ACL的rule中的deny/permit在各个业务模块里的场景是怎样的

最新推荐文章于 2022-11-15 11:38:42 发布
置顶 最新推荐文章于 2022-11-15 11:38:42 发布
阅读量4.9k 收藏 7
点赞数 1
文章标签: 网络 服务器 运维 华为 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszfs/article/details/127261202
版权

ACL的rule中的deny/permit在各个业务模块里的场景是怎样的

ACL的rule中的deny/permit在各个业务模块里的场景不同,具体如下:

  • 流策略

    1. 当ACL的rule配置为permit时,系统匹配该规则才执行流行为中的动作,流行为中的动作为deny则禁止匹配规则的流量通过,动作为permit则允许匹配规则的流量通过。

    2. 当ACL的rule配置为deny时,只要匹配该规则就执行丢弃报文动作,并且流行为中的具体动作不生效(流量统计和流镜像除外)。

    3. 当ACL里未配置rule时,则应用该ACL的流策略功能不生效。

  • 简化流策略

    1. 当ACL的rule配置为permit时,设备执行简化流策略功能中的动作,如允许匹配该规则的报文通过、对匹配ACL规则的报文进行限速等。

    2. 当ACL的rule配置为deny时,如果将ACL应用在简化流策略的报文过滤功能中,设备会拒绝匹配该规则的报文通过。

    3. 当ACL里未配置rule时,则应用该ACL的简化流策略功能不生效。

  • IPSec

    1. 仅当ACL的rule配置为permit时,设备会对匹配该规则的报文进行IPSec保护后再发送该报文。

    2. 当ACL的rule配置为deny时,设备不允许匹配ACL规则的报文通过。

    3. 当ACL未配置rule时,应用该ACL的IPSec功能不生效,即设备直接发送通过接口的报文。

  • 防火墙

    1. 当ACL的rule配置为permit时:
      • 如果该ACL应用在inbound方向,则允许从优先级低到优先级高的安全区域并且匹配该规则的报文通过。
      • 如果该ACL应用在outbound方向,则允许从优先级高到优先级低的安全区域并且匹配该规则的报文通过。

    2. 当ACL的rule配置为deny时:

      • 如果该ACL应用在inbound方向,则拒绝从优先级低到优先级高的安全区域且匹配该规则的报文通过。
      • 如果该ACL应用在outbound方向,则拒绝从优先级高到优先级低的安全区域且匹配该规则的报文通过。

    3. 当ACL里未配置rule时:

      • 如果该ACL应用在inbound方向,则该ACL不生效,设备会拒绝从优先级低到优先级高的安全区域的所有报文通过。
      • 如果该ACL应用在outbound方向,则该ACL不生效,设备会允许从优先级高到优先级低的安全区域的所有报文通过。

  • NAT

    1. 仅当ACL的rule配置为permit时,设备允许匹配该规则中指定的源IP地址使用地址池进行地址转换。

    2. 当ACL的rule配置为deny或ACL未配置rule时,应用该ACL的NAT功能不生效,即不允许使用地址池进行地址转换,设备根据目的地址查找路由表转发报文。

  • Telnet

    1. 当ACL的rule配置为permit时:
      • 如果该ACL应用在inbound方向,则允许匹配该rule规则的其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则允许本设备访问匹配该rule规则的其他设备。

    2. 当ACL的rule配置为deny时:

      • 如果该ACL应用在inbound方向,则拒绝匹配该rule规则的其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则拒绝本设备访问匹配该rule规则的其他设备。

    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时:

      • 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。

    4. 当ACL未配置rule时:

      • 如果该ACL应用在inbound方向,则允许任何其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则允许本设备访问任何其他设备。

  • HTTP

    1. 当ACL的rule配置为permit时,则允许指定源IP地址的其他设备与本设备建立HTTP连接。
    2. 当ACL的rule配置为deny时,则拒绝其他设备与本设备建立HTTP连接。
    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝其他设备与本设备建立HTTP连接。
    4. 当ACL未配置rule时,则允许任何其他设备与本设备建立HTTP连接。

  • FTP

    1. 当ACL的rule配置为permit时,则允许指定源IP地址的其他设备与本设备建立FTP连接。

    2. 当ACL的rule配置为deny时,则拒绝任何其他设备与本设备建立FTP连接。

    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝其他设备与本设备建立FTP连接。

    4. 当ACL未配置rule时,则允许任何其他设备与本设备建立FTP连接。

  • TFTP

    1. 当ACL的rule配置为permit时,则允许本设备与指定源IP地址的设备建立TFTP连接。

    2. 当ACL的rule配置为deny时,则拒绝本设备与任何其他设备建立TFTP连接。

    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝其他设备与本设备建立TFTP连接。

    4. 当ACL未配置rule时,则允许本设备与任何其他设备建立TFTP连接。

  • SNMP

    1. 当ACL的rule配置为permit时,则允许指定源IP地址的网管访问本设备。

    2. 当ACL的rule配置为deny时,则拒绝其他网管访问本设备。

    3. 当ACL未配置rule时,则允许任何其他网管访问本设备。

  • NTP

    1. 当ACL的rule配置为permit时,则使用ntp-service access命令配置的访问控制权限才能生效。

    2. 当ACL的rule配置为deny,则使用ntp-service access命令配置的访问控制权限不生效。

    3. 当ACL未配置rule时,则使用ntp-service access命令配置的访问控制权限不生效。

周三叁
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ACL和Route-Mappermit,deny对路由过滤的动作
weixin_33978016的博客
04-09 2708
此实验讨论route-mapacl permit和any动作对路由过滤影响。拓扑如图:验证一.R2access-list 10 permit 192.168.4.0 0.0.0.255access-list 10 permit 192.168.6.0 0.0.0.255!route-map kk permit 10 match ip address 10!router ei...
Android Permission denied 错误 ( 附Android权限大全 )
chen825919148的专栏
05-02 2428
java.net.SocketException: Permission denied (maybe missing INTERNET permission) 这是一个经典错误, Socket不能对外连接,错误不会被报出,调试的时候,能看到Exception, 这个Exception会有很多变体。 Android默认不允许访问网络,所以,在AndroidManifest.xml,需要
ACL规则匹配顺序
Jian Sun_的博客
07-26 5017
从上面的ACL匹配报文流程图,可以看到,只要报文未命规则且仍剩余规则,系统会一直从剩余规则选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置: rule deny ip destination 1.1.0.0 0.0.255.255//表示拒绝目的IP地址为1.1.0.0网段的报文通过 rule permit ip destination 1.1.1.0 0.0.0.255//表示允...
上网行为管理技术ACL详解.doc
08-24
ACL的规则可以分为数字型ACL和命名型ACL,数字型ACL按照创建ACL时的编号来标识,命名型ACL按照创建ACL时的名称来标识。 ACL的规则匹配报文到达设备时,查找引擎从报文取出信息组成查找键值,键值与ACL的规则...
eNSP实验8-1 基本ACL配置 - 新2
01-28
在本实验,我们定义了两个ACL规则:rule 5 permit ip source 10.1.7.2 0 destination 20.1.1.2 0和rule 10 deny ip source 10.1.6.2 0 destination 20.1.1.2 0。这些规则将被应用于接口g0/0/0,以控制PC1和PC2的...
华为路由的ACL的配置[文].pdf
10-13
在IT网络技术,访问控制列表(Access Control List, ACL)是一种重要的网络安全工具,用于对网络流量进行过滤和管理。华为路由器的ACL配置是网络管理员必须掌握的关键技能之一。以下是对华为路由的ACL配置的详细...
访问控制列表实训,基本ACL、扩展ACL
08-17
在本文,我们将深入探讨访问控制列表(Access Control List, ACL)的概念,以及如何在华为Ensp平台上实现基本ACL和扩展ACL的配置。访问控制列表是网络管理员用于管理网络流量和安全策略的重要工具,它们允许或拒绝...
扩展ACL故障处理与优化扩展ACL介绍.pptx
11-26
[RTA-acl-adv-3000] rule permit ip [RTA-GigabitEthernet0/0/0] traffic-filter outbound acl 3000 ``` 配置完成后,可以通过`display acl 3000`命令来查看ACL的详细信息,以及`display traffic-filter applied-...
CCNA-ACL(访问控制列表)技术
Slash的博客
02-23 1926
一、基本概念 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障 网络安全。 ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收 还是拒...
访问控制列表(ACL
weixin_58669530的博客
03-14 2423
文章目录一、ACL二、实验配置1.配置需求:2.配置步骤:3.配置命令 一、ACL 1、ACL的作用: 1)匹配数据包,实现数据包的控制(过滤或放行) 2、组成: 1)规则:即匹配数据包的各种条件; 2)动作:permit 和 deny ; 3、基本ACL 1)表示方式:ID,取值控制为:2000~2999 2)仅仅能匹配数据包的源IP地址,匹配数据包不精确 3)建议:在调用时,尽量调用在距离目标设备近的地方; 4、高级ACL 1)表示方式:ID,取值控制为:3000~3999 2)可以同时匹配数据包的源
TCP/IP安全 之 ACL访问控制列表
qianfeng_dashuju的博客
09-17 944
一、ACL概述 1.1 Access Control List (访问控制列表) 重要级别:高! 1.2 ACL的作用 ACL是一种包过滤技术! 1.3 ACL应用场景 路由器上、防火墙上 路由器上就叫ACL! 防火墙上一般称为策略!策略就是升级版的ACL,策略可以基于IP、端口、协议、应用层数据进行各种过滤 二、ACL怎么过滤? ACL是基于数据包的IP地址、端口号来对数据包进行过滤! 三、ACL的分类 3.1 标准ACL 标准---Standard 表号:1-99
ACL技术配置
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
安全访问控制列表ACL实战讲解
Bert_Wang的博客
08-26 1761
一、企业网络安全 企业网络网络设备进行通信,需要保证数据可靠性和安全性。 现网通过使用硬件防火墙或WAF、流量清洗设备保证企业安全,同时路由交换层面可以使用 ACL确保网络的安全。 二、ACL功能 1、网络控制 2、限制流量 3、提高网络性能 4、防止网络攻击 三、ACL实战一 1、拓扑以OSPF为协议背景 2、基本OSPF关键配置 R1 OSPF关键配置: [R1]display current-configuration configuration ospf .
ACL原理及配置
热门推荐
一个普普通通的博客
01-24 2万+
ACL原理及配置 ACL概述 ACL组成 规则编号(Rule ID) 通配符(Wildcard) ACL的分类与标识 基本ACL&高级ACL ACL的匹配机制 ACL的匹配顺序及匹配结果 ACL的匹配位置 ACL的基础配置命令
pam_permit.so…pam_deny.so…pam_time.so…pam_echo.so…pam_limits.so
weixin_33810006的博客
12-04 638
OS version:Red Hat Enterprise Linux Server release 6.4Kernel version:2.6.32-358.el6.x86_64-------------------------------------------------------------------------准备工作:[root@Zhai ~]# groupa...
ACL的原理及配置
zcien的博客
11-15 1952
ALC的原理及配置,附实验
ACL的原理和基本配置
a664566的博客
02-22 4777
ACL: access control list , 访问控制列表, -作用: 在设备上进行流量的过滤; -类型: @基本ACL *表示: 2000 ~ 2999 *特点:只能匹配数据包的源IP地址 (匹配数据包不精确) @高级ACL *表示: 3000 ~ 3999 *特点: 可以同时匹配数据包的源、目标、协议号、源端口、目标端口信息; (匹配数据包精确) -原理: *ACL通常是调用在“数据...
//连接防火墙的接口配置成access模式,放行vlan11 interface GigabitEthernet0/0/12 port link-type access port default vlan 11 //配置vlan11IP地址,连接防火墙 interface Vlanif11 ip address 192.168.1.2 255.255.255.0 //配置ospf路由协议,将192.168.0.0和172.16.0.0网段宣告进ospf ospf 1 router-id 2.2.2.2 area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.30.0 0.0.0.255 network 192.168.40.0 0.0.0.255 network 192.168.50.0 0.0.0.255 network 192.168.60.0 0.0.0.255 network 192.168.70.0 0.0.0.255 network 172.16.10.0 0.0.0.255 network 172.16.20.0 0.0.0.255 network 172.16.30.0 0.0.0.255 network 172.16.40.0 0.0.0.255 network 172.16.50.0 0.0.0.255 //配置标准acl2000,不允许访客访问内网其他网段 acl number 2000 rule 1 deny source 192.168.10.0 0.0.0.255 rule 2 deny source 192.168.20.0 0.0.0.255 rule 3 deny source 192.168.30.0 0.0.0.255 rule 4 deny source 192.168.40.0 0.0.0.255 rule 5 deny source 192.168.50.0 0.0.0.255 rule 6 deny source 192.168.60.0 0.0.0.255 rule 7 deny source 192.168.70.0 0.0.0.255 rule 9 deny source 172.16.10.0 0.0.0.255 rule 10 deny source 172.16.20.0 0.0.0.255 rule 11 deny source 172.16.30.0 0.0.0.255 rule 12 permit //将ACL应用在0/0/7端口的出方向 interface GigabitEthernet0/0/7 traffic-filter outbound acl 2000
最新发布
05-30
这段代码是一段网络设备的配置代码,主要实现以下几个功能: 1. 将接口GigabitEthernet0/0/12配置为access模式,并放行vlan11; 2. 配置Vlanif11接口的IP地址为192.168.1.2/24; 3. 配置OSPF路由协议,将192.168.0.0/16和172.16.0.0/16网段宣告进OSPF; 4. 配置标准ACL2000,不允许源IP地址为192.168.10.0/24-192.168.70.0/24和172.16.10.0/24-172.16.50.0/24的访客访问内网其他网段; 5. 将ACL2000应用于接口GigabitEthernet0/0/7的出方向。 这段代码的作用是限制访客只能访问指定的网段,不能访问内网其他网段,增强了网络的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周三叁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值