• Access Control List
    • 访问控制列表
    • 是一种包过滤技术
    • ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[五层数据]进行过滤
    • ACL主要分为两大类:
        ○ 标准ACL
            ■ 表号范围:1-99
            ■ 特点:只能基于源IP对包进行过滤
        ○ 扩展ACL
            ■ 表号范围:100-199
            ■ 特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤。
    • ACL原理:
        ○ 路由器的每一个端口都视为一个门
        ○ 门可以进可以出,两个方向,in、out
        ○ ACL表就是贴在门上的名单,谁能进谁能出看门上的表就知道了
        ○ 但是表不能贴反了,门也有两个面呢,要贴在数据包能看到的那个面上
        ○ 要将表应用到接口上
        ○ 一个接口的一个方向只能贴一张表
    • ACL表
        ○ 可以有多条限制,严格自上而下匹配执行。
        ○ 由两部分组成,条件和动作。
        ○ 如果没有满足条件,动作就不会生效,继续检查下一条。
        ○ 如果满足条件,就执行对应动作,并且不再继续向下检查。
            ■ 示例:
               

■ 这样就能过滤掉长得不帅的了。
            ■ 因为不满足第一条就会向下继续查找,直到找到满足条件的然后执行对应的动作。
        ○ 先后顺序很重要!!越细的流量越要写在最上面!!
        ○ 如果表里没有就干掉不让过!
    • ACL命令(写ACL时会自动创建和更改对应ACL表):
        ○ 标准ACL:
            ■ conf t
            ■ access-list  表号  permit/deny  源IP或网段  反子网掩码
                □ 反子网掩码:将正子网掩码0和1倒置
                    ◆ 255.0.0.0-0.255.255.255
                    ◆ 255.255.0.0-0.0.255.255
                    ◆ 255.255.255.0-0.0.0.255
                □ 反子网掩码作用:
                    ◆ 用来匹配条件,与0对应需要严格匹配(过滤位),与1对应的忽略
                □ 举例:
                    ◆ access-list 1 deny 10.1.0.0  0.0.255.255
                    ◆ 过滤掉源IP是10.1.xxx.xxx的包(与子网掩码对应,只严格限制0对应的位)
                    
                    ◆ access-list 1 deny 10.1.1.2  0.0.0.0
                    ◆ 简写:access-list 1 deny host 10.1.1.2
                    
                    ◆ 过滤掉源IP是10.1.1.2的包
                    ◆ access-list 1 deny 0.0.0.0  255.255.255.255
                    ◆ 过滤掉所有
                    ◆ 简写:access-list 1 deny any
                    
        ○ 一般情况下,access表写好不能更改,只能在末尾添加。,或者选择删除重写。
            ■ no access-list 表号
        ○ 查看ACL表
            ■ show ip access-list [表ID]
        ○ 将ACL应用到接口:
            ■ int fax/x
            ■ ip access-group 表号 in/out
            ■ exit
        ○ 将ACL应用到三层交换机要进入对应的vlan

• 怎么写不容易出错?
        ○ 先判断ACL位置
        ○ 判断最终允许还是最终拒绝
        ○ 将严格的控制写在前面
        ○ 标准ACL
            ■ 标准ACL尽量写在靠近目标的接口上,否则可能会误杀。
        ○ 扩展ACL
            ■ 扩展ACL尽量写在靠近源目标的接口上,以免造成其他网络设备的资源浪费。
            ■ 同一个网段写在一起!
            ■ 最上面应该是最详细的!从上到下应该是 协议 端口 单独ip 网段 any

• 扩展ACL
        ○ 表号:100-199
        ○ 特点:可以基于源IP、目标IP、端口号、协议等进行过滤
        ○ 案例:
            ■ acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
                □ 允许10.1.1.1通过tcp协议访问20.1.1.3的80端口
            ■ acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
                □ 允许10.1.1.1通过icmp协议访问20.1.1.0网段
            ■ acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
                □ 拒绝 10.1.1.1 访问 20.1.1.0网段
            ■ acc 100 permit ip any any
                □ 允许所有流量通过
    • 命名ACL
        ○ 作用:可以对标准或扩展ACL进行自定义命名
        ○ 优点:
            ■ 自定义命名更容易辨认,也便于记忆!
            ■ 可以任意修改、插入、删除某一条。
        ○ 命令:
            ■ 创建
            ■ conf t
            ■ ip access-list standard/extended 自定义表名
            ■ 开始从deny 或 permit 编写ACL条目
            ■ exit
            ■ 删除某一条
            ■ ip access-list standard/extended 自定义表名
            ■ no 条目ID
            ■ exit
            ■ 插入
            ■ ip access-list standard/extended 自定义表名
            ■ 条目ID 动作 条件
            ■ exit

ACL技术(访问控制列表)的更多相关文章

  1. Centos下ACL(访问控制列表)介绍(转)

    我们知道,在Linux操作系统中,传统的权限管理分是以三种身份(属主.属組以及其它人)搭配三种权限(可读.可写以及可执行),并且搭配三种特殊权限(SUID,SGID,SBIT),来实现对系统的安全保护 ...

  2. ACL(访问控制列表)

    第六部分,访问控制列表.访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包.应用场景有校园网中教师网和学生网分别管理,通过acl控 ...

  3. IOS - ACL (访问控制列表)

    ACL 介绍 ACL 是一款 IOS 软件工具,而不是某种协议.从名字上来看,ACL 的主要功能是控制对网络资源的访问.事实上这是 ACL 最早的用途.现在 ACL 除了能够限制访问外,更多时候,我们 ...

  4. [转载]ACM(访问控制模型),Security Identifiers(SID),Security Descriptors(安全描述符),ACL(访问控制列表),Access Tokens(访问令牌)

    对于<windows核心编程>中的只言片语无法驱散心中的疑惑.就让MSDN中的解释给我们一盏明灯吧.如果要很详细的介绍,还是到MSDN仔细的看吧,我只是大体用容易理解的语言描述一下. wi ...

  5. 详解cisco访问控制列表ACL

    一:访问控制列表概述   ·访问控制列表(ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝.   ·工作原理:它读取第三及第四层包头中的信息,如源 ...

  6. CCNA 之 十 ACL 访问控制列表

    ACL 访问控制列表 ACL(Access Control List) 接入控制列表 ACL 的量大主要功能: 流量控制 匹配感兴趣流量 标准访问控制列表 只能根据源地址做过滤 针对曾哥协议采取相关动 ...

  7. Linux之facl----设置文件访问控制列表(详解)

    setfacl命令 是用来在命令行里设置ACL(访问控制列表) 选项 -b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留. -k,--remove ...

  8. Linux_ACL文件访问控制列表

    一.ACL文件访问控制列表 前言 1️⃣:ACL-文件访问控制列表: 2️⃣:ACL可以针对单个用户,单个文件或目录来进行r.w.x的权限设定,特别适用于需要特殊权限的使用情况. 3️⃣:ACL就是可 ...

  9. 用访问控制列表(ACL)实现包过滤

      用访问控制列表(ACL)实现包过滤 一.ACL概述 1.ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的 2.ACL可以应用于诸多方面 a>.b包过滤 ...

随机推荐

  1. 小程序view的显示与隐藏

    需要在全局数据块中,设定一个控制键. data: { ......//省略其他代码 showView: true }, 然后是在wxml中,view的class中设置2个class,并用三目表达式来进 ...

  2. 痞子衡嵌入式:了解i.MXRT1060系列ROM中串行NOR Flash启动初始化流程优化点

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是i.MXRT1060系列ROM中串行NOR Flash启动初始化流程优化点. 前段时间痞子衡写了一篇 <深入i.MXRT1050系 ...

  3. css外边距重叠及避免方法

    <html lang="en"> <head> <meta charset="UTF-8"> <meta name=& ...

  4. 题解-CF1437F Emotional Fishermen

    题面 CF1437F Emotional Fishermen 给 \(n\) 个数的序列 \(a_i\),求有多少种 \(n\) 个数的排列 \(p_i\),使得 \[\frac{a_{p_i}}{\ ...

  5. CSP-S 2019 Emiya 家今天的饭

    64 pts 类似 乌龟棋 的思想,由于 \(64pts\) 的 \(m <= 3\), 非常小. 我们可以设一个 \(dp\),建立 \(m\) 个维度存下每种物品选了几次: \(f[i][A ...

  6. 题解-CF1239D Catowice City

    CF1239D Catowice City 有 \(n\) 个人和 \(n\) 只猫.有 \(m\) 对人猫友谊,即第 \(u_i\) 个人认识第 \(v_i\) 只猫,保证第 \(i\) 个人和第 ...

  7. protobuf 协议浅析

    目录 Protobuf 协议浅析 1. Protobuf 介绍 1.1 Protobuf 基本概念 1.2 Protobuf 的优点 1.3 Protobuf, JSON, XML 的区别 2. Pr ...

  8. 移动端H5微信分享

    移动端H5微信分享功能,可以使项目更好地传播. 微信官方教程文档:  微信JS-SDK说明文档 步骤一:绑定域名 先登录微信公众平台进入"公众号设置"的"功能设置&quo ...

  9. 一文入门Redis

    一文入门Redis 目录 一文入门Redis 一.Redis简介 二.常用数据类型 1.String(字符串) 2.Hash(哈希) 3.List(列表) 4.Set(集合) 5.Zset(有序集合) ...

  10. elementUI的动态tabs页的使用,vue的动态组件的操作

    elementUI的动态tabs页的使用,vue的动态组件的操作 有时候我们需要用到动态的tab页,结合不同的页面内容来显示.这里是使用了elementUI的动态tabs页来实现的 <div c ...