ACL 3p原则

最新推荐文章于 2023-02-11 10:57:09 发布
转载 最新推荐文章于 2023-02-11 10:57:09 发布 · 1.3k 阅读 · 2

ACL 3p原则

记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:
每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。
每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。
每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL — 协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。
正确放置ACL
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在那个地方。
原则是:标准ACL要尽量靠近目的端,而扩展ACL要尽量靠近需要过滤的端
定义ACL时所应遵循的规范
1、ACL的列表号指出了是哪种协议的ACL。
2、一个ACL的配置是每协议、每接口、每方向的。
3、ACL的语句顺序决定了对数据包的控制顺序。
4、最有限制性的语句应该放在ACL语句的首行,“全部允许”和“全部拒绝”这样的语句放在末行。
5、新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能。如果已经改变,只有先删除已存在的ACL,然后创建一个新ACL。
6、先建立ACL,才能应用在接口上
7、ACL语句不能被逐条的删除,只能一一次性删除整个ACL
8、在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在ACL里一定至少有一条“允许”的语句
9、ACL只能过滤穿过的流量,不能过滤本路由产生的流量
10、在路由器选择进行以前,应用在接口进入方向的ACL起作用
11、在路由器选择决定以后,应用在接口离开方向的ACL起作用
12、line vty里,只能应用于标准ACL
动态ACL的创建和应用:
1、access-list 列表号 dynamic 表名 动作 允许的协议 源地址网络 目的网络
2、在接口上应用ACL
3、应用autocommand access-enable host timeout 5,自动执行如下命令:access-enable host timeout 5
access-enable host timeout 5 使远端telnet进来的主机创建一个动态ACL列表,超时时间是5分钟
如果不使用host 参数,则认为那个IP的整个网络可以访问。
自反ACL 的应用:
1、自反ACL永远是permit
2、自反ACL允许高层Session信息的IP包过滤
3、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流
量,从而可以更好地保护内部网络;
4、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session
结束条目就删除;
5、自反ACL不是直接被应用到某个接口下的, 而是嵌套在一个扩展命名访问列表下的。
在ASA防火墙的ACL是正掩码,而路由器的IOS的ACL就是反掩码。

FranklinLudwig
关注
ACL的基本原理与配置
weixin_50931573的博客
04-17 1307
一、ACL概述ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
H3C ACL 概述
qq_20127559的博客
10-16 2674
H3C ALC
ACL&ACE的三条原则
技术点滴
09-02 5035
第一:NTFS Permission are Cumulative 即多个组被赋予的不同的权限是可以累加的。第二:File Override Folder Permission 即文件的权限占先于目录的权限。文件的权限先起作用,文件夹的权限后起作用。即底层的权限优先。第三:Deny Override Other Permission 即拒绝访问权限优先。
ACL基本原则
weixin_43142543的博客
12-11 5637
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、ACL的作用二、使用步骤1.引入库2.读入数据总结功能: 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可
ACL执行过程
weixin_33796205的博客
08-22 684
执行过程 一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。 数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的...
华为H3C ACL配置实例
热门推荐
csgd2000的博客
10-19 1万+
需要注意的是:1)当高级ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;4) 当高级ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。2. 高级ACL:高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则。
H3C基础配置文档抄录10-ACL和QoS配置
阿元的笔记
10-08 2755
1、ACL 1.1 ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。网络设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。 1.2 ACL分类 1.3 ACL匹配顺序 当一个 ACL 中包含多条规则时,报文会按照一定...
访问控制列表-ACL应用篇
01-03
3. **应用 ACL 到流策略**:将配置好的 ACL 应用到相应的流策略中,并设置正确的应用方向。 **关键配置**: 1. **时间段定义**: ```plaintext time-range control-time period-range 08:00 to 17:30 working-...
ACL和NAT
abjava1的博客
09-20 1596
目录 一、ACL 1.ACL概述 2.ACL应用 3.ACL工作原理 4.规则编号 5.通配符 6.ACL的分类与标识 7.ACL的匹配机制 8.ACL的应用原则 9.匹配规则 二、ACL访问控制列表实验 1、基本ACL访问控制列表实验​ (1)给Client1、Client2、Server1和Server2配置ip、网关等​ (2)配置路由 (3)此时全网互通 (4)配置路由拒绝访问命令 (5)验证实验​ 2、高级ACL访问控制列表实验 (1)配置Server1中的F
ACL的规则总结
weixin_30752699的博客
05-24 3972
一、ACL的使用场合:允许或禁止对路由器或来自路由器的telnet访问;QOS与队列技术;策略路由;数据速率限制;路由策略;端口流镜像;NAT。二:规则总结: 1、按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出ACL) 2、每条ACL的末尾隐含一条deny any的规则 3ACL可应用于某个具体的IP接口的出方向或入方向 4、ACL可应用于系统的某种特定的服务(如针对...
ACL配置原则
weixin_30758821的博客
05-23 3097
1.ACL语句的顺序很关键:ACL按照由上到下的顺序执行,找到一个匹配语句后既执行相应的操作,然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键!2.自上到下的处理顺序:具体的判别条目应放置在前面标准ACL可以自动排序:主机网段any3.隐含的拒绝所有的条目:除非最后有明确的允许语句,否则最终拒绝所有流量,所以ACL中必须有允许条目存在,否则一切流量被拒绝 转载于:https...
华为交换机ACL如何使用及原则
NoobMaster的博客
03-13 1万+
ACL(访问控制列表)的应用原则:   标准ACL,尽量用在靠近目的点   扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)   方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL ...
ACL规则
weixin_48236860的博客
07-03 4240
每个ACL(访问控制列表)可以包含多个规则,RTA根据规则来对数据流量进行过滤。举例:此时192.168.1.2的源ip的流量过来,不能匹配上此acl规则,则往下走到下一条默认规则。0.0.0.254--0.0.0.1111 1110--则为1的位数上没限制、最后一个0的则一定要一模一样此时源IP为192.168.1.2、192.168.1.4.。。。偶数才能匹配上此规则。192.168.1.2--192.168.1.0000 0010192.168.1.4--192.168.1.0000 0100生效规则
ACL
Jason的博客
08-06 1283
【什么是ACLACL( access control list, 访问控制列表),是定义好的一组规则的集合,通常用于 标识感兴趣网络流量 过滤经过路由器的数据包 实际上就是告诉路由器,允许或拒绝哪些数据包 【ACL分类】 ACL类型 编号范围 规则依据 基本ACL 2000--2999 报文的源ip地址
ACL配置及原理
xyjmh的博客
02-11 544
一个ACL里面可以有多个rule规则, 按照规则ID从小到大排序,从上 2、一个acl里面可以有多个规则规则,按照规则ID从小到大排序,从上下依次执行 下依次执行。访问控制列表 (ACL)是一种基于包过滤的 访问控制技术 ,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 高级acl,尽量用在靠近源的地方(可以保护带宽和其他资源)一个接口的同-一个方向,只能调用-一个ACL 1、一个接口的同-一个方向,只能调用-一个ACL
ACL的原理及配置
zcien的博客
11-15 2361
ALC的原理及配置,附实验
ACL的配置与原理
zljszn的博客
04-02 2807
一、前言 二、那为什么需要ACL呢? 财务部的信息都是比较敏感的,所以不允许其他部门的人员去进行查看,只能允许总裁办的人去查看,所以这里就用需要一门技术去实现这个需求了 三、ACL 组成 rule 5: 5是规则编号,跳数的值是5,比如说第一条规则是5,那下一条规则就是10,这就是为了应付一些紧急事件,比如说新增了一个比较急的业务需要处理,那就从中间插入,所以这里的话也是为了防止这个问题出现 动作:permit是表示允许的意思,那deny就是表示拒绝的意思 匹配项:通配符掩码.
ACL原理及配置
zhangchang3的博客
02-10 2943
ACL原理及配置
ACL访问控制列表:网络安全与流量管理的关键工具
在应用ACL时,应遵循3P原则:每个协议一个ACL、每个方向一个ACL、每个接口一个ACL。这表示需要分别为每种协议、入站和出站流量以及每个接口定义独立的访问控制列表。编写ACL是一项复杂的任务,因为它们可以应用于多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值