Lista de controle de acesso ACL de segurança TCP / IP

Others 2020-09-22 14:54:02 views: null

Um, visão geral da ACL

1.1 Lista de controle de acesso

(Lista de controle de acesso)

Nível de importância: alto!

1.2 A função da ACL

ACL é uma tecnologia de filtragem de pacotes!

1.3 Cenários de aplicação ACL

No roteador, no firewall

O roteador é denominado ACL!

Geralmente chamadas de políticas em firewalls! A política é uma versão atualizada do ACL, que pode ser filtrada com base em IP, porta, protocolo e dados da camada de aplicativo

2. Como filtrar ACL?

ACL é para filtrar pacotes de dados com base no endereço IP e no número da porta no pacote de dados!

Três, classificação ACL

3.1 ACL padrão

Padrão --- Padrão

Tabela No: 1-99 ou 1300-1999

Características: Filtre apenas os pacotes com base no endereço IP de origem!

 

3.2 ACL estendida

Estendido --- Estendido

Tabela No: 100-199 ou 2000-2699

Características: Pode filtrar pacotes com base no endereço IP de origem, endereço IP de destino, número da porta de destino, protocolo, etc.!

 

Quatro, princípio de filtragem ACL

4.1 Dicas de Fei Ge para configurar ACL

1)先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断ACL可以写在哪些路由器上!
2)打开那台路由器,开始编写ACL过滤规则!
3)最后将ACL表应用到某个接口的某个方向才能生效!

4.2 Princípio da ACL

1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效!  
2)一个接口的一个方向上只能应用一张表。
3)在所有ACL表的最后都有一条隐藏的拒绝所有条目(大boss) !
4)在匹配ACL时,是严格自上而下的匹配每一条的!  匹配成功,则完成动作,没匹配成功,则继续匹配下一条,如全部不匹配,则直接丢弃拒绝通过!(一定要注意书写的先后顺序!!)
5)标准ACL因为只能基于源IP对包进行过滤,so建议写在靠近目标端的地方!
6) 一个ACL编写完成后,默认情况下,不能删除某一条,也不能往中间插入新的条目,只能继续往最后追加新的条目!

4.3 Diagrama de processo do princípio de explicação do ACL

Cinco, comandos ACL

5.1 Comandos ACL padrão

conf  t
access-list  表号  permit/deny  条件
Nº: 1-99
condições: fonte IP + Máscara de sub-rede trans
trans Máscara de sub-rede: 0.0.0.255 0 representante de uma correspondência exata e 255 não precisa corresponder!

Por exemplo:

access-list  1  deny  192.168.1.0  0.0.0.255        # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  0.0.0.0  255.255.255.255    # 允许所有网段
access-list  1  deny  192.168.2.1  0.0.0.0          # 拒绝一台主机/拒绝一个人

simplificar:

0.0.0.0  255.255.255.255  == any
192.168.2.1  0.0.0.0   ==  host  192.168.2.1

Após simplificação:

access-list  1  deny  192.168.1.0  0.0.0.255              # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  any                               # 允许所有网段
access-list  1  deny  host  192.168.2.1                   # 拒绝一台主机/拒绝一个人

5.2 Comandos ACL estendidos

conf  t
access-list 表号 permit/deny  协议  源IP 反掩码 目标IP 反掩码  [eq  端口号]
Número da tabela: 100-199
protocolos: TCP / UDP / IP / ICMP ( ao escrever um número de porta, escreva apenas tcp ou udp)
Notas: o protocolo ICMP é o protocolo usado pelo comando ping, o protocolo ICMP é uma detecção de protocolo de rede , ping outros , É gerar um pacote de detecção ICMP e enviá-lo para a outra parte, e então a outra parte me responde com um pacote de detecção ICMP, o que significa que o ping foi bem-sucedido!
[]: Opcional

O seguinte caso:

conf  t
access-list  101  permit  tcp  192.168.1.0  0.0.0.255  192.168.6.1  0.0.0.0   eq  80
access-list  101  deny    ip   192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  101  permit  ip   any  any

Outro caso:

access-list  102  deny  icmp  192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  102  permit  ip  any  any

Aqui está outro caso:

acc  103  deny  tcp  192.168.1.0  0.0.0.255  host  192.168.6.1   eq  23
acc  103  permit  ip  192.168.1.0  0.0.0.255   host  192.168.6.1
acc  103  deny  ip  any  any

Aqui está outro caso:

acc  104  deny  ip  host  192.168.1.1  any
acc  104  permit  ip  any  any

5.3 Aplicar tabela ACL à interface

int f0/1
    ip access-group 102 in/out
    exit

5.4 Ver e listar todas as tabelas ACL

mostrar lista de acesso IP

Seis, denominado ACL

6.1 O método de criação de uma tabela com acl nomeado

conf t

lista de acesso IP estendida 表 名

Comece a editar cada entrada de permitir / negar

Você pode sair após escrever exit!

6.2 Benefícios de nomear ACLs

Use o formato ACL nomeado para excluir um determinado ou insira um certo!

Por exemplo:

R1(config)#do sh ip acce
Extended IP access list 120
    10 deny icmp any any
    20 deny udp 192.168.1.0 0.0.0.255 any eq domain
    30 permit ip any any

Você pode excluir um item, se precisar excluir o segundo item, faça o seguinte:

R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit

Os resultados são os seguintes:

R1(config)#do sh ip acce
Extended IP access list 120
    10 deny icmp any any
    30 permit ip any any
R1(config)#

Nota: Se você precisar inserir um determinado item, será necessário adicionar um número antes do item!

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Acho que você gosta

Origin blog.csdn.net/GUDUzhongliang/article/details/108644536
Recomendado
Clasificación
Diario
Más
2024-05-28(0)
2024-05-27(0)
2024-05-26(0)
2024-05-25(0)
2024-05-24(11)
2024-05-23(35)
2024-05-22(9)
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)

Code World

© 2018 codetd.com