ACL包过滤

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量151 收藏 1
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43082470/article/details/129036007
版权

ACL

访问控制列表

访问控制列表 ACL

定义

用于数据流的匹配何筛选手段

常见功能

访问控制

ACL+Packet-filte (包过滤)

路由控制

ACL+Router-policy

流量控制

ACL+QOS

基于ACL的包过滤

定义

对进出的数据包逐包进行检查,丢弃或允许通过。
包过滤必须配置在接口的某个方向上才能生效
一个接口的一个方向只能配置一个包过滤策略

配置好ACL还没用,必须调用在某个接口的某个方向上

包过滤方向
包过滤工作流程

在这里插入图片描述

  1. 数据包到达接口检查是否应用了AC,是则进入匹配,否则放行
  2. 按照ACL编号匹配第一条规则,匹配则进一步检查该条规则动作,否则与下一条规则进行匹配,允许则放行。不允许则拒绝
  3. 继续进行匹配,如匹配则检查规则动作,否则与下一跳进行匹配
  4. 所有规则都不匹配,检查默认动作,允许则放行,不允许则丢弃。
注意事项
  1. 如果默认动作是允许,至少需要一条拒绝规则
  2. 如果默认动作是拒绝,至少需要一条允许规则
  3. H3C的ACL用于包过滤默认允许,用于其他默认拒绝
  4. 把小范围的规则分配一个靠前的顺序
  5. 在不影响实际效果前提下,把包过滤尽量配置在离源地址最近的接口的入方向

访问控制列表 ACL

ACL分类

基本ACL

只对数据包的源地址进行匹配
编号2000-2999

高级ACL

对数据包的五元组进行匹配(源IP,目的IP,源端口,目的端口,协议)
编号3000-3999

接口调用

接口下 packet-filter 2000 outbound

创建基本acl

acl basic 2000
rule deny source 192.168.1.0 0.0.0.255
拒绝源地址为192.168.1.任意 网段的地址

创建高级acl

acl advanced 3000
rule deny(动作) tcp (协议)source(源IP) 192.168.1.1 0.0.0.0 destination(目的IP) 192.168.3.1 0
destination-port(目的端口) range 20 21

进入接口
packet-filter 3000 outbound

涂样涂森炮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
02-防火墙介绍
qianlai22的博客
03-04 5220
过滤防火墙 过滤是指在网络层对每一个数据进行检查,根据配置的安全策略转发或丢弃数据过滤防火墙的基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据过滤。主要基于数据中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议) 过滤防火墙的设计简单,非常易于实现,而且价格便宜。 过滤防火墙的缺点主要表现以下几点: 随着ACL复杂度和长度的增加,其过滤性能呈
网络安全技术——基于ACL过滤策略
网工紫电的博客
09-19 2516
点击上方“蓝字”关注我们吧ACL基础ACL(Access Control List)访问控制列表,用来识别数据的规则,通过ACL对数据报文进行过滤,符合规则的数据被筛选出来,进行下一步...
NewH3C——ACL
qq_44859533的博客
02-13 8231
一、ACL概念 1、acl定义: 访问控制列表;用于数据的匹配和筛选 2、功能: 访问控制:ACL+Packet-filter 路由控制:ACL+Route-policy 量控制:ACL+QOS 二、ACL过滤 1、定义: 对进出的数据检查,丢弃或允许通过(华三设备默认是允许) 注意:过滤必须配置在接口的某个方向上才能生效;一个接口的一个方向只能配置一个过滤策略 2、过滤的方向 入方向(inbount): 只对从外部进入的数据过滤 出方向(outbount):只对从内部发出的
实验13 ACL过滤
07-06 1301
实验任务一:配置基本ACL 建立物理连接 配置ip地址及路由 Acl应用规划 [RTA]acl basic 2000 [RTA-acl-ipv4-basic-2000]rule 0 deny source 192.168.2.0 0.0.0.255 [RTA-GigabitEthernet0/0]packet-filter 2000 inbound 实验任务二:配置高级ACL 配置...
H3C-QoS实例三:基于ACL实现报文过滤
eighteenxu的博客
11-14 5820
某公司内部网络如图所示,现要求对各部门上网量以及对工资服务器的访问做以下限制: 1.在上班时间(8:30~18:00)仅允许研发经理的主机上网,其余研发部主机只有在下班时间才能够上网。 2.无论任何时间,只有管理部的HostA(10.1.3.1)才能够访问工资服务器(11.1.1.100),其余任何主机均不能访问。 1.QoS策略方式 SwitchA: 定义时间 time
H3C_ACL过滤基础配置案例
04-18
**H3C ACL过滤基础配置案例详解** 在H3C网络设备中,访问控制列表(ACL)是一种重要的网络安全和量管理工具,用于定义网络量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL过滤基础配置案例,适用于H3...
实验八ACL过滤.rar
02-22
**实验八:ACL(访问控制列表)过滤** 在计算机网络中,访问控制列表(Access Control List,简称ACL)是一种重要的网络安全技术,用于控制网络量的进出,通过对数据进行筛选,实现对网络资源的访问控制。本...
实验二十七:基本的ACL过滤.pdf
11-12
实验二十七:基本的ACL过滤 在计算机网络中,ACL(Access Control List,访问控制列表)是一种安全机制,用于控制网络量的访问权限。本实验旨在介绍基本的ACL过滤,并演示如何使用ACL来控制网络量的访问...
实验八ACL过滤.pdf
11-09
实验八ACL过滤.pdf
H3C_ACL过滤/单臂路由/端口隔离的HCL基础配置文件压缩
10-08
H3C_ACL过滤/单臂路由/端口隔离的HCL基础配置文件压缩,里面含标题的三种基础配置文件,自己做的,需要的朋友请下载,用H3C模式器(HCL3.0.1)打开,各位如果需要HCL3.0.1模拟器的安装,可以留言或私信。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 248
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络编程套接字socket
安权_code的博客
07-23 956
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电通过插座向插头对标发送方与接收方建立了链接。
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 627
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 838
使用WebSocket协议调用群发方法将消息返回客户端页面
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 933
DNS概述。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1116
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
【计算机网络】OSPF单区域实验
m0_65787507的博客
07-26 760
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
通信原理-思科实验五:家庭终端以太网接入Internet实验
sinat_39522506的博客
07-24 346
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
Hyperledger Fabric 网络体验 - 网络启动过程概览
ALONG的博客
07-25 468
作为第一次Fabric网络体验,网络启动主要含三个操作,分别是生成配置文件、启动网络和操作网络。执行完指令能看到fabric已经启动。
NAT+ACL过滤
04-23
NAT+ACL过滤是一种常见的网络安全机制,用于保护网络免受未经授权的访问和攻击。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,它允许多个设备共享一个公共IP地址。ACL(Access ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涂样涂森炮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值