ACL访问控制:
网络安全:
威胁防护 病毒防护 ,核心设备核心机房是不能对外直接提供访问的
访问控制:屏蔽,小说网站,视频网站;用来对数据包做访问控制,丢弃或者放行
设备:靠路由器来做访问控制
结合协议,用于控制的匹配范围,说白了就是精确匹配
ACL工作原理:数据包从接口经过,接口启用了ac时,路由器会对报文进行检查,然后
根据策略做出相应的处理
ACL的种类:
基本ACL:2000-2999只能匹配源ip地址
高级ACL:3000-3999既可以匹配源ip,也可以匹配目的ip,源端口和目的端口,以及三层和四层的协议
二层ACL:4000-4999根据数据包的mac地址匹配,一般不用
ACL在接口上的应用:
- 在入口上:数据包从入口进入路由器,有策略就会执行
- 在出口上:数据包经过路由器处理后,数据包才能出去
华为设备默认是放通的,不做限制,需要人工配置策略
白名单:在名单上的才能放行,不在的一律丢弃,默认是拒绝所有的,允许个别
黑名单:在名单上的一律丢弃,不在的可以放行
ACL的应用原则:
基本acl:尽量用在靠近目的地
高级acl:尽量用在靠近源的地方
通配符(1可变0不可变)
192.168.10
00000010
00000100
00000110
00001000
00001010
最后一位是0始终不可变
172.16.40.0/24 匹配子网当中16 20 24 28
0.0.0.
- 16 00010000
- 20 00010100
- 24 00011000
- 28 00011100
所以00001100
再例:192.168.30.0/24
0.0.0.255
192.168.30.10/24
0.0.0.0
子网掩码192.168.30.10/32
再来一题:192.168.10.0/24
10 00001010
20 00010100
30 00011110
40 00101000
0和0得0,有1的得1(1可变0不可变)
所以00111110=62
应用规则:
- 一个接口的同一方向,只能调用一个ACL
- 一个ACL里面可以有多少rule规则,按照规则ID从小到大排序,从上往下一次执行
- 数据包一旦被某个规则匹配,就不在继续向下匹配
总结:ACL你有ACL,但是没有配置策略,默认就是放行所有,如果没有匹配到任何策略
也是放行
先删除接口调用,再删除acl编号里面的规则,最后删除 acl编号。再删除acl编号里面的规则,最后删除 acl编号。再删除acl编号里面的规则,最后删除 acl编号。
调用命令:
traffic-filter outbound acl 2000
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0
rule 创建规则 固定格式
deny 拒绝
icmp 拒绝网络层ICMP协议
source:192.168.1.0
destination:目的地址 192.168.3.30
拒绝192.168.1.0整个网段不能和192.168.3.39这个ip禁用ICMP协议,ping不通。
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80
rule :创建规则的固定格式
permit:允许 TCP
source: 192.168.1.30
destination:192.168.3.30
destination-port eq :80 http服务的默认端口。
允许192.168.1.30这个地址,可以访问192.168.3.30这个服务器器对外提供的httpd服务的80端口。
先删除接口调用,再删除acl编号里面的规则,最后删除 acl编号。
实验注意细节:
以此图为例