类似于过滤石灰粉和石子的过程,那么我们是需要一个滤网或者其他的过滤工具来进行筛选。经过筛选获取到的石子,是丢弃还是用作其他用途,并不是过滤工具来决定的,它是取决于调用工具的时候,来判断,是否需要这些石子,或者丢弃。 ACL访问控制列表)就提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。 2.ACL的组成 AC...
ACL 访问控制列表
莫黎小天
04-19 408
一、产生背景 企业网络中的设备进行通信时,需要保障数据传输的安全 ***安全可靠*** 和 ***性能稳定***。 ACL可以通过定义规则来允许或拒绝流量的通过。 二、ACL概念 以及如何实现 ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制列表,路由器通过逐项读取列表中的条目来判断当前数据包是 放行还是丢弃。是一个路由器数据处理数据包的行为规范手册。 1. 根据不同的规则 对数据包进行分类 对不同类型报文进行处理 实现对网络行为的控制,限制
ACL——访问控制列表
weixin_58376680的博客
12-16 1409
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的)编号3000-3999---高级ACL----依据数据包当中源、目的IP;NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)编号4000-4999---二层ACL,MAC、VLAN-id、802.1q。应用在路由协议-------匹配相应的路由条目( )
ACL访问控制列表
qq_47175413的博客
06-03 4988
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL_访问控制列表
Dark_wWw的博客
08-28 426
目录 ACL_访问控制列表 一、ACL 二、实战 标准访问控制列表 扩展访问控制列表 三、总结 ACL_访问控制列表 一、ACL ACL——访问控制列表 作用 读取第三层,第四层包头信息 根据预先定义好的规则对流量进行筛选,过滤 三层头部信息:源,目标IP 四层头部信息:源,目标端口号,TCP/UDP协议 访问控制列表的调用的方向 入:流量将要进入本地路由器,将被本地路由器处理 出:已经被本地路由器处理过了,流量将离开本地路由器 策略做好后,在入接口调用和出接口调用的区别 入接..
ACL访问控制列表
qq_17641711的博客
05-27 789
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是...
理解与配置扩展访问控制列表-ACL操作指南
"扩展访问控制列表操作符的含义-思科acl配置指导" 访问控制列表(Access Control List,简称ACL)是网络管理员用来控制网络流量和增强网络安全的重要工具。在思科网络设备中,ACL主要通过定义一系列规则来决定哪些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值