随着网络的飞速发展,网络安全问题日益突出。访问控制列表 (ACL, Access Control List) 可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
一、基本概述
访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址、目的地址、源端口和目的端口等,根据预告定义好的规则对包进行过滤从而达到访问控制的目的。ACL分很多种,不同场合应用不同种类的ACL。
1、基本ACL
基本ACL最简单,是通过使用IP包中的源IP地址进行过滤,表号范围2000-2999。
2、高级ACL
高级ACL比基本ACL具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP连接建立等进行过滤,表号范围3000-3999。
3、基于时间ACL
ACL的生效时间段可以规定ACL规则在何时生效,比如某个特定时间段或者每周的某个固定时间段。
4、自反ACL
通过自反ACL可以实现网络节点的单向访问。
在访问控制列表的学习中,要特别注意以下两个术语。
① 通配符掩码:一个32比特位的数字字符串,它规定了当一个IP地址与其他的IP地址进行比较时,该IP地址中哪些位应该被忽略。通配符掩码中的”1”表示忽略IP地址中对应的位,而”0”则表示该位必须匹配。两种特殊的通配符掩码是”255.255.255.255”和”0.0.0.0”,前者等价于关键字”any”,而后者等价于关键字”host”。
② Inbound和Outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据,还是流出数据。
二、ACL的创建
ACL创建后需要在接口下调用
创建基本ACL:
- 建立规则:ACL 2000
- rule (默认为5) (deny:拒绝,permit,允许) source(源地址+反掩码)
- 调用ACL:接口模式下,traffic-filter(流量过滤) inbound进/outbound 出 + ACL2000
创建高级ACL
- rule deny +协议 icmp source/destination +地址 +反掩码+destination +地址+反掩码
- rule deny +udp source +地址+反掩码+destination +地址+反掩码eq 4000 禁止访问端口 = rule deny udp destination-port eq 8000
- 调用ACL:接口模式下,traffic-filter(流量过滤) inbound进/outbound 出 + ACL2000
三、ACL的匹配机制
四、ACL的匹配顺序及匹配结果
五、真题解析
1、如果ACL规则中最大的编号为12,缺省情况下,用户配置新规则时未指定编号,则系统为新规则分配的编号为?( )
A、13
B、15
C、14
D、16
答案:[[‘B’]]
解析:ACL的系统默认rule-id是按5,10,15来分配的。所以本题系统默认分配的不会是13而是15,选B。
↓更多计算机网络相关学习资料领取↓
↓ 关注+点赞后 ↓,文章底部联系我领取