扩展访问列表详细指南和解读

最新推荐文章于 2023-03-16 21:01:33 发布
最新推荐文章于 2023-03-16 21:01:33 发布
阅读量1k 收藏 2
点赞数
分类专栏: 计算机网络 文章标签: 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014240783/article/details/115271539
版权

先决条件–ACL (Access-lists),标准访问列表

访问列表(ACL)是为控制网络流量和减少网络攻击而定义的一组规则。 ACL用于根据为网络的传入或传出定义的一组规则过滤流量

 

扩展访问列表–

它是最常用的访问列表类型之一, 因为它可以区分IP流量, 因此不会像标准访问列表中那样允许或拒绝整个流量。这些是使用源IP地址和目标IP地址以及端口号来区分IP流量的ACL。在这些类型的ACL中, 我们还可以提及应该允许或拒绝哪个IP流量。这些使用范围为100-199和2000-2699。

特征 -

  1. 扩展访问列表通常应用于源附近, 但并不总是如此。
  2. 在扩展访问列表中, 数据包过滤是基于源IP地址, 目标IP地址, 端口号进行的。
  3. 在扩展访问列表中, 将允许或拒绝特定服务。
  4. 扩展ACL从100 – 199和扩展范围2000 – 2699创建。
  5. 如果使用带有扩展访问列表的编号, 则记住规则不能删除。如果其中一项规则被删除, 则整个访问列表将被删除。
  6. 如果使用扩展的访问列表命名, 则我们可以灵活地从访问列表中删除规则。

配置–

这是一个小型拓扑, 其中有3个部门, 分别是销售, 财务和营销。具有网络172.16.10.40/24的销售部门, 具有网络172.16.50.0/24的财务部门和具有网络172.16.60.0/24的营销部门。现在, 我们要拒绝从销售部门到财务部门的FTP连接, 并拒绝从销售和市场部门到telnet的telnet。

现在, 首先配置编号的扩展访问–​​用于拒绝从销售到财务部门的FTP连接的列表。

R1# config terminal
R1(config)# access-list 110 
            deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21

在这里, 我们首先创建一个编号访问列表, 在其中使用110(用于扩展访问列表范围)并拒绝销售网络(172.16.40.0)建立与财务网络的FTP连接(172.16.50.0)。

注意 -在此, 由于FTP使用TCP和端口号21。因此, 我们必须根据需要指定允许或拒绝条件。同样, 在eq之后, 我们将端口号用于指定的应用程序层协议。

现在, 我们必须拒绝销售部门和市场部门之间的telnet连接, 这意味着没有人可以通过telnet与财务部门建立连接。配置相同。

R1(config)# access-list 110 
            deny tcp any 172.16.50.0 0.0.0.255 eq 23

在这里, 我们使用关键字any表示0.0.0.0 0.0.0.0, 即来自任何子网掩码的任何IP地址。由于telnet使用端口号23, 因此我们必须在eq之后指定端口号23。

R1(config)# access-list 110 permit ip any any

现在, 这是最重要的部分。我们已经知道, 每个访问列表的末尾都有一个隐式拒绝, 这意味着如果流量与访问列表的任何规则都不匹配, 则流量将被丢弃。

通过指定任何任何意味着具有任何ip地址流量的源将到达财务部门, 但符合我们已制定的上述规则的流量除外。现在, 我们必须在路由器的接口上应用访问列表:

R1(config)# int fa0/1
R1(config-if)# ip access-group 110 out

我们记得, 我们必须将扩展访问列表应用到尽可能靠近源的位置, 但是这里我们将其应用到靠近目的地的位置, 因为我们必须阻止来自销售和市场部门的访问量, 因此, 我们必须应用它靠近目的地, 否则我们必须为fa0 / 0和fa1 / 0入站创建单独的访问列表。

 

命名访问列表示例–

现在, 考虑相同的拓扑, 我们将创建一个命名的扩展访问列表。

R1(config)# ip access-list extended blockacl

通过使用此命令, 我们创建了一个名为blockacl的访问列表。

R1(config-ext-nacl)# deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21 
R1(config-ext-nacl)# deny tcp any 172.16.50.0 0.0.0.255 eq 23
R1(config-ext-nacl)# permit ip any any

然后, 我们在编号访问列表中进行了相同的配置。

R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out

更多计算机网络相关内容请参考:lsbin - IT开发技术https://www.lsbin.com/

参考更多网络技术相关内容:

扯线木偶人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
路由器IP访问控制列表的功能及其配置命令
愚 公
05-20 1万+
》路由器IP访问控制列表(Access Control List,ACL)        通过路由器提供的访问控制列表可以根据一些准则锅炉不安全的数据包,如攻击包、病毒包等,以保证网络的可靠性和安全性。ACL适合于所有网络层协议,如IP/IPX/AppleTalk等协议。ACL的定义也是基于每一种协议的,但实际网络应用中,特别是在Internet上,都使用TCP/IP协议,因此基于IP协议的AC
17 扩展IP访问控制列表配置
m0_47110032的博客
05-20 2688
扩展IP访问控制列表配置
锐捷路由策略(route-map)+前缀列表(prefix-list)基础实验
m0_49864110的博客
10-09 5148
ip prefix-list 1 seq 15 permit 0.0.0.0/0 ge 1 匹配全部路由。route-map 出去 permit 10 配置名字为 出去 的策略路由,编号为10。将ospf引入到isis中时使用名为ospf-isis的策略路由进行路由过滤。将isis引入到ospf中时使用名为isis-ospf的策略路由进行路由过滤。默认OSPF在进行充不发路由时,只可以重发布有类路由(A、B、C类)前缀列表只可以匹配路由条目,ACL可以匹配路由条目,也可以匹配数据包。
思科模拟器:acl网络访问控制 命名设置(extended)
鲍海超
03-16 2878
思科模拟器:acl网络访问控制 命名设置(extended)
访问控制列表 ACL
centos的博客
10-17 5909
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。其目的是为了对某种访问进行控制。 作用        ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一
锐捷交换机Telnet/SSH 远程管理配置
SHDTC0的博客
10-27 7079
自学的网络工程
工控安全相关法律法规解读.pptx
最新发布
01-23
本资源摘要信息介绍了工控安全相关法律法规解读,涵盖了《等保基本要求》通用要求解读、《等保基本要求》扩展要求解读、《工控指南》要求和《关基要求》解读等多个方面。 一、物理安全防护 物理安全防护是工控安全...
jpa详细解读
12-09
Spring Data JPA的官方文档提供了丰富的参考资料,包括指南文档和示例项目,对于深入理解和使用Spring Data JPA非常有帮助。通过学习和实践,开发者可以更高效地处理各种数据库操作,提高开发效率。
S7-1200_1500PLC如何实现模块(分布式IO+扩展模块)和通道诊断?_V15(附使用说明书).rar
01-17
西门子S7-1200和S7-1500 PLC是现代工业自动化领域广泛应用的可编程逻辑控制器,它们提供了强大的控制能力和灵活的扩展能力。在实际工程应用中,经常需要通过添加分布式I/O(DI/O)模块和扩展模块来满足不同系统的...
Hadoop权威指南第四版中文版
03-18
以下是对书中主要知识点的详细解读: 一、Hadoop简介 Hadoop是Apache基金会开源的一个分布式文件系统(Hadoop Distributed File System, HDFS),设计用于处理和存储大量数据。它的核心理念是通过廉价硬件构建大...
等保2.0标准解读及实践指导.docx
05-29
一旦定级完成,就需要按照相应的等级要求,构建和完善安全管理体系,包括安全策略、访问控制、数据完整性、可用性、审计日志等方面。同时,等保2.0还强调了灾难恢复和业务连续性,如实时异地备份,以确保在发生安全...
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny udp any any eq 445 deny udp any any eq 135 deny udp any any eq 137 deny udp any any eq 138 deny udp any any eq 139 permit ip any any 2.在所有接口上应用此策略 inter fe 0/0 ip access-group 445 out 华为设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 inter gi 0/0/0 traffic-filter inbound acl 3000 traffic-filter outbound acl 3000 H3C设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 (接口根据实际情况更改) inter gi 0/0/0 packet-filter inbound link-group 3000 packet-filter outbound link-group 3000 永恒之蓝蠕虫可以通过互联网和局域网广泛传播,因此安全防护要在电脑和服务器端都进行加固 1.打补丁 2.关闭445端口(附脚本.bat文件) 3.防火墙和其他网络设备禁用445 135-139端口,防止网内病毒传播
ACL(标准/扩展访问控制列表)
ITwang1的博客
08-28 3630
一 定义及作用 定义:它是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 作用:读取三层四层信息,根据预先定义好的规则对流量进行过滤,筛选。 三层信息包括(源目IP) 四层信息包括(tcp/udp协议 源目端口号) 二 ACL的处理原则 调用ACL的出入接口区别 出:已经被本地路由器处理过了,流量将离开本地路由器; .
思科模拟器创建访问控制列表access-list
向阳-Y.的博客
10-22 4167
1.access-list 基于数字的访问控制列表 格式:其中,列表号是自定义的(文章底部有补充) access-list [列表号] permit [允许的主机或网段] [反掩码] eq [协议] [例] 允许192.168.1.10主机访问www服务(10.1.1.1) access-list 101 permit 192.168.1.10 0.0.0.0 host 10.1.1.1 eq www [例] 允许192.168.1.0网段访问www服务(10.1.1.1) access-list 1
思科ACL详解
热门推荐
Jian Sun_的博客
07-01 1万+
思科ACL 基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上 一、标准ACL 命令:access-list {1-99}{permit/deny} s...
扩展访问控制列表配置
生活不易,喵喵叹气
12-11 1553
设置扩展访问控制列表的路由器应尽可能靠近数据包所送达的目的主机端,这样可以直接对数据包进行过滤
ThinkPHP---TP拓展之获取IP信息
weixin_30344131的博客
04-03 597
【概论】 (1)简述 在所有网站里,特别是用户管理系统,都喜欢记录用户访问的IP地址。对后期的业务开展有很大的意义,可以通过IP地址的记录访问出国内或全球范围内,哪一块用户比较多。 在后期做产品时,可以针对这块来重点推销。所以不要只将IP看为地址信息,认为没有什么用。 (2)获取IP方法 ①原生PHP里通过超全局变量:$_SERVER保存关于报头、路径、脚本位置等信息。例如 ...
思科 Cisco Packet Tracer 扩展IP访问控制列表配置
weixin_51736147的博客
12-02 4962
扩展IP访问控制列表配置 标准ACL访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。 扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到"允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量",那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。使用的访问控制列表号100到199、1来创建相应的ACL。 话不多说,后续会出理论。 直接开做 PC IP: 192.168.1.2.
计算机网络—扩展访问控制列表
weixin_43892219的博客
06-26 1171
课程设计目的: 你是一家企业的网络管理员,企业中有相同局域网的主机连接在不同的交换机中,你需要实现让连在同一个局域网或连在同一个交换机尚德主机能够互通,同时在3560-24PS交换机上连着企业提供的Web和FTP的服务器,企业规定VLAN10局域网只能对服务器进行FTP访问,不能进行Web访问,VLAN 20则没有此限制。 课程设计任务: 利用VTP技术实现全网互通,并且限制VLAN10局域网访问服务器web。 任务1:按图所示的网络拓扑图在PT环境中建立相应的拓扑图:对其中的各
linux-0.11赵炯解读1
08-04
linux-0.11赵炯解读1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值