码迷,mamicode.com
首页 > 数据库 > 详细

ACL(access control list)访问控制列表(理论篇)

时间:2019-10-14 01:12:12      阅读:145      评论:0      收藏:0      [点我收藏+]

标签:作用   分类   复用   协议   des   image   基于   提高   参数   

ACL(access control list):访问控制列表(多用于路由、三层交换中建立包过滤防火墙)

一、ACL分类

1、标准型访问控制列表
(1)只能基于源IP 地址过滤
(2)该种列表的访问控制列表号为1~99
2、扩展访问控制列表
(1)基于源IP、目的IP、指定协议、端口、标志过滤数据
(2)该种列表的访问控制列表号为100~199
3、命名访问控制列表——包含标准访问和扩展访问
(1)该种列表允许在标准和扩展列表中使用“名称代替表号”

二、过滤参数

1、访问控制列表基于三层(基于IP) 四层(基于端口、协议)进行过滤
2、应用防火墙,基于七层进行过滤

三、ACL作用

1、ACL根据人为定义好的规则对数据包进行过滤

四、白名单 黑名单

匹配流程图:
技术图片

技术图片

匹配规则:自上而下所有,逐条匹配,默认隐含拒绝所有

五、配置

1、标准访问控制列表配置
(1)创建ACL

access - list  access-list-number  {permit | deny}  source 【source-wildcard】

access-list 1 deny any :拒绝所有
access-list-number :列表号(1—99)
source[source-wildcard]:源IP+子网掩码反码
(2)删除ACL

no  access - list  access-list-number

(3)将ACL应用于端口

ip  access-group  access-list-number  { in | out }

(4)取消ACL应用在端口

no  ip  access-group  access-list-number  { in | out }

TIP : ACL的访问控制列表in口大部分在离限制方近的一端

2、扩展访问控制列表
(1)创建ACL

access - list  access-list-number  {permit | deny}  protocol  { source   source-wildcard  destination  destination-wildcard }  【 operator  operan】

protocol:协议名称(TCP、UDP、 ICMP........)
source-wildcard destination destination-wildcard:源IP、掩码反码和目标IP、掩码反码
operator operan:服务的端口或者名字(80/www服务)
(2)删除ACL

no access - list  access-list-numbe

(3)将ACL应用于端口

ip  access-group  access-list-number  { in | out }

(4)在接口上取消ACL的应用

no  ip  access-group  access-list-number  { in | out }

TIP:ip包含所有协议
any any:源IP 、目标IP

拓展:
1、NAT地址转换:一个私网转换为一个公网地址
2、特殊形式
PAT:多个私网转换为一个公网地址 (端口多路复用)
作用:缓解了可用IP地址资源的枯竭,提高了IP地址的利用率。

ACL(access control list)访问控制列表(理论篇)

标签:作用   分类   复用   协议   des   image   基于   提高   参数   

原文地址:https://blog.51cto.com/14475593/2442144

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!