必须要掌握的ACL(Access Control Lists,访问控制列表)技术

最新推荐文章于 2023-03-26 15:56:30 发布
最新推荐文章于 2023-03-26 15:56:30 发布
阅读量1.4k 收藏 7
点赞数 3
分类专栏: 网络原理与应用 文章标签: acl 恰饭
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551608/article/details/114979171
版权

访问控制列表ACL

一、访问控制列表概述

1.1 访问控制列表

ACL两种作用:

  1. 用来对数据包做访问控制(丢弃或者放行)
  2. 结合其他协议,用来匹配范围

ACL

  • 读取第三层、第四层包头信息;
  • 根据预先定义好的规则对包进行过滤

访问控制列表的四个元素:(也可以是5元素,包含协议)

  • IP报头:
    • 源地址
    • 目标地址
  • TCP报头:
    • 源端口
    • 目标端口

1.2 访问控制列表的工作原理

  • 访问控制列表在接口应用的方向:
    • 出方向:已经过路由器的处理,正离开路由器接口的数据包
    • 入方向:已到达路由器接口的数据包,将被路由器处理
      访问控制列表
      列表应用到接口的方向与数据方向有关
  • 访问控制列表的处理过程
    在这里插入图片描述
    工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。

1.3 ACL的种类

  1. 基本ACL(2000-2999):只能匹配源IP地址。
  2. 高级ACL(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
  3. 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。

1.3 ACL的应用原则和规则

1.3.1 ACL的应用原则

  1. 基本ACL:尽量用在靠近目的点
  2. 高级ACL:尽量用来靠近源的地方(可以保护带宽和其他资源)

1.3.2 ACL的应用规则

  1. 一个接口的同一个方向,只能调用一个acl;
  2. 一个acl里而可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行;
  3. 数据包一旦被某rule匹配,就不再继续向下匹配;
  4. 用来做数据包访问控制时,默认隐含放过所有(华为设备)。

1.4 相关命令

//创建acl 2000
[Huawei]acl number 2000 
//拒绝源地址为192.168.1.1的流量,0代表仅此-一台,5是这条规则的序号( 可不加)
[Huawei-acl-basic- 2000]rule 5 deny source 192.168.1.1 0     
//接口出方向调用acl   
[Huawei -Gigabi tEthernet0/0/1]traffic- filter outbound acl 2000     
//###permit代表允许,source代表 来源,掩码部分为反掩码
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255      
//拒绝所有访问,any代表所有0.0.0.0 255.255.255.255
[Huawei-acl-basic-2001]rule deny source any     

//拒绝tcp为高级控制,所以3000起
[Huawei]acl nmuber 3000        
// 拒绝Ping,ping命令属于ICMP协议
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0    
//destination代表目的地地址,destination-port代表目的端口号,80可用www代替
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
// 拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21      
//在接口入方向应用acl
[Huawei-Gigabi tEthernet0/0/0] traffic- filter inbound acl 3000    
//在接口.上取消acl的应用
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound

[Huawei] display acl 3000     ###显示acl配置
[Huawei-acl-adv-3000]dis this     ###查看规则序号
[Huawei-acl-adv-3000]undo rule 5   ###删除一条acl语句
[Huawei]undo acl number 3000     ###删除整个ACL

1.5 相关实验

要求1:完成相关配置,仅允许PC1可以和PC3实现互通

在这里插入图片描述
R1 配置如下:

The device is running!
//进行管理模式
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
//修改名称为R1 
[Huawei]sys R1
//关闭信息提示
[R1]un in en
Info: Information center is disabled.
//进入R1的接口0/0/0
[R1]int g0/0/0
//添加IP地址为192.168.1.254 子网掩码位24
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
//进入R1的接口0/0/1
[R1-GigabitEthernet0/0/0]int g0/0/1
//添加IP地址为192.168.3.254 子网掩码位24
[R1-GigabitEthernet0/0/1]ip address 192.168.3.254 24
//进入R1的接口0/0/2
[R1-GigabitEthernet0/0/1]int g0/0/2
//添加IP地址为192.168.2.254 子网掩码位24
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
//退出接口模式
[R1-GigabitEthernet0/0/2]q
//创建acl2000
[R1]acl 2000
//设置仅允许IP为192.168.1.1的一台主机访问
[R1-acl-basic-2000]rule permit source 192.168.1.1 0
//拒绝所有其他网络访问,因为华为交换机默认是允许所有,所以要拒绝所有
[R1-acl-basic-2000]rule deny source any 
//退出acl模式
[R1-acl-basic-2000]q
//再次今天R1的0/0/0接口
[R1]int g0/0/2
//接口出方向调用acl 2000
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

各主机配置如下:
在这里插入图片描述
测试结果如下:实现了需求
在这里插入图片描述

要求2:禁止192.168.1.0/24网段的设备ping Web服务器

分析:
1)禁止ping命令属于ICMP协议,所以要使用高级ACL
2)前面做要求一的时候,将acl2000配置为只允许pc1通过,所以这里需要新增一条规则。
R1新增配置如下:

//因为需要禁止ICMP中的ping命令,所以选择高级acl
[R1]acl 3000
//配置拒绝192.168.1.0网段可以和目标网段使用ICMP协议(此处就代表ping命令)
[R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
//进入接口0/0/0
[R1-acl-adv-3000]int g0/0/0
//接口入方向调用acl 3000
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
//退出接口
[R1-GigabitEthernet0/0/0]q
//进入ACL 2000重新配置
[R1]acl 2000
//添加一条规则,允许192.168.3.0网段通过,此处优先级我选择的是7,其他也可以
[R1-acl-basic-2000]rule 7 permit source 192.168.3.0 0.0.0.255 
//查看规则是否配置成功,以及其他规则是否正确
[R1-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  
 rule 5 permit source 192.168.1.1 0 
 rule 7 permit source 192.168.3.0 0.0.0.255 
 rule 10 deny 
#
return

测试结果如下:
pc1和client属于192.168.1.0网段,所以都ping不通
pc2不在限制网段,所以可以ping通
在这里插入图片描述
ICMP协议禁止后,但是还是可以正常访问的,这里我们开启server的80端口,放入test文件测试后可以发现,client主机还是可以正常访问server服务器的。
在这里插入图片描述

要求3:仅允许client1访问server的www服务

分析:
1)直接配置允许client1访问服务器,然后拒绝其他所有即可
2)由于一个接口只允许一个acl所以这里要在另一个接口调用acl
R1新增配置如下:

//新增acl  3001
[R1]acl 3001
//允许192.168.1.3通过TCP协议访问服务器的wwww服务
[R1-acl-adv-3001]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 
destination-port eq 80
//拒绝其他所有
[R1-acl-adv-3001]rule deny tcp source any 
//进入接口0/0/1,因为0/0/0接口调用了acl3000
[R1-acl-adv-3001]int g0/0/1
//在接口出方向调用acl3001
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3001

测试结果如下:client1可以正常访问服务器,如果删除此项,便无法访问
在这里插入图片描述
关闭rule 5(也就是上面设置的允许访问协议)进行测试

[R1-acl-adv-3001]undo rule 5

测试结果如下:访问失败
在这里插入图片描述

码海小虾米_
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
文件访问控制列表Access Control Lists,ACL)设置问题
bit_panda的专栏
12-17 495
linux,acl的管理需要用到两个命令,getfacl,setfaclgetfacl命令较简单,# getfacl path 即可主要是setfacl命令有些问题,当你给一个文件设置用户或组的ACL权限时,可以用其UID/GID 即数字,也可以用name比如用户test的uid为101,下面两个命令都可以设置test的ACL /bin/bash# setfacl -m u:101:rw- file.path /bin/bash# setfacl -m u:test:rw- file.path读取其AC
实验九 配置访问控制列表.doc
08-29
ACL的全称为接入控制列表Access Control Lists),也称为访问列表Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACL通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而...
access control lists (ACLs)
congsikuai0611的博客
05-10 164
Grant rwx access to files and directories for multiple users or groupsmount -o acl /directory查看aclgetfack file|dir...
网络安全技术——ACL技术访问控制列表
热门推荐
weixin_62594100的博客
04-03 1万+
一、ACL概述 访问控制列表ACL)就是一种对经过路由器的数据流进行判断、分类和过滤的方法。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。 ACL有不同的类别,通过不同的编号来区别,华为设备中的ACL分类如下表: ACL类型 编号范围 规则制定依据 基本ACL 2000~2
Packet Tracer 5.2实验(十二) 标准IP访问控制列表配置
weixin_33961829的博客
07-20 944
一、实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 二、实验背景 公司的经理部、财务部和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问。 三、技术原理 ACLs的全称为接入控制列表Access Control Lists),也称为访问...
思科经典技术分享:访问控制列表ACL技术详解
weixin_34007886的博客
01-05 398
技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台...
Linux Access Control LIsts support-开源
05-04
Linux Access Control Lists (ACLs) 是一种比传统Unix权限模型更为精细的权限管理系统。传统的Unix系统使用用户、组和其他三个类别来分配读、写和执行权限,但这种模型在复杂多用户环境或需要细粒度权限控制时显得...
acl自反访问控制列表[定义].pdf
10-11
其中,自反访问控制列表(Reflexive Access Lists)是一种特殊的ACL,能够根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,从而实现更加灵活和安全的网络访问控制。 自反访问控制列表的工作原理是...
访问控制列表
06-08
访问控制列表Access Control Lists, ACL)是网络管理员用于实施访问控制的一种关键技术,它在网络安全性中扮演着至关重要的角色。访问控制的主要目标是确保网络资源只被授权的用户或系统访问,防止非法或恶意的...
RFC8519 YANG Data Model for Network Access Control Lists (ACLs)
03-28
RFC8519 YANG Data Model for Network Access Control Lists (ACLs)
Linux 档案权限的新功能 Access Control Lists
NETOCOOL的专栏
12-10 1440
来源:CnLinux.netACL(Access Control Lists) 传统的 Unix like 档案系统只能针对 user/group/other 来对档案设定权限(无法针对各别的使用者,群组来设定),而 ACL 可以针对各别的使用者/群组来设定权限. Step 0:检查你的核心是否有支持 ACL 的功能 并不是每一个版本的核心都有支持 ACL 的功能,最简单的方式就是检查目前核心是否
了解——ACL技术-----访问控制列表
weixin_74227828的博客
03-26 405
配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报文执行预先设定好的处理动作。ACL的功能访问控制:在设备的流入或者流出接口上,匹配流量,然后执行设定的动作。permit----允许 deny----拒绝抓取流量:因为ACL经常会与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他协议完成。ACL的匹配规则自上而下,逐条匹配,匹配上则按照预先设定的动作。 ◦ 华为设备ACL访问控制列表最后隐含条件:允许所有。
[笔记] Access Control Lists (ACL) 学习笔记汇总
weixin_30791095的博客
05-06 140
一直不太明白Windows的ACL是怎么回事,还是静下心来看一手的MSDN吧。 [翻译] Access Control Lists [翻译] How Access Check Works Modifying the ACLs of an Object in C++ Understanding Windows File And Registry Permissions Re...
ACL访问控制列表Access Control List
weixin_50339832的博客
06-13 895
ACL可以通过定义规则来允许或拒绝流量的通过
一篇实验记录掌握华为ACL
weixin_46575696的博客
04-07 143
...
ACLAccess Control List,访问控制列表
Supermansum的博客
03-10 1140
ACLAccess Control List,访问控制列表ACL概述 ACL的作用:ACL是一种包过滤技术ACL应用场景:路由器、防火墙上 路由器上称为ACL! 防火墙上称为策略! 策略就是升级版的ACL,策略可以基于IP、端口、协议、应用层数据进行各种过滤! ACL怎么过滤IP包 ACL是基于数据包中的IP地址、端口号来对数据包进行过滤! ACL的分类 3.1标准...
访问控制列表ACL
weixin_34315485的博客
12-24 92
访问控制列表ACL) 1、标准ACL和扩展ACL有什么区别,分别在什么情况下使用? 答:标准ACL根据数据包的源IP地址来允许或拒绝数据包,访问控制列表号是1~99。当管理员想要阻止来自某一特定网络的所有通信流量,或允许来自某一特定网络的所有通信流量时,可以使用标准ACL来实现。 扩展ACL通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。访问控制...
ensp acl访问控制列表
最新发布
08-30
ensp是华为设备上的一个命令行模式,用于配置和管理网络设备。而ACLAccess Control Lists)是一种用于控网络流量的机制,可以根据预定义的规则过滤和限制数据包的传输。 在ensp中配置ACL访问控制列表,可以通过以下步骤进行操作: 1. 进入ensp CLI命令行界面。 2. 使用acl命令创建一个ACL,并定义它的规则。例如,可以指定允许或拒绝哪些IP地址、端口、协议等等。 3. 将ACL应用到设备的特定接口上,以控制该接口上的数据流。可以使用interface命令选择要应用ACL的接口。 4. 配置ACL规则的匹配条件和动作,例如permit或deny。 5. 确认ACL配置无误后,保存并应用配置。 需要注意的是,具体的ACL配置命令可能有所不同,取决于使用的设备型号和操作系统版本。在实际操作中,请参考设备的官方文档或咨询网络设备厂商的技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码海小虾米_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值