访问控制列表原理及配置技巧(acl)
访问控制列表ACL及配置教程
访问控制列表ACL及配置教程访问控制列表:ACL:(accesscontrollist)适⽤所有的路由协议:IP,IPX,AppleTalk控制列表分为两种类型:1.标准访问控制列表:检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表:对数据包的源地址与⽬标地址进⾏检查。
访问控制列表最常见的⽤途是作为数据包的过滤器。
其他⽤途;可指定某种类型的数据包的优先级,以对某些数据包优先处理识别触发按需拨号路由(DDR)的相关通信量路由映射的基本组成部分ACL能够⽤来:提供⽹络访问的基本安全⼿段访问控制列表可⽤于Qos(QualityofService,服务质量)对数据流量进⾏控制。
可指定某种类型的数据包的优先级,以对某些数据包优先处理起到了限制⽹络流量,减少⽹络拥塞的作⽤提供对通信流量的控制⼿段访问控制列表对本⾝产⽣的的数据包不起作⽤,如⼀些路由更新消息路由器对访问控制列表的处理过程:(1)如果接⼝上没有ACL,就对这个数据包继续进⾏常规处理(2)如果对接⼝应⽤了访问控制列表,与该接⼝相关的⼀系列访问控制列表语句组合将会检测它:*若第⼀条不匹配,则依次往下进⾏判断,直到有⼀条语句匹配,则不再继续判断。
路由器将决定该数据包允许通过或拒绝通过*若最后没有任⼀语句匹配,则路由器根据默认处理⽅式丢弃该数据包。
*基于ACL的测试条件,数据包要么被允许,要么被拒绝。
(3)访问控制列表的出与⼊,使⽤命令ipaccess-group,可以把访问控制列表应⽤到某⼀个接⼝上。
in或out指明访问控制列表是对近来的,还是对出去的数据包进⾏控制【在接⼝的⼀个⽅向上,只能应⽤1个access-list】路由器对进⼊的数据包先检查⼊访问控制列表,对允许传输的数据包才查询路由表⽽对于外出的数据包先检查路由表,确定⽬标接⼝后才检查看出访问控制列表======================================================================应该尽量把放问控制列表应⽤到⼊站接⼝,因为它⽐应⽤到出站接⼝的效率更⾼:将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它(4)访问控制列表中的deny和permit全局access-list命令的通⽤形式:Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这⾥的语句通过访问列表表号来识别访问控制列表。
访问控制列表ACL
以下命令:
router(config)#access-list+ACL编号+permit|deny+测试条件 // 创建ACL并向其中添加一条命令语句。
为了使用ACL的安全特性,我们最起码要在边界路由器上使用ACL。
当路游戏配置了ACL时,如果通过了验证,路由器就将其进行转发,如果没有通过验证路由器就将其丢弃
当创建了ACL后,可以将其绑定到路由器的入口或者出口,分别可以成为入栈ACL和出栈ACL
4.注意事项:
一 因为ACL包含了一条隐含语句:拒绝所有,因此使用ACL要小心,至少ACL中要有一条允许语句,否则所有数据都将被ACL拒绝。
二 为网络访问提供基本的安全层。ACL可以限定或减少路由更新的内容,这些限定,可以用于限制关于某个特定网络的信息传播到整个网络。假如不在路由器上配置ACL,所有流经路由器的数据包都允许进入网络的所有部分。
三 决定转发或阻止哪些类型的数据流。例如可以允许数据的email的数据流,而阻止telnet的数据流。
172.16.144.0
ip地址 172.16.10010000.0
翻转掩码 0.0.00001111.255
可用的网络 172.16.10010001.0 =172.16.145.0
8.标准ACL配置
例子:
er(config)#access-list 1 permit 191.5.34.0 0.0.0.255
router(config)#access-list 1 permit 128.88.0.0 0.0.0.255
acl配置详解
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表的原理对路由器接口来说有两个方向出:已经经路由器的处理,正离开路由器接口的数据包入:已经到达路由器接口的数据包,将被路由器处理。
匹配顺序为:"自上而下,依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表:一般应用在out出站接口。
建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
一、标准访问列表(标准ACL)访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL.它的具体格式:access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。
访问控制列表(ACL)配置
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
华为设备访问控制列表ACL的原理与配置
如何使用反掩码
扩展访问控制列表
从202.110.10.0/24来的,到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!
路由器
扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。
配置TCP/UDP协议的扩展访问列表: rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表: rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表: rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]
如何设置网络防火墙的访问控制列表(ACL)?
网络防火墙是保护网络安全的重要工具,它通过设置访问控制列表(ACL)来限制网络流量,防止未经授权的访问和攻击。
本文将从什么是ACL、为何需要ACL以及如何设置ACL三个方面来讨论如何设置网络防火墙的访问控制列表。
一、什么是ACL访问控制列表(ACL)是一种网络安全策略,用于控制网络流量的流动。
它通过规定哪些网络流量可以通过网络防火墙进入网络或离开网络,从而保护网络的安全。
ACL可以基于多个因素进行限制,例如源IP地址、目标IP地址、协议类型、源端口号、目标端口号等。
二、为何需要ACL1.控制访问权限:ACL可以限制特定IP地址或IP地址范围的访问权限,从而保护网络资源免受未经授权的访问。
2.防止网络攻击:ACL可以阻止恶意流量和入侵尝试,有效减少网络攻击的风险。
3.提高网络性能:通过限制特定流量的访问权限,可以减少网络拥堵和带宽占用,提高网络的响应速度和性能。
三、如何设置ACL1.了解网络拓扑:在设置ACL之前,需要全面了解网络拓扑结构和网络设备的配置。
确定哪些设备需要受ACL控制,并了解它们之间的通信需求。
2.确定ACL的目标:在设置ACL之前,需要明确ACL的目标和限制范围。
例如,限制特定IP地址或IP地址范围的访问权限,限制特定协议或端口号的流量等。
3.编写ACL规则:根据确定的目标和限制范围,编写ACL规则。
ACL规则应包括源IP地址、目标IP地址、协议类型、源端口号、目标端口号等信息。
根据具体需求,可以编写多条规则,实现更精细的访问限制。
4.优化ACL规则:编写ACL规则后,需要对规则进行优化。
避免使用过于宽泛的规则,可以根据实际需求进行调整和优化。
同时,还需要将最常用的规则放在前面,以提高访问控制的效率。
5.配置ACL规则:配置ACL规则时,需要将规则应用到网络设备上。
根据网络设备的型号和配置界面,选择合适的方式进行配置。
通常可以通过命令行界面或图形界面来进行配置。
6.测试和监控ACL:在配置ACL后,需要进行测试和监控。
访问控制列表acl实验报告
访问控制列表acl实验报告访问控制列表(ACL)实验报告引言:访问控制列表(ACL)是一种用于网络设备和操作系统中的安全机制,用于限制用户或进程对资源的访问权限。
通过ACL,管理员可以精确地控制谁可以访问特定的资源,以及访问的方式和权限。
本实验报告将介绍ACL的基本概念、实验目的、实验环境、实验步骤和实验结果,并对实验过程中遇到的问题和解决方案进行讨论。
一、ACL的基本概念ACL是一种由许多规则组成的表格,每个规则都包含一个或多个条件和一个动作。
条件可以基于源IP地址、目标IP地址、源端口、目标端口、协议类型等进行匹配。
动作可以是允许或拒绝访问。
ACL通常应用于网络设备(如路由器和交换机)或操作系统的防火墙功能,用于过滤和控制进出网络的流量。
二、实验目的本实验的目的是通过配置和测试ACL,了解ACL的工作原理、应用场景和配置方法。
通过实验,我们可以深入理解ACL对网络安全的重要性,以及如何使用ACL来保护网络资源免受未经授权的访问。
三、实验环境本实验使用了一台配置了Cisco IOS操作系统的路由器作为实验设备。
路由器上有多个接口,分别连接到不同的网络。
我们将通过配置ACL来控制不同网络之间的通信流量。
四、实验步骤1. 配置ACL规则:首先,我们需要确定要保护的资源和规定访问权限。
根据实验需求,我们可以创建多个ACL规则,每个规则对应一个特定的访问需求。
例如,我们可以创建一个规则,允许内部网络的用户访问外部网络的HTTP服务,但禁止访问其他协议。
通过配置源IP地址、目标IP地址和协议类型等条件,我们可以精确地定义ACL规则。
2. 应用ACL规则:一旦我们创建了ACL规则,就需要将其应用到适当的接口或设备上。
在路由器上,我们可以将ACL规则应用到特定的接口,以控制从该接口进出的流量。
通过配置入站和出站的ACL规则,我们可以限制流量的方向和访问权限。
3. 测试ACL效果:配置完成后,我们需要测试ACL的效果,确保ACL规则能够正确地过滤和控制流量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、访问控制列表的作用。
作用就是过滤实现安全性具网络可有管理性
一、过滤,经过路由器的数据包
二、控制增长的网络IP数据
2、访问控制列表的分类及其特性。
一、标准列表
只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。
访问控制别表具有方向性,是以路由器做参照物,来定义out或者in
out:是在路由器处理完以后,才匹配的条目
in:一进入路由器就匹配,匹配后在路由。
编号范围为:1-99
二、扩展列表
可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上,
接口为距源最近的接口,方向为in,可以审核三层和四层的信息。
编号范围:100-199
如何判断应使用哪种类型的访问控制列表
标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。
)
扩展:针对源地址,允许或拒绝源去往特定的目的。
或者在涉及四层信息的审核时通常都会采用扩展列表。
(当源确定下来,具有单个源可有多个目的地址时。
)
编号的作用:
a,标识表的类型
b,列表的名字
1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。
2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。
4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。
5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.
6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.
7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包
8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。
9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有)
10.在某个接口,某个方向上只能调用一个列表。
11.访问控制列表不能过滤自身产生的数据。
书写列表的步骤:
1.选择要应用的列表类型
2.选择要书写的路由器并书写列表
3.选择路由器的接口来调用列表实现过滤
4.选择应用列表的方向
标准访问控制列表的配置
1.回顾标准列表的特性
2.标准列表的配置语法(通配符)
配置的过程中,熟记配置规则
1.标准列表:只基于ip协议工作,控制数据包的源地址
应用过程中:距目的地址近的路由器和接口
2.配置列表的步骤
1)选择列表的类型
2)选择路由器(是要在哪个上路由器上配置列表)
3.)选择要应用的接口(在哪个接口上调用)
4)判断列表的方向性(in和out:相对路由器)
3.标准列表的配置语法
1)在全局模式下,书写规则
access-list 列表编号permit/deny 源网络地址源地址的通配符
列表的编号:1-99 和1300 - 1999
通配符:零所对应的位即为精确匹配位。
通常所讲的反子掩码
255.255.255.0 == 通配符=0.0.0.255
255.255.255.255
- 正掩码
———————————
反子网掩码
2)调用列表
控制数据包经过接口时过滤
在接口模式下
ip access-group 列表编号方向
主机ip 0.0.0.0 = host 主机ip
0.0.0.0 255.255.255.255 = any
实例:允许1.0 允许3。
2
1.拒绝1.0 拒绝3.2
access-list 1 deny 192.168.1.0 0.0.0.255
access-list 1 deny 192.168.3.2 0.0.0.0
2.拒绝1.0 允许1.2
1.可以审核数据包的源地址和目的地址及协议(端口)
2.编号范围为100-199.
3.针对源地址,允许源去往特定的目的,或去特定的目的做什么。
4.应用过程中,应靠近源或组源,方向为in
扩展列表的配置语法
第一,定义列表
access-list 列表编号permit/deny 大协议源地址源的通配符目的地址目的通配符eq 小协议或端口
列表编号:100-199
大协议:ip /tcp/udp/icmp/其他的路由协议
当:只针对源地址和目的地址来做策略时,大协议通常ip。
当:涉及到具体做什么的时候,才会选择其他协议。
eq:是等于的意思
小协议和端口:指的是一些应用协议,属于应用层,或者是传输层的端口,通常1-1024端口会对应一个具体应用协议
例如:http 80 ftp=20,21。