ACL入门指南:如何使用它轻松保护网络安全

已于 2023-12-13 14:43:25 修改
阅读量5.5k 收藏 21
点赞数 1
分类专栏: 网络安全基础 文章标签: 服务器 网络 linux
于 2022-12-07 22:48:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/128207685
版权

数据来源

1、ACL的过滤条件:

ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、以及其他数据进行过滤,可以基于三层和四层做过滤。

2、配置位置:

ACL可以在路由器上配置,也可以在防火墙上配置(一般称为策略)。 

3、ACL主要分为两大类:标准ACL和扩展ACL。

1)标准ACL:
  • 表号范围为1-99。
  • 只能基于源IP地址对数据包进行过滤。
  • 可以使用命令进行配置,例如:access-list 表号 permit/deny 源IP或源网段 反子网掩码
  • 反子网掩码用于匹配条件,与0对应的需要严格匹配,与1(255)对应的忽略。

示例:

en        # 进入特权模式
conf t    # 进入全局配置模式

access-list 1 deny 10.0.0.0 0.0.255.255  # 拒绝匹配10.0.0.0/16范围的IP地址
access-list 1 deny 10.1.1.1 0.255.255.255  # 拒绝源IP为10开头的所有地址
access-list 1 deny host 10.1.1.1  # 拒绝源IP为10.1.1.1的主机(host 可以代替反子网掩码:0.0.0.0)
access-list 1 deny any  # 拒绝所有流量
access-list 1 permit any  # 允许所有流量通过

完整的案例:(拒绝源ip为10.1.1.1和20.1.1.0网段的所有包通过,其他放行)
conf t
access-list 1 deny host 10.1.1.1
access-list 1 deny 20.1.1.0 0.0.0.255
access-list 1 permit any
2)扩展ACL:
  • 表号范围为100-199。
  • 可以基于源IP、目标IP、端口号、协议等对数据包进行过滤。
  • 可以使用命令进行配置,例如:access-list 表号 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]
  • 常用协议有tcp、udp、icmp和ip(只有TCP/UDP协议才有端口号)。

示例:

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80  # 允许源IP为10.1.1.1访问目标IP为20.1.1.3的主机的TCP协议的80端口
acc 100 permit icmp host 10.1.1.1 host 20.1.1.3  # 允许源IP为10.1.1.1 ping目标IP为20.1.1.3的主机
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255  # 禁止源IP为10.1.1.1的主机访问20.1.1.0/24网段
acc 100 permit ip any any  # 允许所有流量通过

# 查看ACL表:
show ip access-list 表号  # 可以查看指定表号的ACL表,不写则查看所有表

# 将ACL表应用到接口:
int f0/x
ip access-group 表号 in/out  # 将ACL表应用于接口的入方向或出方向 (in表示进入接口的流量,out表示离开接口的流量)
no ip access-group 表号 in/out  # 从接口上移除ACL表,注意表仍然存在并可以应用于其他接口

# 例如,如果要将ACL表编号为100应用到接口的进方向,可以使用以下命令:
ip access-group 100 in

如何查看ACL表和将ACL表应用到接口的方法:

  • 查看ACL表:使用命令show ip access-list 表号,可以查看指定表号的ACL表。
  • 将ACL表应用到接口:使用命令int f0/x进入接口配置模式,然后使用命令ip access-group 表号 in/out将ACL表应用到接口的入方向或出方向。取消应用则使用命令no ip access-group 表号 in/out

4、ACL原理

  1. ACL表必须应用到接口的进或出方向才能生效。

  2. 一个接口的一个方向只能应用一张ACL表。

  3. 进还是出方向的应用取决于流量控制总方向。

  4. ACL表严格自上而下检查每一条规则,因此要注意规则的书写顺序。

  5. 每一条ACL规则由条件和动作组成,如果某个数据包不满足某个条件,则继续检查下一条规则,只有满足条件的数据包才会执行相应的动作。

  6. 标准ACL应尽量靠近目标位置进行配置。

  7. wencoll小原理:

    • 首先确定ACL配置的位置(哪个路由器?哪个接口的哪个方向?)
    • 其次考虑如何编写ACL规则
    • 如何编写ACL规则:
      • 首先确定是否允许所有流量或拒绝所有流量
      • 然后按照严格控制的顺序编写规则

  8. 一般情况下,标准ACL或扩展ACL一旦创建,无法修改或删除某一条规则,只能添加新的规则。如果想要修改或删除某一条规则,需要删除整张ACL表并重新编写。

    • 删除ACL表的命令:conf t --> no access-list 表号

  9. 命名ACL:

    • 作用:可以对标准ACL或扩展ACL进行自定义命名
    • 优点:自定义命名更易于辨认和记忆,可以任意修改、删除或插入规则
    • 命令示例: 
      en                             # 进入特权模式
conf t                         # 进入全局配置模式
ip access-list extended 表名   # 创建自定义的ACL表,表名为"表名"(例如:kz-80-oa)。如果表已存在,则进入该表。
permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]
                               # 设置一条扩展ACL过滤条目。协议指定要过滤的协议类型,源IP或源网段与反子网掩码指定源地址范围,目标IP或目标网段与反子网掩码指定目标地址范围,[eq 端口号](可选)指定端口号。
exit                           # 退回上一级配置模式
do show ip access-list 表IP     # 查看ACL表的信息,表IP是可选参数,如果不指定则显示所有ACL表的信息。
      IP或目标网段 反子网掩码 [eq 端口号] exit do show ip access-list 表IP(可选)

例子:

        如果要删除某一条目 

              ip access-list extended kz-80-oa   # 进入要删除的表kz-80-oa

              no  20   # 删除ID为20的条目

              exit    # 退到上一级

              do show  ip access-list   表IP   #   表IP 是可选的,不写就查看所有表

         向ACL表插入条目

            ip access-list extended kz-80-oa   # 进入要修改的表kz-80-oa

            15 permit tcp 192.16.0.0 0.0.255.255 host 10.1.1.1 eq 80  # 在ID为15的位置插入条目

 

5、实验

实验要求:(使用标准ACL实现) 

  1. 要求10网段禁止访问整个50网段,访问其他不受影响
  2. 要求40.1.1.1PC禁止访问50网段,其他访问不受影响
  3. 要求10.1.1.1禁止访问40网段,其他不受影响

步骤:
1)让设备能够互通(配置IP和路由) 

配置路由器端口IP命令

         en                                                       # 进入特权模式

        conf t                                                   # 进入全局配置模式

        int  Fa0/x​​                                             # 进入需要配置的端口

        ip add IP 子网掩码                              # 配置IP,如:  ip add 30.1.1.254 255.255.255.0

        no shut                                                # 开启端口

配置路由表 

        en                                                       # 进入特权模式

        conf t                                                  # 进入全局配置模式

        ip route IP 子网掩码   下一跳IP         # 配置路由,这里的下一跳IP就是下一个路由器接口的IP

        最后测试网络连通性,命令:ping 目标ip

 2)实现10网段禁止访问整个50网段,访问其他不受影响

配置ACL表思路,因为是使用标准的ACL只能根据源ip进行过滤,无法根据目标IP之类的过滤,又不能影响访问其他的,所以这里的ACL表最后要应用在里50网段最近路由器的出接口。

        创建ACL表1 

                en                                                       # 进入特权模式

                conf t                                                   # 进入全局配置模式

                acc 1 deny 10.0.0.0  0.255.255.255  # 过滤10网段的包,只检查ip的第一位数字

                acc 1 permit  any                             # 其他放行,注意这一句放行所有如果不加,其他网段的包也会被拦截

                show  ip access-list   1                   #  查看表1,非特权模式命令最前面要加 do

        将ACL表应用到接口: 

                int fa1/0

                ip access-group 1  out                    #  out 接口出方向

 测试

  路由器回馈的错误信息是哪个接口出去的就是哪个接口回包,所以这下图中显示的是20.1.1.1回馈的错误包:“目标主机不可达” 

 3)实现40.1.1.1PC禁止访问50网段,其他访问不受影响

        注意:一个接口的一个方向只能应用一张表, 所以按照现在的网络规划图最好的方法是往ACL表1的过滤10网段后面加过滤40.1.1.1的条件。

        但是一般情况下,标准或扩展acl一旦编写号,无法修改/删除某一条,只能不断的往后添加新的条目,如想修改或删除,只能删除整张表,重新写,所以先删除表1

                en                                                       # 进入特权模式

                conf t                                                  # 进入全局配置模式

                no access-list  1                                # 删除除指定的表

                acc 1 deny 10.0.0.0  0.255.255.255  # 过滤10网段的包,只检查ip的第一位数字

                acc 1 deny 40.1.1.1 0.0.0.0              # 过滤40.1.1.1的包,检查全部ip

                简写:access-list   1   deny    host   40.1.1.1

                acc 1 permit  any                              # 其他放行

                show  ip access-list                     #  查看表1,非特权模式命令最前面要加 do

        将ACL表应用到接口: 

                int fa1/0

                ip access-group 1  out    #  out 接口出方向

 测试

4)实现10.1.1.1禁止访问40网段,其他不受影响

        创建ACL表2

                en                                                 # 进入特权模式

                conf t                                          # 进入全局配置模式

                acc  2  deny 10.1.1.1  0.0.0.0     # 过滤10.1.1.1的包,检查全部IP

                acc  2  permit  any                      # 其他放行,注意这一句放行所有如果不加,其他网段的包也会被拦截

                show  ip access-list   2            #  查看表1,非特权模式命令最前面要加 do

        将ACL表应用到接口: 

                int fa0/0

                ip access-group 2  in    #  in 接口入方向,直接在第3个路由器的fa0/0接口的入方向实现拦截因为后面都是40网段的,没必要让10.1.1.1的数据数据包进入路由器

 测试

狗蛋的博客之旅
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ACL———访问控制列表
小柏ぁ的博客
08-27 3032
目录 一、ACL简介 二、ACL的作用 三、访问控制列表的调用方向 四、访问控制列表的处理原则 五、访问控制列表类型 1、标准访问控制列表 2、扩展访问控制列表 验证两种类型 总结 一、ACL简介 ACL——访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网...
什么是ACL?
最新发布
weixin_67092935的博客
04-11 795
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能,从而提高网络环境的安全性和网络传输的可靠性。ACL工作主要是根据规则进行,ACL规则里包括他的规则编号(顺序),动作(允许或者拒绝)规则匹配的地址段(源/源-目的)生效时间段。(1) 配置IP标准ACL并添加访问规则。
acl简介
安静的一个人
07-18 1万+
1 目录 2 基础 2.1 技术背景 ACL这玩意,在工作中,经常会遇到,特别是在数据中心这块,所以还是花点功夫去悟点真理出来。 年轻人,还是要讲武德。 说回悟德,ACL到底是什么玩意,来点背景先 在古代是一夫多妻制,把服务器当成老夫,不在防火墙做限制的话;那么PC1和PC2都是可以访问服务器。真好 回到现代,朝廷要限定一夫一妻制,为了达到这个目的,就得设立一系列法律规则。 要么PC1访问到服务器,要么PC2访问到服务器。 而这一系列法律规则就类似ACL。 你违反了条例,.
了解ACL
2301_76875445的博客
03-25 3127
简要了解ACL
ACL详解
weixin_60917414的博客
03-22 2708
ACL详解,很详细
ACL最全详解:原理及作用、分类及特点、配置及需求
热门推荐
最铁头的网工博客
04-29 3万+
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。 为什么需要ACL? 根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能
实验:使用基本ACL限制公司网络访问.docx
11-09
4. 配置基本ACL:这是实验的核心部分。在交换机上创建ACL规则,允许来自192.168.30.0网段的数据包通过G0/0/2端口,同时拒绝来自192.168.40.0网段的数据包通过G0/0/1端口。这样可以限制特定部门的网络访问权限。 5. ...
网络安全技术- ACL (路由器的访问控制列表)-04 使用ACL保护路由器安全.mp3
07-04
网络安全技术- ACL (路由器的访问控制列表)-04 使用ACL保护路由器安全.mp3
使用基本ACL限制公司网络访问.rar
02-17
3、应用场景:使用基本ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点...
使用扩展ACL限制公司网络访问.rar
02-17
3、应用场景:使用扩展ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点...
网络安全技术- ACL (路由器的访问控制列表)-02 使用标准ACL配置网络安全.mp3
07-04
网络安全技术- ACL (路由器的访问控制列表)-02 使用标准ACL配置网络安全.mp3
ACL—访问控制列表
qq_47175413的博客
06-03 4501
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL(访问控制列表)
qq_58881947的博客
05-10 1194
目录1、ACL概述2、实验一:基本ACL(2000~2999)用法3、实验二:高级ACL(3000~3999)用法(单项访问)4、实验四:ACL时间设定ACL技术作用:通过定义一些列规则来允许或拒绝流量通,提高网络性能、防止网络攻击。保障数据传输的安全可靠性和网络稳定,可定义一些列的规则对数据包进行分类并针对不同类型的报文进行不同的处理以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击可以限制网络访问。ACL技术用法: 设置在路由器或交换机接口上,两个接口协议设置不一样时效果不一样。
ACL原理与配置
Mo_nor的博客
06-07 2486
3000~3999为高级acl,可以匹配源IP地址、目标IP、源端口号、目标端口、三层(icmp)和四层(tcp、udp)的协议字段。高级acl,尽量用在靠近源地址的地方,保护带宽(涉及协议的必须用高级acl,例:ping,http等)允许tcp协议的指定源地址访问192.168.3.30,然后将acl 3000配置给端口g0/0/1。2、结合其他协议(例:传输层的tcp、udp),ACL可以控制协议的流量能否通过。先允许指定的源地址通行,再拒绝所有源地址通行并配置给端口g0/0/0。
ACL的基本介绍
qq_32044265的博客
05-29 8097
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文 ACL配置完成后,必须应用在业务模块中才能生效,设备根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 ACL的组成 一条ACL的结构组成,如图1所示。 图1 ACL的结构组成 ACL名称:通过名称来标识ACL,更加方便记忆,这种ACL,称为命名型ACL。 命名型AC
网络ACL原理与配置
m0_70893463的博客
06-06 5171
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
什么时候使用ACL什么时候使用安全策略
04-12
ACL和安全策略都是网络安全中常用的技术手段。ACL主要用于控制网络流量,可以限制某些IP地址或端口的访问。而安全策略则更加综合,包括访问控制、身份认证、数据加密、日志审计等。 具体来说,使用ACL可以在网络设备上实现流量控制,比如通过路由器、交换机上的ACL规则来控制对某些应用的访问。而使用安全策略则可以更全面地保护网络安全,保证信息的机密性、完整性和可用性。 综合来看,ACL和安全策略都有各自的适用场景,具体使用需根据实际情况进行判断。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值