• Access Control List
    • 访问控制列表
    • 是一种包过滤技术
    • ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[五层数据]进行过滤
    • ACL主要分为两大类:
        ○ 标准ACL
            ■ 表号范围:1-99
            ■ 特点:只能基于源IP对包进行过滤
        ○ 扩展ACL
            ■ 表号范围:100-199
            ■ 特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤。
    • ACL原理:
        ○ 路由器的每一个端口都视为一个门
        ○ 门可以进可以出,两个方向,in、out
        ○ ACL表就是贴在门上的名单,谁能进谁能出看门上的表就知道了
        ○ 但是表不能贴反了,门也有两个面呢,要贴在数据包能看到的那个面上
        ○ 要将表应用到接口上
        ○ 一个接口的一个方向只能贴一张表
    • ACL表
        ○ 可以有多条限制,严格自上而下匹配执行。
        ○ 由两部分组成,条件和动作。
        ○ 如果没有满足条件,动作就不会生效,继续检查下一条。
        ○ 如果满足条件,就执行对应动作,并且不再继续向下检查。
            ■ 示例:
               

■ 这样就能过滤掉长得不帅的了。
            ■ 因为不满足第一条就会向下继续查找,直到找到满足条件的然后执行对应的动作。
        ○ 先后顺序很重要!!越细的流量越要写在最上面!!
        ○ 如果表里没有就干掉不让过!
    • ACL命令(写ACL时会自动创建和更改对应ACL表):
        ○ 标准ACL:
            ■ conf t
            ■ access-list  表号  permit/deny  源IP或网段  反子网掩码
                □ 反子网掩码:将正子网掩码0和1倒置
                    ◆ 255.0.0.0-0.255.255.255
                    ◆ 255.255.0.0-0.0.255.255
                    ◆ 255.255.255.0-0.0.0.255
                □ 反子网掩码作用:
                    ◆ 用来匹配条件,与0对应需要严格匹配(过滤位),与1对应的忽略
                □ 举例:
                    ◆ access-list 1 deny 10.1.0.0  0.0.255.255
                    ◆ 过滤掉源IP是10.1.xxx.xxx的包(与子网掩码对应,只严格限制0对应的位)
                    
                    ◆ access-list 1 deny 10.1.1.2  0.0.0.0
                    ◆ 简写:access-list 1 deny host 10.1.1.2
                    
                    ◆ 过滤掉源IP是10.1.1.2的包
                    ◆ access-list 1 deny 0.0.0.0  255.255.255.255
                    ◆ 过滤掉所有
                    ◆ 简写:access-list 1 deny any
                    
        ○ 一般情况下,access表写好不能更改,只能在末尾添加。,或者选择删除重写。
            ■ no access-list 表号
        ○ 查看ACL表
            ■ show ip access-list [表ID]
        ○ 将ACL应用到接口:
            ■ int fax/x
            ■ ip access-group 表号 in/out
            ■ exit
        ○ 将ACL应用到三层交换机要进入对应的vlan

• 怎么写不容易出错?
        ○ 先判断ACL位置
        ○ 判断最终允许还是最终拒绝
        ○ 将严格的控制写在前面
        ○ 标准ACL
            ■ 标准ACL尽量写在靠近目标的接口上,否则可能会误杀。
        ○ 扩展ACL
            ■ 扩展ACL尽量写在靠近源目标的接口上,以免造成其他网络设备的资源浪费。
            ■ 同一个网段写在一起!
            ■ 最上面应该是最详细的!从上到下应该是 协议 端口 单独ip 网段 any

• 扩展ACL
        ○ 表号:100-199
        ○ 特点:可以基于源IP、目标IP、端口号、协议等进行过滤
        ○ 案例:
            ■ acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
                □ 允许10.1.1.1通过tcp协议访问20.1.1.3的80端口
            ■ acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
                □ 允许10.1.1.1通过icmp协议访问20.1.1.0网段
            ■ acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
                □ 拒绝 10.1.1.1 访问 20.1.1.0网段
            ■ acc 100 permit ip any any
                □ 允许所有流量通过
    • 命名ACL
        ○ 作用:可以对标准或扩展ACL进行自定义命名
        ○ 优点:
            ■ 自定义命名更容易辨认,也便于记忆!
            ■ 可以任意修改、插入、删除某一条。
        ○ 命令:
            ■ 创建
            ■ conf t
            ■ ip access-list standard/extended 自定义表名
            ■ 开始从deny 或 permit 编写ACL条目
            ■ exit
            ■ 删除某一条
            ■ ip access-list standard/extended 自定义表名
            ■ no 条目ID
            ■ exit
            ■ 插入
            ■ ip access-list standard/extended 自定义表名
            ■ 条目ID 动作 条件
            ■ exit

ACL技术(访问控制列表)的更多相关文章

  1. Centos下ACL(访问控制列表)介绍(转)

    我们知道,在Linux操作系统中,传统的权限管理分是以三种身份(属主.属組以及其它人)搭配三种权限(可读.可写以及可执行),并且搭配三种特殊权限(SUID,SGID,SBIT),来实现对系统的安全保护 ...

  2. ACL(访问控制列表)

    第六部分,访问控制列表.访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包.应用场景有校园网中教师网和学生网分别管理,通过acl控 ...

  3. IOS - ACL (访问控制列表)

    ACL 介绍 ACL 是一款 IOS 软件工具,而不是某种协议.从名字上来看,ACL 的主要功能是控制对网络资源的访问.事实上这是 ACL 最早的用途.现在 ACL 除了能够限制访问外,更多时候,我们 ...

  4. [转载]ACM(访问控制模型),Security Identifiers(SID),Security Descriptors(安全描述符),ACL(访问控制列表),Access Tokens(访问令牌)

    对于<windows核心编程>中的只言片语无法驱散心中的疑惑.就让MSDN中的解释给我们一盏明灯吧.如果要很详细的介绍,还是到MSDN仔细的看吧,我只是大体用容易理解的语言描述一下. wi ...

  5. 详解cisco访问控制列表ACL

    一:访问控制列表概述   ·访问控制列表(ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝.   ·工作原理:它读取第三及第四层包头中的信息,如源 ...

  6. CCNA 之 十 ACL 访问控制列表

    ACL 访问控制列表 ACL(Access Control List) 接入控制列表 ACL 的量大主要功能: 流量控制 匹配感兴趣流量 标准访问控制列表 只能根据源地址做过滤 针对曾哥协议采取相关动 ...

  7. Linux之facl----设置文件访问控制列表(详解)

    setfacl命令 是用来在命令行里设置ACL(访问控制列表) 选项 -b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留. -k,--remove ...

  8. Linux_ACL文件访问控制列表

    一.ACL文件访问控制列表 前言 1️⃣:ACL-文件访问控制列表: 2️⃣:ACL可以针对单个用户,单个文件或目录来进行r.w.x的权限设定,特别适用于需要特殊权限的使用情况. 3️⃣:ACL就是可 ...

  9. 用访问控制列表(ACL)实现包过滤

      用访问控制列表(ACL)实现包过滤 一.ACL概述 1.ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的 2.ACL可以应用于诸多方面 a>.b包过滤 ...

随机推荐

  1. 落谷 P1412 经营与开发

    题目链接 Solution 用传统的思想考虑正推,发现后面的答案依赖于当前的 \(p\),你不但要记录前 \(i\) 个还要记录 \(p\),显然空间爆炸. 类似 AcWing 300. 任务安排1, ...

  2. rsync全网备份low方法

    要求: 1.基本备份要求已知3 台服务器主机名分别为web01.backup .nfs01,主机信息见下表:服务器说明外网IP(NAT) 内网IP(NAT) 主机名称nginx web 服务器10.0 ...

  3. 【Scrapy笔记】使用方法

    安装: 1.pip install wheel 安装wheel 2.安装Twisted a.访问 http://www.lfd.uci.edu/~gohlke/pythonlibs/#twisted ...

  4. python 安装相关

    一.安装python 1.官网下载python 1.1 可下载绿色版 2.2 也可下载安装版,安装时可自动安装pip 和 自动配置环境变量 2.手动配置环境变量,我的电脑>属性>高级> ...

  5. PHP MySQL 快速导入10万条数据

    项目背景 数据来源:所有数据均为外部导入,最大数据量在10w+ 输出数据:导出经过业务处理之后的数据 使用框架:fastadmin 涉及的问题: 1.数据读取 2.数据保存 使用数据:10w+ 解决方 ...

  6. $$ PHP 的含义

    php中两个$也就bai是$$用来定义可变变量. 所谓可变变量,就是一个变量的名,又是一个变量.

  7. CCNP之二层技术

    二层技术 ---数据链路层 核心功能:介质访问控制功能,控制物理层 网络类型: 1)MA:multiple access 多路访问(指在一条链路上有多个访问点,区别于点到点或点到多点的网络) BMA: ...

  8. C#使用时间戳

    前言 参考博客 C#获取和转换时间戳: https://blog.csdn.net/weixin_39885282/article/details/79462443 获取时间戳: https://ww ...

  9. 将XML转换为实体

    需求 将XML文件中的数据经过转换后插入到数据库中. 参考 C#实体类和XML的相互转换 https://blog.csdn.net/pan_junbiao/article/details/82938 ...

  10. 关于 Softmax 回归的反向传播求导数过程

    对于 \(Softmax\) 回归的正向传播非常简单,就是对于一个输入 \(X\) 对每一个输入标量 \(x_i\) 进行加权求和得到 \(Z\) 然后对其做概率归一化. Softmax 示意图 下面 ...