您好,登錄后才能下訂單哦!
訪問控制列表是應(yīng)用在路由器接口的指令列表,這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。
???端口?? ? | ???協(xié)議??? | 說明 |
---|---|---|
21 | FTP | FTP服務(wù)器所開放的控制端口,20端口是ftp的數(shù)據(jù)連接,21端口是ftp的控制連接 |
23 | TELNET | 用于遠(yuǎn)程登錄,可以遠(yuǎn)程控制管理目標(biāo)計(jì)算機(jī) |
25 | SMTP | SMTP服務(wù)器開放的端口,用于發(fā)送郵件 |
80 | HTTP | 超文本傳輸協(xié)議,https 443安全 |
110 | POP3 | 用于郵件的接受 |
143 | IAMP | 用于發(fā)送郵件 |
22 | SSH | 密文遠(yuǎn)程登錄 |
68,67 | DHCP | IP地址自動(dòng)分配,客戶端請(qǐng)求用的67,服務(wù)器回應(yīng)用的68 |
53 | DNS | 域名解析 |
3389 | RDP | 遠(yuǎn)程桌面 |
???端口??? | ???協(xié)議??? | 說明 |
---|---|---|
69 | TFTP | 簡單文件傳輸協(xié)議 |
111 | RPC | 遠(yuǎn)程過程調(diào)用 |
123 | NTP | 網(wǎng)絡(luò)時(shí)間協(xié)議 |
- 讀取第三層,第四層包頭信息
- 根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾
- 出:已經(jīng)過路由器的處理,正離開路由器接口的數(shù)據(jù)包
- 入:已經(jīng)到達(dá)路由器接口的數(shù)據(jù)包,將被路由器處理
白名單
允許 1.2
允許 1.3
拒絕所有(可以不寫)黑名單
拒絕 1.2
拒絕 1.3
允許所有(必須寫)
- 基于源IP地址過濾數(shù)據(jù)包
- 標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號(hào)1~99
- 基于源IP地址,目的IP地址,指定協(xié)議,端口和標(biāo)志來過濾數(shù)據(jù)包
- 擴(kuò)展訪問控制列表的訪問控制列表號(hào)是100~199
- 命名訪問控制列表允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名稱代替表號(hào)
access-list access-list-number { permit | deny} source [source-wildcard ]
//permit表示允許數(shù)據(jù)包通過 ,deny表示拒絕數(shù)據(jù)包通過 ,source [ source-wildcard ]只對(duì)源IP進(jìn)行控制+(反子網(wǎng)掩碼)
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
//允許192.168.1.0/24和主機(jī)192.168.2.2的流量通過
no access-list access-list-number //直接刪除ACL列表號(hào)
access-list 1 deny 0.0.0.0 255.255.255.255 //拒絕所有ip
host //host后面可跟ip地址,免去子網(wǎng)掩碼的輸入
any //等同于拒絕所有ip
ip access-group access-list-number {in | out}
//控制方最近的端口,in是進(jìn)入out是輸出
no ip access-group access-list-number {in | out}
需求
禁止192.168.10.2訪問pc3
sw#conf t ##進(jìn)入全局模式
sw(config)#no ip routing ##關(guān)閉路由功能
sw(config)#int f1/0 ##進(jìn)入接口f1/0
sw(config-if)#speed 100 ##因?yàn)楹吐酚上噙B所以要配置雙工模式和速率
sw(config-if)#duplex full
R1#conf t ##全局模式
R1(config-if)#int f0/1
R1(config-if)#ip add 192.168.10.1 255.255.255.0 ##配置網(wǎng)關(guān)
R1(config-if)#no shut ##開啟
R1(config-if)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0 ##配置網(wǎng)關(guān)
R1(config-if)#no shut ##開啟
PC1> ip 192.168.10.2 192.168.10.1
PC2> ip 192.168.10.3 192.168.10.1
PC3> ip 192.168.20.2 192.168.20.1
R1#conf t ##全局模式
R1(config)#access-list 1 deny host 192.168.10.2 ##禁止10.2訪問
R1(config)#access-list 1 permit any ##允許所有(必須寫)
R1(config)#do show access-list ##查看訪問控制列表
Standard IP access list 1
10 deny 192.168.10.2
20 permit any
R1(config)#int f0/1
R1(config-if)#ip access-group 1 in ##應(yīng)用于接口f0/1
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。