标准访问控制列表
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 通过分析IP数据包包头信息,进行判断(这里IP所承载的 上层协议为TCP)
IP报头
TCP报头
数据
源地址 目的地址
源端口 目的端口
访问控制列表利用这4个元素 定义的规则
基于ACL的包过滤技术
ACL的概念 ACL的分类 标准ACL的配置
• 对进出的数据包逐个过滤,丢弃或允许通过 • ACL应用于接口上,每个接口的出入双向分别过滤 • 仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤
• ACL的工作原理
– 读取第三层及第四层包头中的信息 – 根据预先定义好的规则对包进行过滤
访问控制列表的作用2-1
ACL的概念 ACL的分类 标准ACL的配置
• 提供网络访问的基本安全手段 • 可用于QoS,控制数据流量 • 控制通信量
访问控制列表的作用2-2
ACL的概念 ACL的分类 标准ACL的配置
No
Deny 匹配最后一条规则
Permit
通过
No
Default Deny
Default Permit
检查默认规则设定
数据包出站
ACL的概念
ACL的分类 标准ACL的配置
过渡页
Transition Page
标准访问控制列表的配置
• 创建标准ACL • 在接口上应用访问列表 • 标准IP ACL应用
通过
No
Default Deny
Default Permit
检查默认规则设定
数据包进入 转发流程
出站包过滤工作流程
ACL的概念 ACL的分类 标准ACL的配置
数据包到达 出接口
是否配置
出方向ACL
No
包过滤
Yes
Deny 匹配第一条规则 Permit
No Deny 匹配第二条规则 Permit
丢弃
从172.16.3.0/24来的,到 172.16.4.13的, 使用TCP协议, 利用HTTP访问的 数据包不能通过!
路由器
标准访问控制列表-规则举例
ACL的概念 ACL的分类 标准ACL的配置
请查看A组规则和B组规则,并告诉说出两组规则到底谁能离开教室: 注意必须按照从上往下执行,匹配后则执行。
标准访问控制列表
访问控制列表的概念
• 访问控制列表的概念 • 访问控制列表的作用 • 访问控制列表工作原理 • 包过滤工作流程
过渡页
Transition Page
2
什么是访问控制列表
ACL的概念 ACL的分类 标准ACL的配置
• 访问控制列表(ACL)
– 应用于路由器接口的指令列表 ,用于指定哪些数据包可以接 收转发,哪些数据包需要拒绝
18
创建标准ACL
ACL的概念 ACL的分类 标标准准AACCLL的的配配置置
• 创建标准ACL • 全局视图
Router(config)#access-list access-list-number deny/permit remark source-address [source-wildcard] [log]
入方向过滤 接口 出方向过滤
路由转发 进程
出方向过滤 接口
入方向过滤
ACL的概念
ACL的分类 标准ACL的配置
过渡页
Transition Page
ACL的分类
• 标准访问控制列表 • 扩展访问控制列表
9
ACL的概念 ACL的分类 标准ACL的配置
标准
根据源地址
控制数据包的生死
扩展
根据源、目的地址;端口号;协议
• 参数: • access-list-number :ACL编号。整数,取值范围1-99 或 1300-1999。 • deny/permit :permit表示匹配条件时允许数据包通过;
ACL执行时从上往下依次执行 因此最精确的条目放在最前面!!!
入站包过滤工作流程
数据包入站
ACL的概念 ACL的分类 标准ACL的配置
是否配置 入方向ACL
No
包过滤
Yes
Deny 匹配第一条规则 Permit
No Deny 匹配第二条规则 Permit
丢弃
No
Deny 匹配最后一条规则
Permit
主机A
人力资源网络
使用ACL阻止某指定网络访问另一指定网络
主机B 研发网络
访问控制列表工作原理2-1
百度文库
ACL的概念 ACL的分类 标准ACL的配置
• 实现访问控制列表的核心技术是包过滤
内部网络
访问控制列表 Internet
办事处
公司总部
未授权用户
访问控制列表工作原理2-2
ACL的概念 ACL的分类 标准ACL的配置
控制数据包的生死
其他的还有命名ACL、标准MAC ACL、时间控制ACL、以太协 议 ACL 、IPv6 ACL等
ACL的概念 ACL的分类 标准ACL的配置
• 利用数字标识访问控制列表 • 利用数字范围标识访问控制列表的种类
列表的种类 标准访问控制列表 扩展访问控制列表
数字标识的范围 1-99, 1300-1999 100-199,2000-2699
A组: 规则1 下课不允许1522221班的同学离开教室 规则2 下课允许1522221班的男生离开教室 规则3 下课不允许1522221班的王五离开教室 规则4 下课允许1522221班的李四离开教室 规则5 下课不允许1522221班的张三离开教室
B组: 规则1 下课不允许1522221班的王五离开教室 规则2 下课不允许1522221班的男生离开教室 规则3 下课允许1522221班的李四离开教室 规则4 下课不允许1522221班的张三离开教室 规则5 下课不允许1522221班的同学离开教室
标准访问控制列表
ACL的概念 ACL的分类 标准ACL的配置
从202.110.10.0/24来 的数据包可以通过!
从192.110.10.0/24来 的数据包不能通过!
路由器
扩展访问控制列表
ACL的概念 ACL的分类 标准ACL的配置
根据源地址、目的地址; 端口号;协议
控制数据包的生死
从192.16.1.0/24来的,到 192.16.4.13的, 使用TCP协议, 利用FTP访问的 数据包可以通过!
你觉得哪种规则最合理呢?
标准访问控制列表-规则举例
ACL的概念 ACL的分类 标准ACL的配置
这样的规则你觉得合理吗?
规则1 下课不允许1522221班的王五离开教室 规则2 下课允许1522221班的李四离开教室 规则3 下课不允许1522221班的张三离开教室 规则4 下课允许1522221班的男生离开教室 规则5 下课不允许1522221班的同学离开教室