溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

發(fā)布時(shí)間:2020-08-04 10:14:38 來源:網(wǎng)絡(luò) 閱讀:2358 作者:一拳超人007 欄目:系統(tǒng)運(yùn)維

ACL(access control list)訪問控制列表概述

  • 訪問控制列表是應(yīng)用在路由器接口的指令列表,這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。

  • 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

常用的TCP端口號(hào)及其功能

???端口?? ? ???協(xié)議??? 說明
21 FTP FTP服務(wù)器所開放的控制端口,20端口是ftp的數(shù)據(jù)連接,21端口是ftp的控制連接
23 TELNET 用于遠(yuǎn)程登錄,可以遠(yuǎn)程控制管理目標(biāo)計(jì)算機(jī)
25 SMTP SMTP服務(wù)器開放的端口,用于發(fā)送郵件
80 HTTP 超文本傳輸協(xié)議,https 443安全
110 POP3 用于郵件的接受
143 IAMP 用于發(fā)送郵件
22 SSH 密文遠(yuǎn)程登錄
68,67 DHCP IP地址自動(dòng)分配,客戶端請(qǐng)求用的67,服務(wù)器回應(yīng)用的68
53 DNS 域名解析
3389 RDP 遠(yuǎn)程桌面

常用的UDP端口號(hào)及其功能

???端口??? ???協(xié)議??? 說明
69 TFTP 簡單文件傳輸協(xié)議
111 RPC 遠(yuǎn)程過程調(diào)用
123 NTP 網(wǎng)絡(luò)時(shí)間協(xié)議

訪問控制列表基于三層(IP)和四層(端口,協(xié)議)進(jìn)行過濾(應(yīng)用防火墻,七層過濾)

  • 讀取第三層,第四層包頭信息
  • 根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

訪問控制列表在接口應(yīng)用的方向(與數(shù)據(jù)方向有關(guān))

  • 出:已經(jīng)過路由器的處理,正離開路由器接口的數(shù)據(jù)包
  • 入:已經(jīng)到達(dá)路由器接口的數(shù)據(jù)包,將被路由器處理

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

訪問控制列表的處理過程

訪問控制列表的處理流程(自上而下,逐條匹配,默認(rèn)隱含拒絕所有)

白名單
允許 1.2
允許 1.3
拒絕所有(可以不寫)

黑名單
拒絕 1.2
拒絕 1.3
允許所有(必須寫)

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

標(biāo)準(zhǔn)訪問控制列表

  • 基于源IP地址過濾數(shù)據(jù)包
  • 標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號(hào)1~99

擴(kuò)展訪問控制列表

  • 基于源IP地址,目的IP地址,指定協(xié)議,端口和標(biāo)志來過濾數(shù)據(jù)包
  • 擴(kuò)展訪問控制列表的訪問控制列表號(hào)是100~199

命名訪問控制列表

  • 命名訪問控制列表允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名稱代替表號(hào)

ACL配置命令

1,創(chuàng)建ACL
access-list access-list-number { permit | deny} source [source-wildcard ] 
//permit表示允許數(shù)據(jù)包通過 ,deny表示拒絕數(shù)據(jù)包通過 ,source [ source-wildcard ]只對(duì)源IP進(jìn)行控制+(反子網(wǎng)掩碼)
示例
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
//允許192.168.1.0/24和主機(jī)192.168.2.2的流量通過
2,刪除ACL
no access-list access-list-number  //直接刪除ACL列表號(hào)
3,隱含的拒絕語句
access-list 1 deny 0.0.0.0 255.255.255.255  //拒絕所有ip
4,關(guān)鍵字
host  //host后面可跟ip地址,免去子網(wǎng)掩碼的輸入
any   //等同于拒絕所有ip
5,將ACL應(yīng)用于接口
ip access-group access-list-number {in | out} 
//控制方最近的端口,in是進(jìn)入out是輸出
6,在接口上取消ACL的應(yīng)用
no ip access-group access-list-number {in | out}

ACL標(biāo)準(zhǔn)配置示例

需求

禁止192.168.10.2訪問pc3

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

雙擊配置sw交換機(jī)
sw#conf t    ##進(jìn)入全局模式
sw(config)#no ip routing  ##關(guān)閉路由功能
sw(config)#int f1/0   ##進(jìn)入接口f1/0
sw(config-if)#speed 100  ##因?yàn)楹吐酚上噙B所以要配置雙工模式和速率
sw(config-if)#duplex full
雙擊配置R1路由
R1#conf t    ##全局模式
R1(config-if)#int f0/1                         
R1(config-if)#ip add 192.168.10.1 255.255.255.0  ##配置網(wǎng)關(guān)
R1(config-if)#no shut  ##開啟
R1(config-if)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0  ##配置網(wǎng)關(guān)
R1(config-if)#no shut  ##開啟
配置三臺(tái)pc機(jī)的ip地址及網(wǎng)關(guān),測試能否相互ping通
PC1> ip 192.168.10.2 192.168.10.1 
PC2> ip 192.168.10.3 192.168.10.1
PC3> ip 192.168.20.2 192.168.20.1

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)
ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

打開R1配置訪問控制列表
R1#conf t    ##全局模式
R1(config)#access-list 1 deny host 192.168.10.2     ##禁止10.2訪問
R1(config)#access-list 1 permit any         ##允許所有(必須寫)   
R1(config)#do show access-list     ##查看訪問控制列表
Standard IP access list 1
    10 deny   192.168.10.2
    20 permit any
R1(config)#int f0/1
R1(config-if)#ip access-group 1 in  ##應(yīng)用于接口f0/1
測試10.2的機(jī)器能不能訪問pc3

ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)
ACL訪問控制列表——標(biāo)準(zhǔn)訪問控制列表(理論+實(shí)操)

謝謝閱讀?。?!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI