ACL

最新推荐文章于 2024-11-28 11:55:45 发布
原创 最新推荐文章于 2024-11-28 11:55:45 发布 · 571 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了ACL(访问控制列表)技术,它用于PC机对路由器的访问控制,确保网络安全。主要内容包括ACL的工作原理、匹配规则、分类以及配置方法,如基本ACL与高级ACL的创建与应用,并给出了具体配置示例。同时,文中还提及了Telnet服务及其在网络安全中的作用。

ACL

ACL技术实现了对PC机对路由器的访问,它可以起到一定的安全保障,下面介绍远程登录协议与ICMT协议

ACL:Access Control List,访问控制列表
作用
1、实现访问控制
2、抓取感兴趣流量供其他技术调用

工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,
让路由器对收到的流量基于表中规则执行动作–允许、拒绝

ACL匹配规则:
至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。

ACL的分类:
基本ACL:只能匹配数据包中的源IP地址
高级ACL:可以识别数据包中的源、目IP地址,源、目端口号以及协议号

ACL配置:
基本ACL:因为只能识别源IP,所以为了避免误删,调用时尽量靠近要求中的目标
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)

[r2]acl 2000 //创建ACL 2000
[r2-acl-basic-2000]rule deny source 172.16.0.30 0 //拒绝单个IP
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255 //拒绝一个范围(网段)
[r2-acl-basic-2000]rule deny source any //拒绝所有
注:动作可以换成permit

[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0

最低0.47元/天 解锁文章
RuiIDS
关注
路由基础之访问控制列表
晚风挽着浮云的博客
12-24 4496
访问控制列表 原理概述: 访问控制列表(ACL:AccessControlList)是一种常用的网络技术,它的基本功能是对经过网络设备的报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,它首先通过报文匹配过程来实现对报文的分类识别,然后根据报文的分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定的报文的过滤处理。除此之外,ACL还有其他一些功能,这些功能常常被Route-Policy、Qos(Quality of Service...
华为ENAP模拟网络ACL访问控制列表
m0_63775189的博客
08-01 1694
学习目标: 1、掌握二层及三层网络基本配置 2、掌握ACL基本配置 3、掌握ACL策略使用
路由控制.
qq_43704340的博客
10-23 1366
* 1.路由策略:通过控制路由的接收/发布/路由优选进而实现对流量可达性以及流量路径的控制 2.策略路由:直接对流量进行可达性以及流量路径的控制 Filter-Policy工具(过滤策略):过滤路由表里的路由条目,不能过滤路由属性 Route-Policy工具(路由策略):修改路由属性 Traffic-Filter工具(流量过滤) traffic-policy(流量策略) 1.控制网络流量可达性: 方式: 1.路由策略:可通过修改路由条目(即对接收和发.
关于华为ACL末尾的详解
qq_43008319的博客
06-03 5996
众所周知,华为的ACL末尾是默认permit,思科的ACL末尾默认deny。 实际操作过来并不是这样的。因为错误的认知,还造成了业务中断。 例: 业务出口处需要对两个源IP进行引流至防火墙,通过出口配置PBR。回包直接指静态到防火墙。 ACL里加了2条匹配源地址,末尾加了一条rule deny ip,最终结果是,引流的IP正常。其他所有业务不通。咨询华为工程师后,回复末尾加rule deny ip导致的。 最终通过模拟器测试得出以下结论。 华为的ACL末尾机制: 末尾加rule permit ip 相当于p
华为路由器、交换机配置命令
华为eNsp实验室
12-29 4万+
华为路由器交换机配置命令是大家使用时经常遇到的,顾名思义关于交换机的计算机命令,路由器命令,交换机命令和动静态命令都将在文中提到。 史上最全华为路由器交换机配置命令大合集,熟练掌握下面的华为路由器交换机配置知识点,你只需花几分钟的时间就能明白华为路由器交换机配置。交换机的配置命令等等。 华为路由器交换机配置命令:计算机命令 PCAlogin:root;使用root用户 password:linux...
华为交换机ACL的配置规则及实例
热门推荐
ChaseAug的博客
11-12 4万+
ACL(访问控制列表)的应用原则: 标准ACL,尽量用在靠近目的点 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则 二层ACL #
ACL技术
qq_69850554的博客
04-15 535
访问控制:ACL+packet-filter(数据包的抓取)自动生成:编号从5开始,是5的倍数,(5,10,15,20)路由控制:ACL+route-policy(路由策略)规则ID的来源:ID范围访问控制列表-----数据流数据的抓取和匹配。进行流量控制:ACL+QOS(服务质量)拒绝所有人去访问192.168.10.1。拒绝192.168.10.1访问所有人。组成:由若干条允许或者拒绝的规则组成。5.命名的ACL:name。4.基于Ipv6的ACL
华为交换机ACL配置的一些东西
小冰同学的笔记
10-15 2万+
这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL,然后配流分类(traffic classifier tc1),将ACL和流分类绑定,再配流行为(traffic behavior tb1),接着配置流策略(traffic policy tp1),最后把策略应用到接口下,让ACL生效。 具体例子如下: 步骤1 配
ACL的匹配顺序
NeverGUM的博客
10-17 1万+
注:转自华为官方文档,不作它用 如上面的流程图所示,一条ACL由多条rule规则组成时,这些规则可能存在重复或矛盾的地方。例如,在一条ACL中先后配置以下两条规则: rule deny ip destination 10.1.0.0 0.0.255.255 //表示拒绝目的IP地址为10.1.0.0/16网段地址的报文通过 rule permit ip destination 10.1....
ACL配置实验
ejhrkejrk的博客
01-06 985
ACL
交换机限制ip上网
weixin_34365635的博客
05-17 4000
华为3552交换机下 限制ip上网: 首先创建一个 acl number 3333(可随意 但注意不要重复) acl-adv-3333]rule deny ip sou x.x.x.x 0 0 代表就限制这一个ip 然后 找到ip所在的端口 进入 int e1/0/3]pack-f inbound ip-g 3333 查看一下就成功了 如果删除 就und...
ACL---访问控制列表配置
wangzhemvp的博客
11-26 928
(3)PC2无法ping通Server1,但是可以访问Server1的网页。(1)使PC1不能访问Server1/2,可以访问PC2。(2)PC2可以访问Server2,不能访问Server1。rule 1000 permit ip //允许所有。rule 1000 permit //允许所有。//允许使用1、2使用TCP访问2、1的80端口。分析:目的ip不同,源ip相同,使用高级ip。流量过滤,允许指定ip进入或不允许进入。
ACL规则匹配顺序
Jian Sun_的博客
07-26 5734
从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置: rule deny ip destination 1.1.0.0 0.0.255.255//表示拒绝目的IP地址为1.1.0.0网段的报文通过 rule permit ip destination 1.1.1.0 0.0.0.255//表示允...
ACL技术配置
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
华为网络设备路由交换防火墙常用命令示例
weixin_42181137的博客
11-14 6828
华为网络设备路由交换防火墙常用命令示例 dis user-interface #查看用户界面信息 display users #命令用来查看每个用户界面的用户登录信息 display users al #显示所有用户接口的信息,包括未连接的用户。执行该命令后,可显示当前交换机上接入了哪些 用户,用 户的用户名、地址等登录信息,以及用户的验证和授权信息等。 display local-user #配置本地用户后,可以执行该命令查看本地用户的配置信息。如果不指定可选参数,表示查看本地用户的概要信息; dispa
ACL的原理与配置
ou_shen_xian的博客
10-17 1811
ACL原理与配置 ACL实现流量过滤 ACL是由一系列permit (允许)和demy(拒绝)语句组成的,有顺序的列表 ACL是一个匹配工具,能够对报文进行匹配和区分 ACL number 2000 ~2999 基本接口 ACL number 3000~3999 高级接口 rule 5 (默认步长5)permit source 1.1.1.0 0.0.0.255(Wildcard 通配符) rule 10 (默认步长5) deny source 2.2.2.0
软考网络工程师防火墙配置考点总结
ducanwang的博客
09-22 1257
内网发起的流量,设备会根据流量的第三层和第四层信息,生成一个临时性的反向ACL,并且保持一段的时间,此临时性的ACL中,协议类型不变,而源IP和目的IP、源端口和目的端口与初始的ACL进行对调,而且可以设置老化周期,如果老化周期内没有相对应的流量返回,则自反的ACL会被删除,增加老化的安全性。(也就是配置了自反ACL后,主机发送给服务器流量后,服务器才能返回流量给主机,而服务器主动发起的流量则会被ACL丢弃。DMZ区(50):本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 5935
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL的分类与应用
APang的博客
11-28 1085
例如,某企业网络作为客户连接到多个服务供应商网络,企业网络的内部用户位于不同的网段/子网,他们期望分别通过某个特定的地址组进行地址转换来实现报文转发。本示例中,要求192.168.1.0/24中的主机使用地址池1中的公网地址进行地址转换,而192.168.2.0/24中的主机使用地址池2中的公网地址进行地址转换。本示例中,RTA收到了来自两个网络的报文。deny用来指定拒绝符合条件的数据包,permit用来指定允许符合条件的数据包,source用来指定ACL规则匹配报文的源地址信息,any表示任意源地址。
acl
最新发布
07-16
### ACL 配置指南与访问控制列表设置方法 访问控制列表(ACL)是一种用于控制网络流量或系统资源访问权限的机制。其配置方式因设备类型、操作系统和应用场景的不同而有所差异。以下为针对不同环境的 ACL 配置方法及设置说明。 #### 网络设备中的 ACL 配置 在路由器或交换机中,ACL 被广泛用于控制数据包的转发。以华为设备为例,配置高级 ACL 的基本命令如下: ```bash acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 rule 10 deny ip source any destination any ``` 该配置创建了一个编号为 `3000` 的高级 ACL,允许来自 `192.168.1.0/24` 网络的数据包访问 `10.0.0.0/24` 网络,并拒绝所有其他 IP 流量。创建 ACL 后,需将其绑定到具体接口以生效: ```bash interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 3000 in ``` 此操作将 ACL 应用于 `GigabitEthernet0/0/1` 接口的入站方向,控制进入该接口的流量 [^2]。 在思科设备中,标准 ACL 的配置方式如下: ```bash access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any ``` 随后将其应用到指定接口: ```bash interface s1/0 ip access-group 1 in ``` 此配置将 ACL `1` 应用于串口 `s1/0` 的入站方向,控制从该接口进入路由器的流量 [^2]。 #### 文件系统中的 ACL 设置 在 Linux 文件系统中,可以通过 `setfacl` 命令设置更细粒度的访问控制。例如,为用户 `john` 添加对某个文件的读写权限: ```bash setfacl -m u:john:rw /path/to/file ``` 此外,还可以设置组权限: ```bash setfacl -m g:developers:rx /path/to/dir ``` 上述命令允许 `developers` 组的成员对指定目录具有读和执行权限。使用 `getfacl` 命令可查看当前文件或目录的 ACL 设置: ```bash getfacl /path/to/file ``` 这将显示文件或目录的所有 ACL 条目 [^1]。 #### 云服务中的 ACL 配置 在云存储服务中,如 AWS S3,ACL 用于控制对象和存储桶的访问权限。例如,通过 JSON 策略文件设置存储桶的公共读权限: ```json { "Version": "2012-10-17", "Statement": [ { "Sid": "PublicReadGetObject", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ] } ``` 该配置允许所有用户读取 `example-bucket` 中的对象 [^3]。 #### 应用程序中的 ACL 实现 在应用程序中,如使用 Spring Boot 框架时,可以通过 Spring Security 的 ACL 模块实现基于对象的访问控制。例如,使用注解控制方法级别的访问权限: ```java @PreAuthorize("hasPermission(#document, 'read')") public void readDocument(Document document) { // 方法逻辑 } ``` 此注解确保调用该方法的用户必须对 `document` 对象具有 `read` 权限 [^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值