【HAProxy11】企业级反向代理HAProxy高级功能之访问控制列表(ACL)

已于 2024-11-20 22:50:34 修改
阅读量1.3k 收藏 6
点赞数 36
分类专栏: # 企业级反向代理之HAProxy 文章标签: 云计算 linux lvs nginx haproxy 负载均衡 反向代理 后端
于 2024-11-20 11:31:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_74814027/article/details/143905190
版权

HAProxy 高级功能

介绍 HAProxy 高级配置及实用案例

ACL

访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条 件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头 部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行 进一步操作,比如允许其通过或丢弃。

官方帮助:

http://cbonte.github.io/haproxy-dconv/2.1/configuration.html#7
http://cbonte.github.io/haproxy-dconv/2.0/configuration.html#7

定义ACL配置选项

acl   <aclname>  <criterion>   [flags]     [operator]    [<value>]
acl     名称        匹配规范      匹配模式      具体操作符      操作对象类型

ACL-Name

acl   image_service   hdr_dom(host)   -i     img.wang.com

#ACL名称,可以使用大字母A-Z、小写字母a-z、数字0-9、冒号:、点.、中横线和下划线,并且严格区分大小写,比如:my_acl和My_Acl就是两个完全不同的acl

ACL-criterion

定义ACL匹配规范,即:判断条件

hdr string,提取在一个HTTP请求报文的首部
hdr([<name> [,<occ>]]):完全匹配字符串,header的指定信息,<occ> 表示在多值中使用的值的出
现次数
hdr_beg([<name> [,<occ>]]):前缀匹配,header中指定匹配内容的begin
hdr_end([<name> [,<occ>]]):后缀匹配,header中指定匹配内容end
hdr_dom([<name> [,<occ>]]):域匹配,header中的domain name
hdr_dir([<name> [,<occ>]]):路径匹配,header的uri路径
hdr_len([<name> [,<occ>]]):长度匹配,header的长度匹配
hdr_reg([<name> [,<occ>]]):正则表达式匹配,自定义表达式(regex)模糊匹配
hdr_sub([<name> [,<occ>]]):子串匹配,header中的uri模糊匹配
#示例:
hdr(<string>)   用于测试请求头部首部指定内容
hdr_dom(host)   请求的host名称,如 www.wang.com,m.wang.com
hdr_beg(host)   请求的host开头,如 www.   img.   video.   download.   ftp.
hdr_end(host)   请求的host结尾,如 .com   .net   .cn 

#示例:
acl bad_agent hdr_sub(User-Agent) -i curl wget
http-request deny  if bad_agent

#block if bad_agent 2.1版本后不再支持,用上面替代
hdr(host) ==>www.wang.org:8080
hdr_domain(host) ==> www.wang.org

#有些功能是类似的,比如以下几个都是匹配用户请求报文中host的开头是不是www
 acl short_form  hdr_beg(host)        www.
 acl alternate1  hdr_beg(host) -m beg www.
 acl alternate2  hdr_dom(host) -m beg www.
 acl alternate3  hdr(host)     -m beg www.
 base : string
#返回第一个主机头和请求的路径部分的连接,该请求从主机名开始,并在问号之前结束,对虚拟主机有用,下面的例子中是两个#中间的内容,实际#是没有的
<scheme>://<user>:<password>@#<host>:<port>/<path>;<params>#?<query>#<frag>
     base     : exact string match
     base_beg : prefix match
     base_dir : subdir match
     base_dom : domain match
     base_end : suffix match
     base_len : length match
     base_reg : regex match
     base_sub : substring match
path : string
#提取请求的URL路径,该路径从第一个斜杠开始,并在问号之前结束(无主机部分)
<scheme>://<user>:<password>@<host>:<port>#/<path>;<params>#?<query>#<frag>
     path     : exact string match
     path_beg : prefix match  #请求的URL开头,如/static、/images、/img、/css
     path_end : suffix match  #请求的URL中资源的结尾,如 .gif  .png  .css  .js  .jpg  .jpeg
     path_dom : domain match
     path_dir : subdir match
     path_len : length match
     path_reg : regex match
     path_sub : substring match
#示例࿱
最低0.47元/天 解锁文章
ACL相关配置案例!
guguai7的博客
04-14 402
实验 实验要求 全网互通 配置acl使得vlan10和vlan20不通 配置acl使得R1不能访问server
HAProxy10】企业级反向代理HAProxy高级功能之四层负载与Https 实现
运维&陈同学的博客
11-14 738
haproxy支持https,基于性能考虑,证书是在后端服务器比如nginx上实现,即用户到haproxy利用tcp模式 再到后端服务器。Haproxy 可以实现 Https 的证书安全,即从用户到haproxy为https,从haproxy后端服务器用http通信。注意:如果使用frontend和backend,一定在 frontend 和 backend 段中都指定mode tcp。问题: 后端服务器到底是与haproxy还是和客户端建立三次握手呢?范例: 基于tcp 模式实现。
ACL的配置
Ljw3187136228的博客
06-14 3070
一、引言随着网络技术的不断发展,网络安全问题日益突出。在网络通信中,访问控制列表(Access Control List,简称ACL)作为一种重要的安全机制,被广泛应用于路由器、交换机、防火墙等网络设备中,用于控制数据包的访问权限,确保网络通信的安全性和可靠性。本文将对ACL的配置进行详细介绍,包括ACL的基本原理、分类、配置方法、应用原则及注意事项等方面,旨在为读者提供一份全面、深入的ACL配置指南。二、ACL概述ACL是一种网络安全技术,用于控制数据包的访问权限。
ACL和NAT(附配置实例)超详细
这是博客的简介的简介
07-12 4937
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL(访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
ACL的基本配置
lwljh134的博客
08-27 6635
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
ACL介绍及基本命令配置
m0_74412260的博客
03-21 8044
ACL:又称访问控制列表,它只是一个匹配用的工具,用于过滤经过接口的数据包,根据规则要么放通,要么丢弃。
HAProxy04】企业级反向代理HAProxy调度算法之Socat 工具
运维&陈同学的博客
11-06 1365
HAProxy通过固定参数balance 指明对后端服务器的调度算法,该参数可以配置在listen或backend选 项中。HAProxy的调度算法分为静态和动态调度算法,但是有些算法可以根据不同的参数实现静态和动态算法 相互转换。
反向代理负载均衡HAPROXY最佳实践
01-17
### 反向代理负载均衡HAPROXY最佳实践 #### 集群概念与作用 在探讨HAPROXY反向代理负载均衡中的最佳实践之前,我们首先需要理解集群的基本概念及其作用。集群(Cluster)是一种将多台计算机通过网络连接起来共同...
企业级反向代理 Haproxy--调度算法(四)
weixin_38753143的博客
10-21 1081
静态 static-rr--------- > tcp/httpfirst------------- > tcp/http #动态 roundrobin-------- > tcp/httprandom------------ > tcp/http #以下静态和动态取决于hash_type是否consistent source------------ > tcp/http。
ACL基础配置
yxz778的博客
05-18 886
1.网络配置[r1]aaar2]aaa。
ACL的基本概念与配置,高级ACL之ICMP、基本ACL之Telnet的实验与配置
weixin_72194028的博客
12-15 1093
ACL的基本概念与配置,高级ACL之ICMP、基本ACL之Telnet的实验与配置
组网技术案例-ACL
最新发布
2202_75502796的博客
04-23 434
1.配置server,PC1,PC22.进入接口g0/0/1.10子接口,做接口的封装,配置IP,开启ARP的广播进入接口g0/0/2.10子接口,做接口的封装,配置IP,开启ARP的广播3.AR12ping10.1.1.1可以通此时,PC1可以Ping通自己的网关192.168.1.254和部门2的192.168.2.1PC1可以Ping通直连路由和server该时段,网络都是通的允许所有的主机都可以出去部门2ping通情况4.拒绝192.168.1.0/24,允许其他。
Ⅲ、ACL理论及案例实验
Jun_share
03-20 1211
ACL上网行为控制基本认识,部署案例深入进行学习,在信息交换环境中经常使用。
ACL配置
M78NB666的博客
06-12 1986
return。
ACL (访问控制列表)相关理论与基础命令
Gengchenchen的博客
10-30 2118
访问控制列表ACL)一、访问控制列表概述二、访问控制列表的工作原理(一)、访问控制列表在接口应用的方向(二)、访问控制列表的处理过程(三)、ACL: access list 访问控制列表1、ACL两种作用:2、acl 工作原理:3、acl种类:4、ACL(访问控制列表)的应用原则:三、ACL相关命令(一)、基本acl配置命令(二)、高级ACL配置命令 一、访问控制列表概述 1、读取第三次、第四层包头信息 2、根据预先定义好的规则对包头进行过滤 二、访问控制列表的工作原理 (一)、访问控制列表在接口应用的
ACL介绍及其相关配置
m0_61665967的博客
07-25 9703
ACL称为访问控制列表在流量转发的接口限制流量的进或出为其他策略定义感兴趣流量;当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;cisco系在表格末尾隐含拒绝所有;华为系在表格末尾隐含允许所有;1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
HAproxy配置(三)--ACL
xiaochenwj1995的博客
05-07 586
一、 HAproxyacl简介 访问控制列表ACL)的使用提供了一种灵活的解决方案,可以执行内容切换,并且通常根据从请求,响应或任何环境状态中提取的内容来做出决定。 acl <aclname> <criterion> [flags] [operator] [<value>] ... <aclname>:ACL names must be f...
访问控制列表ACL
墨_衍的博客
03-14 3976
文章目录一、ACL二、实验配置1.配置需求:2.配置步骤:3.配置命令 一、ACL 1、ACL的作用: 1)匹配数据包,实现数据包的控制(过滤或放行) 2、组成: 1)规则:即匹配数据包的各种条件; 2)动作:permit 和 deny ; 3、基本ACL 1)表示方式:ID,取值控制为:2000~2999 2)仅仅能匹配数据包的源IP地址,匹配数据包不精确 3)建议:在调用时,尽量调用在距离目标设备近的地方; 4、高级ACL 1)表示方式:ID,取值控制为:3000~3999 2)可以同时匹配数据包的源
高级ACL的基础配置命令
qq_23930765的博客
01-11 5467
它的基本原理是:配置了ACL的网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。在基本ACL视图下,通过此命令来配置基本ACL的规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值