访问控制列表——主机与服务器的高级访问控制

最新推荐文章于 2023-07-31 13:41:53 发布
最新推荐文章于 2023-07-31 13:41:53 发布
阅读量1.4k 收藏 5
点赞数 2
分类专栏: eNSP 文章标签: 计算机网络 华为 ftp 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43904561/article/details/110733213
版权

高级访问控制列表

  • 实验目的

  1. 理解高级访问控制列表的应用场景。
  2. 掌握配置高级访问控制列表的方法。
  3. 理解高级访问控制列表与基本访问控制列表的区别。

  • 实验原理

  1. ACL的定义和作用

    路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。

  2. 访问控制列表的分类
    1. 基本的访问控制列表 (basic acl)
    2. 高级的访问控制列表(advanced acl)
    3. 基于接口的访问控制列表(interface-based acl)
    4. 基于MAC的访问控制列表(mac-basedacl)
  3. 高级访问控制列表可以匹配源、目的IP、源端口、目的端口等三层和四层的字段

  • 实验内容

  1. 实现FTP访问控制实验,使得:
    1. 禁止某个pc访问FTP;
    2. 禁止某个子网访问FTP;

  • 网络拓扑图

    实验拓扑及各个端口IP地址如下:

  • 实验步骤

  1. 根据上节课的ppt中分别选择网络拓扑,配置路由信息并使得所有主机与路由器,主机与主机之间均联通。

  • 配置各个主机、路由器、客户端及FTP服务器路由信息:

  

  • 根据R5简要查看网络RIP2路由信息收敛情况:

  • 查看路由器之间是否可以联通(R1 ping R5):

  • 查看主机与路由器是否可以联通(PC1 ping R5):

  • 查看主机间是否可以联通(PC2 ping PC4):

  • 在添加访问控制列表之前,PC1是可以ping通FTP 服务器的,不存在丢包:
  • PC2同样也可以ping 通FTP服务器,不存在丢包: 

  • 测试客户端与服务器之间的连接。如下图,在客户端基本配置一栏的Ping Test处输入服务器的IP地址24.1.1.11 发送五次ICMP数据包均成功,同样的,在FTP 服务器(未启动前)上同样也可以输入目的IP并发送ICMP数据包测试,联通成功。

  • 配置FTP 服务器。首先新建一个文件夹,在文件夹里面再建一个名字为Config的文件夹,在Config里面在放一个test.txt的测试文件。在服务器信息一栏设置FTP server找到刚刚新建建的文件夹Config,将其视为FTP服务器配置文件。之后启动FTP服务(右键单击FTP点击设置进入)。 设置完成后,启动FTP Server。

  • 配置FTP客户端。在客户端Client1的客户端信息一栏选择ftpClient,输入服务器IP地址及其端口号,然后登陆服务器。登陆成功后即可见之前配置的服务器文件test.txt在列,选择客户端本地文件夹,即可成功下载FTP 服务器文件至本地。如图test.txt已被下载到本地;同样的,若在本地文件夹新建一个文件(名为localFile.txt),也可成功上传至ftp服务器。

至此,ftp服务器及ftp客户端均已配置成功,并实现ICMP及TCP数据包成功互传。接下来配置高级访问控制列表,实现访问控制。

     2.配置高级访问控制列表,禁止某个pc访问FTP

      禁止ftp客户端及其服务器之间的ICMP数据包传输。当然可以将PC1作为任务目标,禁止其通过ICMP协议访问FTP服务器。

  • 在R1处创建访问控制列表:“acl 3002” “rule deny icmp source 14.1.1.12 0 destination 24.1.1.11 0”(由于之前已创建好,故此处只展示acl 3002的相关信息)。Icmp指禁止客户端ping通服务器。0均代表特定主机。之后将其部署在R1的g0/0/0口上。outbound代表经过路由器处理了的,将正要发往目的IP设备的数据包。

  • 测试该主机是否被禁止访问ftp服务器。可见客户端与服务器两端均无法ping通,然而未部署访问控制语句的PC1和PC2却可以ping通服务器的。

  

     禁止ftp客户端及其服务器之间的TCP数据包传输。

  • 部署TCP访问控制语句。在R1处创建访问控制列表:“acl 3000” “rule deny TCP source 14.1.1.12 0 destination 24.1.1.11 0”(由于之前已创建好,故此处只展示acl 3000的相关信息)。TCP指禁止客户端与服务器建立连接和进行文件传输。0均代表特定主机。之后将其部署在R1的g0/0/1口上。Inbound指已到达路由器接口,将被路由器处理的数据包。

  • 检查客户端是否可以与ftp服务器建立TCP连接。在客户端的客户端信息一栏的界面点击退出登录之后再次点击登陆,无法登陆成功,并显示如下内容。可见访问控制语句生效,ftp客户端与ftp服务器无法建立连接,自然就无法访问FTP和与之传输文件。

  1. 禁止某个子网访问FTP。
  • 在R1处创建访问控制列表:“acl 3003” “rule deny icmp source 14.1.1.10 0.0.0.255  destination 24.1.1.11 0”。0.0.0.255均代表源主机所在网络的所有设备。之后将其部署在R1的g0/0/0口上。outbound代表经过路由器处理了的,将正要发往目的IP设备的数据包。 

  • 检查源主机所在网络的所有设备是否被禁止访问ftp服务器。继续点击Client1中的send按钮,显示无法与ftp服务器ping通,同样的,点击ftp服务器的send按钮也显示5个icmp数据包均无法到达客户端。PC1及PC2也无法ping通目的网络中的ftp服务器(这里只列出PC1与服务器联通情况,PC2不再缀图)。由此可见该访问控制列表生效。

  • 当然,若有新的客户端加入源主机网络,通过在R1的g0/0/0 端口配置访问控制语句:“rule deny tcp source 14.1.1.10 0.0.0.255 destination 24.1.1.11 0”同样也可以禁止该主机网络内的所有客户端无法与目的ftp服务器建立TCP连接,从而无法上传和加载文件。

    至此,实验完成。

 

 

孟益修
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
五、访问控制列表ACL之高级访问控制列表(动态ACL、自反ACL、基于时间的ACL、基于上下文的ACL)
锦慈的技术博客
07-05 178
动态ACL是能够自动创建动态访问表项的访问列表。传统的标准访问列表和扩展的访问列表不能创建动态访问表项。一旦在传统访问列表中加入了一个表项,除非手工删除,该表项将一直产生作用。而在动态访问表中,可以根据用户认证过程来创建特定的、临时的访问表项,一旦某个表项超时,就会自动从路由器中删除。
FTP服务器的配置与管理.doc
06-07
FTP服务器的配置与管理 计算机科学与技术系 实 验 报 告 专业名称 计算机科学与技术 课程名称 计算机网络及应用 项目名称 FTP服务器的配置与管理 班 级 学 号 姓 名 同组人员 无 实验日期 2014年11月18日 一、实验...
新手必看的ACL基本访问控制列表高级访问控制列表
02-18 4898
【温馨提示】需要资料或者需要进群交流划到最底部 ACL原理 ACL是什么 为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过访问控制列表(Access Control List)体现的。 访问控制列表根据IP报文的协议号、源地址、目标地址、源端口和目的端口的信息起到过滤数据报文的作用。 用户需要根据自己的安全策略来确定访问控制列表,并将其应用到整机或指定接口上,安全网关就会根据访问控制列表来检查所有接口或指定接口上的所有数据包,对于符合规则的报文作正.
高级ACL(访问控制列表)的配置
最新发布
❤️遇见我 的博客
07-31 1090
高级ACL(访问控制列表)的配置 ,ensp华为web,ftp服务器配置
高级访问控制列表
weixin_44551911的博客
09-27 1485
基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其它参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的
访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet
weixin_64107161的博客
01-27 9011
在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一、ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包。 ACL分为基本ACL和 高级ACL, 基本ACL,只能匹配数据包的源IP地址,匹配数据不精准; 高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。 二、基本ACL和高级ACL在应用过程中的最佳调用位置: 基本ACL,匹配数据不精准,所以调用在距离目标设备近的端口上; 高级ACL,匹配数据精准,所以调
高级ACL应用
weixin_50339832的博客
06-14 642
高级ACL
配置高级访问控制列表ACL
weixin_43957217的博客
04-10 2878
原理概述 基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所有基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级访问控制列表高级访问控制列表在匹配项上做了扩展,编号范围为3000~3999,既可以使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的...
10.2 配置高级访问控制列表
qq_45382474的博客
11-10 2959
原理概述 基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,就需要使用高级访问控制列表高级访问控制列表在匹配项上做了扩展,编号范围为3000~2999,即可使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来兴义规则。 高级访问控制列...
访问控制列表(ACL)
oldyan
08-16 6313
ACL 简单介绍及使用实战
访问控制列表高级ACL配置
qq_68152334的博客
01-05 177
访问控制列表高级ACL实验
主机防火墙与访问控制
三禾工作室
08-14 7408
防火墙有两种,一种是网络防火墙,主要部署在网络的出口处,另外就是主机防火墙,是运行在主机上的,主机防火墙可以阻止未授权用户通过网络访问计算机来保护您的计算机,Windows和Linux都有自带的防火墙。通过防火墙可以阻止大量的攻击。 |提示|:为降低来自网络的攻击风险,按照最小化原则,应关闭不需要的系统服务、默认共享和高危端口。 中标麒麟操作系统中,【控制面板】→【服务】,弹出【服务配置窗口】,可以看到大量的Linux服务,和windows service类似,很多系统服务都是本地使用的,如网络、日志、
ACL
nan12312的博客
07-27 1293
什么是访问控制列表  访问控制列表(ACL) 应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝   ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤 访问控制列表的作用 提供网络访问的基本安全手段 可用于QoS,控制数据流量 控制通信量 使用ACL阻止某指定网络访问另一指定网络 访问控制列表入与出...
华为 ACL访问控制列表高级ACL为例)
热门推荐
艺博东的博客
09-12 1万+
文章目录一、认识ACL二、拓扑三、基础配置四、需求 一、认识ACL 1、什么是ACL: Access Control List访问控制列表–ACL ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用课达到不同的应用效果。 路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现对应的效果。 2、ACL的作用: 匹配特定数据,实现对数据的控制(deny–拒绝,permit–放行) 实现网络访问控制,Qos留策略,路由信息
访问控制列表
weixin_44132032的博客
06-03 1万+
ACL应用场景 ACL可以通过定义规则来允许或拒绝流量的通过。 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。 设备可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。 ACL分类 分类 编号 参数 基本ACL...
访问控制列表的定义与功能
05-28
访问控制列表(Access Control List,ACL)是一种用于路由器、交换机等网络设备上的安全机制,它的功能是控制网络流量的流向和过滤,以保护网络的安全性。 ACL可以基于源IP地址、目的IP地址、协议类型、端口号等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值