ACL-访问控制简介及配置

最新推荐文章于 2024-06-13 10:50:11 发布
原创 最新推荐文章于 2024-06-13 10:50:11 发布 · 1.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

本文详细介绍了访问控制列表(ACL)的概念,包括其作用、分类及基本和高级ACL的使用方法。阐述了ACL作为流量匹配工具,如何通过五元组精确抓取数据流,以及基本和高级ACL的配置语法和应用实例。

实用技术—ACL

1. ACL简介

  • 全称:访问控制列表(Access Control List)
  • 作用:在众多数据包里面抓取某一个数据流

2. ACL的作用

  • 作用:ACL是一个流量匹配工具,本身没有过滤的作用,真正有过滤作用的一般是策略生效。
  • 如何判断同一个流量
    • 依靠数据包里面的五元组(SIP、DIP、Sport、Dport、协议)进行抓取数据流量。
    • 五个元素必须完全一样,缺一不可

ACL逻辑

  • 效果:
    • RTA允许192.186.1.0/24中的主机可以访问外网,也就是internet,但是不能访问服务器。
    • 192.168.2.0/24中的主机则被禁止访问Internet,只能访问服务器。

3. ACL的分类

  • 基本ACL(Basic)

    • 取值范围:2000-2999
    • 匹配条件不是特别多,一般是SIP和DIP

  • 高级ACL(Advanced)

    • 取值范围:3000-3999
    • 匹配条件特别多,一般来说SIP\DIP\Sport\Dport\协议

  • 小结

语法优点缺点
基本ACL语法简单匹配的条件太泛了,无法左右更加精细的匹配流量
高级ACL可以做到更加今夕的匹配流量语法复杂

3.1 基本ACL的用法

  • 配置方式
    • 命令:规则 序列号 动作 条件(匹配的网段和反掩码)
    • 序列号可写可不写,默认情况下为5(第二条是10,自动增加),step(步长)为5,不建议把很多规则写成连续的。
    • 序列号只能是正整数,匹配顺序就是这个序列号从小到大匹配
acl 2000    //创建序列号
rule 5 permit/deny source 192.168.1.0 0.0.0.255    //允许或拒绝一个IP过来的数据
traffic-filter inbound acl 2000    //接口下,在数据入口启用ACL应用,数据出口outbound
display acl all    //查看ACL的应用结果

ACL查看命令

  • 注意点:基本ACL这一块的匹配不是特别精确
  • 匹配结论:
    • 如果rule 5规则匹配正确,下面的所有规则就不用看了
    • 如果 rule 5和 rule 10 和 rule 15 都没有匹配上,rule 20 匹配完成,后面的规则就不用看了
    • 如果所有规则都没有匹配上,默认情况下,ACL是允许所有通过
    • 因为默认都是允许通过,所以一般都是用ACL协议来禁止数据通过

3.2 高级ACL的用法

acl 3000
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21
  • 命令解析:匹配的时候,五个条件缺一不可
    • SIP是192.168.1.0 / 24
    • DIP 是172.16.10.1/32
    • Sport是任意(没定义=任意)
    • Dport是21号端口
    • 协议是TCP
    • 小结:就是拒绝源IP是192.168.1.0/24去访问目标IP是172.16.10.1的FTP资源
配置访问控制列表ACL(二)
qq_48111800的博客
04-10 1052
实现ACL的基本配置实验 通过上一篇ACL的基础概念,对ACL的功能和用法有了一定的了解 这一次,让我们实现一个基于ACL配置的基础实验吧!! 在路由器 Router 上创建基本 ACL 在 VTY (Virtual Type Terminal) 上应用所配置的基本 ACL 在 Router 上配置基本 ACl 过滤网络流量 在 Router 上配置高级 ACL 基于目标和服务过滤流量 网络拓扑图如下:(有点复杂,一定要有耐心 这里千万要注意!!! 要进行ACL的路由器要在ENSP华为模拟器中选择AR
华为---配置基本的访问控制列表(ACL
最新发布
weixin_43773979的博客
06-27 4618
访问控制列表 ACL
ACL访问控制配置演示,静态和动态NAT,NAPT地址转换配置简介
树下一少年的博客
04-21 2586
一.ACL访问控制 1.ACL功能和特点 (1)功能 (2)特点 2.ACL种类 (1)基础ACL: (2)增强ACL: 3.配置演示 (1)基础ACL: (2)增强ACL: 二.NAT地址转换 1.类型介绍 (1)一对一 (2)一对多 (3)多对多 2.功能 (1)将大量的私有地址转换为公有地址(节约IP地址) (2)将一个IP地址转换为另一个IP地址(增加内部网络设备的安全性) 3.缺陷: (1)很消耗网络设备资源 (2)破坏数据端到端传输,安全策略实施受限 4
ACL配置
A1813968的博客
06-13 7092
ACL(Access Control Lists,访问控制列表)是一种基于包过滤的访问控制技术,旨在根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。通过合理地配置和应用ACL规则,可以有效地控制网络中的数据流,保护网络免受未授权访问和攻击。数字命名方式使用aclnumber+数字(0~4294967294)进行命名,而字符串命名方式则使用acl name+字母+acl类型进行命名。在ACL中,每条规则由permit(允许)或deny(拒绝)语句组成,用于指定与该规则相对应的处理动作。
ACL访问控制
weixin_47151717的博客
09-08 996
ACL访问控制和squid日志分析工具ACL访问控制和squid日志分析工具ACL访问控制ACL列表的应用反向代理网站加速ACL实验环境squid日志分析工具实验在squid服务端配置squid反向代理实验配置第一台http服务端页面配置第二台http服务端页面在squid服务器上配置在web服务器配置 ACL访问控制和squid日志分析工具 ACL访问控制 ACL访问控制方式 根据源地址、目标URL、文件类型等定义列表 acl列表名称列表类型列表内容… 针对已定义的acl列表进行限制 http_acce
10、ACL访问控制列表)原理与配置
2301_76274559的博客
06-19 3141
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置
访问控制列表ACL配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
H3C交换机典型(ACL访问控制列表配置实例
10-01
2. 高级ACL配置:高级ACL可以实现更为复杂的访问控制策略,例如禁止特定部门之间互相访问、限制研发部门在工作时间内的特定服务器访问等。 3. 二层ACL配置:二层ACL通常用来控制二层设备上的报文过滤,比如可以基于...
华为eNSP:ACL配置-访问控制技术
qq_59718828的博客
10-06 1万+
华为eNSP配置高级ACL
ACL-访问控制列表
yan_0916的博客
08-27 2万+
目录 一.概述 二.访问控制列表的调用的方向 三.策略做好后,在入接口调用和出接口调用的区别 四.访问控制列表的处理原则 五.访问控制表类型 总结 一.概述 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤 三层头部信息:源、目的IP 四层头部信息:源、目的端口号 二.访问控制列表的调用的方向: 入:流量将要进入本地路由器,将被本地路由器处理 出:流量已经被本地路由器处理,将离开本地路由器 三.策略做好后,在入接口调用和出接口..
ACL访问控制列表(详细配置教程)
热门推荐
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
ACL原理与配置
Mo_nor的博客
06-07 3298
3000~3999为高级acl,可以匹配源IP地址、目标IP、源端口号、目标端口、三层(icmp)和四层(tcp、udp)的协议字段。高级acl,尽量用在靠近源地址的地方,保护带宽(涉及协议的必须用高级acl,例:ping,http等)允许tcp协议的指定源地址访问192.168.3.30,然后将acl 3000配置给端口g0/0/1。2、结合其他协议(例:传输层的tcp、udp),ACL可以控制协议的流量能否通过。先允许指定的源地址通行,再拒绝所有源地址通行并配置给端口g0/0/0。
ACL——访问控制列表
bashui2708的博客
07-15 429
ACL--access control list-访问控制列表 访问控制列表有什么作用?①控制数据包②匹配感兴趣流量 注意:我们平时的上网行为就是一个数据包的发送和接收过程,不同的上网行为对应不同的数据包。 数据包的五元组:源IP地址 目的IP地址 协议 源端口 目的端口 QQ:电脑上的网卡IP地址 QQ服务器的地址 UDP 电脑上的任意端口 8000 PING:发送端的发送接口地址 接...
关于Network ACLs的理解
BAStriver的博客
06-07 949
网络访问控制列表 (ACL) 是 VPC 的一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。
Network(三)动态路由与ACL配置
2301_79227925的博客
11-19 633
在三层交换机上配置的VLAN接口为虚拟接口,使用Vlanif(VLAN虚拟接口)实现VLAN间路由,VLAN接口的引入使得应用更加灵活三层交换机VLAN间通信的转发过程基于某种路由协议实现,减少了管理任务默认路由是一种特殊的静态路由默认路由的目标网络为 0.0000000,可匹配任何目标地址只有当从路由表中找不到任何明确匹配的路由条目时,才会使用默认路由,一般访问公网时使用格式:[Huawei]lip route-static 0.0.0.0 0 下一跳。
ACL介绍及其相关配置
m0_61665967的博客
07-25 9838
ACL称为访问控制列表在流量转发的接口限制流量的进或出为其他策略定义感兴趣流量;当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;cisco系在表格末尾隐含拒绝所有;华为系在表格末尾隐含允许所有;1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
ACL介绍及基本命令配置
m0_74412260的博客
03-21 8460
ACL:又称访问控制列表,它只是一个匹配用的工具,用于过滤经过接口的数据包,根据规则要么放通,要么丢弃。
华为设备配置| 高级ACL| 对五元组做配置
闫露坤
02-02 5523
需求: 0、确保全网互通 1、client1访问server  web服务器 2、client1访问192.168.2.0 3、client1禁止访问其它网络 实验图: 理解: ACL: 是应用在路由器接口的指令列表  规则 ACL: 读取第三层第  四层报文头部信息 对报文进行过滤 五元组: 源IP  目标IP  源端口号 目标端口号 协议号  实验配置: [ar1]int g0/0...
ACL相关知识
weixin_47890376的博客
05-10 676
ACL(包过滤防火墙)访问控制列表(一张表) 1.访问控制 在路由器流量进或者出的接口上规则流量 数据包的五元组:源IP 目的IP 源端口 目的端口 协议 ACL分类 ACL编号 基本ACL 2000-2999 使用源地址定义数据流, 高级ACL 3000-3999 使用源地址,目的地址,源端口号,目的端口号,上层协议号等多种元素组合定义数据流 一.配置 IP地址及地址池 R1:[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 [R1-Gig
ACL--标准访问控制列表配置
06-21
ACL(Access Control List,访问控制列表)是一种网络访问控制机制,用于定义网络设备(如路由器、交换机)上数据包的过滤规则,根据数据包源地址、目的地址、端口号等信息,决定是否允许该数据包通过。标准访问控制列表配置通常应用于早期的网络设备,按照预定义的规则对入站或出站的数据包进行控制。 配置一个标准ACL一般包含以下几个步骤: 1. **创建ACL**: 使用命令行工具(如Cisco IOS的access-list或IPV4/IPv6命令)创建一个新的访问控制列表编号。 2. **添加条目**: 每条规则(entry)描述一个特定的流量条件,包括协议类型(比如TCP、UDP)、源/目标地址、端口范围等。例如,`access-list 100 deny tcp any host 192.168.1.100 eq 80` 表示阻止所有去往192.168.1.100主机的HTTP流量。 3. **应用ACL**: 在接口或接口组上应用创建好的ACL,指定数据包进出方向(inbound/outbound)。 4. **检查和测试**: 确认ACL已正确配置,并通过ping测试或者其他工具验证规则是否生效。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值