ACL访问控制列表——标准访问控制列表(理论+实操)
发表于:2024-11-11 作者:千家信息网编辑
千家信息网最后更新 2024年11月11日,ACL(access control list)访问控制列表概述访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。访问控制是网络安全防范和保护
千家信息网最后更新 2024年11月11日ACL访问控制列表——标准访问控制列表(理论+实操)
ACL(access control list)访问控制列表概述
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
常用的TCP端口号及其功能
| 端口 | 协议 | 说明 |
|---|---|---|
| 21 | FTP | FTP服务器所开放的控制端口,20端口是ftp的数据连接,21端口是ftp的控制连接 |
| 23 | TELNET | 用于远程登录,可以远程控制管理目标计算机 |
| 25 | SMTP | SMTP服务器开放的端口,用于发送邮件 |
| 80 | HTTP | 超文本传输协议,https 443安全 |
| 110 | POP3 | 用于邮件的接受 |
| 143 | IAMP | 用于发送邮件 |
| 22 | SSH | 密文远程登录 |
| 68,67 | DHCP | IP地址自动分配,客户端请求用的67,服务器回应用的68 |
| 53 | DNS | 域名解析 |
| 3389 | RDP | 远程桌面 |
常用的UDP端口号及其功能
| 端口 | 协议 | 说明 |
|---|---|---|
| 69 | TFTP | 简单文件传输协议 |
| 111 | RPC | 远程过程调用 |
| 123 | NTP | 网络时间协议 |
访问控制列表基于三层(IP)和四层(端口,协议)进行过滤(应用防火墙,七层过滤)
- 读取第三层,第四层包头信息
- 根据预先定义好的规则对包进行过滤
访问控制列表在接口应用的方向(与数据方向有关)
- 出:已经过路由器的处理,正离开路由器接口的数据包
- 入:已经到达路由器接口的数据包,将被路由器处理
访问控制列表的处理过程
访问控制列表的处理流程(自上而下,逐条匹配,默认隐含拒绝所有)
白名单
允许 1.2
允许 1.3
拒绝所有(可以不写)黑名单
拒绝 1.2
拒绝 1.3
允许所有(必须写)
标准访问控制列表
- 基于源IP地址过滤数据包
- 标准访问控制列表的访问控制列表号1~99
扩展访问控制列表
- 基于源IP地址,目的IP地址,指定协议,端口和标志来过滤数据包
- 扩展访问控制列表的访问控制列表号是100~199
命名访问控制列表
- 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
ACL配置命令
1,创建ACL
access-list access-list-number { permit | deny} source [source-wildcard ] //permit表示允许数据包通过 ,deny表示拒绝数据包通过 ,source [ source-wildcard ]只对源IP进行控制+(反子网掩码)示例
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0//允许192.168.1.0/24和主机192.168.2.2的流量通过2,删除ACL
no access-list access-list-number //直接删除ACL列表号3,隐含的拒绝语句
access-list 1 deny 0.0.0.0 255.255.255.255 //拒绝所有ip4,关键字
host //host后面可跟ip地址,免去子网掩码的输入any //等同于拒绝所有ip5,将ACL应用于接口
ip access-group access-list-number {in | out} //控制方最近的端口,in是进入out是输出6,在接口上取消ACL的应用
no ip access-group access-list-number {in | out}ACL标准配置示例
需求
禁止192.168.10.2访问pc3
双击配置sw交换机
sw#conf t ##进入全局模式sw(config)#no ip routing ##关闭路由功能sw(config)#int f1/0 ##进入接口f1/0sw(config-if)#speed 100 ##因为和路由相连所以要配置双工模式和速率sw(config-if)#duplex full双击配置R1路由
R1#conf t ##全局模式R1(config-if)#int f0/1 R1(config-if)#ip add 192.168.10.1 255.255.255.0 ##配置网关R1(config-if)#no shut ##开启R1(config-if)#int f0/0R1(config-if)#ip add 192.168.20.1 255.255.255.0 ##配置网关R1(config-if)#no shut ##开启配置三台pc机的ip地址及网关,测试能否相互ping通
PC1> ip 192.168.10.2 192.168.10.1 PC2> ip 192.168.10.3 192.168.10.1PC3> ip 192.168.20.2 192.168.20.1打开R1配置访问控制列表
R1#conf t ##全局模式R1(config)#access-list 1 deny host 192.168.10.2 ##禁止10.2访问R1(config)#access-list 1 permit any ##允许所有(必须写) R1(config)#do show access-list ##查看访问控制列表Standard IP access list 1 10 deny 192.168.10.2 20 permit anyR1(config)#int f0/1R1(config-if)#ip access-group 1 in ##应用于接口f0/1测试10.2的机器能不能访问pc3
谢谢阅读!!!
控制
数据
端口
路由
配置
接口
地址
路由器
应用
网络
标准
模式
处理
安全
全局
功能
服务器
网关
邮件
服务
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
vb.ne数据库放入图片
苹果的网络安全在哪里设置
音乐频道网络安全
如何获得阿里云服务器账号
绵阳学习软件开发
高校网络安全管理规定
抖音为啥要建立数据库
服务器映射到公网安全
美亚柏科网络安全龙头
无线网络技术导论期末
网络安全活动相关信息
数据库 质疑
网络安全模型中的分析
建立数据库中表
网络安全主持稿结尾
浙江交友软件开发定制
学校网络安全宣传标语大全
进入青少年网络安全课
上海嘉定网络技术公司招聘
新华三网络安全产品经理待遇
阿里云服务器无法启动
大安网络安全产业
惠州有软件开发的工作么
湖北通信软件开发参考价格
联想服务器管理接口无法访问
维护公司网络安全需要多少钱
易语言怎么多用户连接数据库
前端学数据库有啥用
中国全文数据库期刊查询
基层医院信息网络安全
