访问控制列表概述
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
规则的数据包。例如:财务处的数据库服务器上的数据具有机密性,不是任何人都可以访问的, 此时需要用访问控制列表定义特定主机才可以访问财务处数据库服务器,控制列表以外的主机访 问此服务器时,数据包会被交换设备丢弃。
(2)控制网络流量,提高网络性能。将访问控制列表应用到交换设备接口,对经过接口的数 据包进行检查,并根据检查的结果决定数据被转发还是被丢弃,达到控制网络流量,提高网络性 能的目的。例如:通过访问控制列表限制用户访问大型的P2P站点,以及过滤常用P2P软件使用 的端口等方式达到限制网络流量的目的。
访问控制列表的类型
2.3 二层ACL: 二层ACL适用于IPv4和IPv6,既支持过滤IPv4报文又支持过滤IPv6报文。二层ACL使用报文
的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。编号范 围为4000~4999。
访问控制列表的类型
2.4 用户定义ACL: 用户定义ACL适用于IPv4和IPv6,既支持过滤IPv4报文又支持过滤IPv6报文。用户定义ACL
2.访问控制列表的类型
访问控制列表的类型
按照功能分类,ACL可分为基本ACL、高级ACL、二层ACL、自定义ACL、基本ACL 6、高级 ACL 6等,每类ACL编号的取值范围不同。
访问控制列表的类型
2.1 基本ACL: 基本ACL主要适用于IPv4,仅支持过滤IPv4报文。基本ACL使用IPv4报文的源IP地址来定义
访问控制列表的主要作用
1.1 访问控制列表的主要作用: 条件:条件基本上是一组规则,定义要在数据包内容中查找什么来确定数据包是否匹配,每
条访问控制列表语句中只可以列出一个条件,但可以将访问控制列表语句组合在一起形成一个列 表或策略,语句使用编号或名称来分组。
操作:当访问控制列表语句条件与比较的数据包内容匹配时,可以采取允许和拒绝两个操作。 当访问控制列表语句中找到一条匹配条件时,则不会再匹配其他条件。
又可以使用目的地址、端口号、协议类型和其他参数来定义规则。编号范围为3000~3999。
3.访问控制列表的匹配顺序
访问控制列表的匹配顺序
一个ACL可以由多条规则语句组成,这些规则可能存在重复或矛盾的地方。例如,在一个 ACL中先后配置以下两条规则: rule permit source 172.16.0.0.0 0.0.255.255 (表示允许源IP地址为172.16.0.0/16网段地址 的报文通过)
规则。编号范围为2000~2999。
访问控制列表的类型
2.2 高级ACL: 高级ACL主要适用于IPv4,仅支持过滤IPv4报文。高Hale Waihona Puke ACL既可以使用IPv4报文的源地址,
又可以使用目的地址、端口号、协议类型和其他参数来定义规则,这给管理员提供了更大的灵活 性和控制权。编号范围为3000~3999。
访问控制列表的主要作用
1.1 访问控制列表的主要作用: (3)控制网络病毒传播。此功能是访问控制列表使用最广泛的功能。例如:蠕虫病毒在局域
网传播的常用端口为TCP的135、139和445,通过访问控制列表过滤目的端口为TCP协议135、 139和445的数据包,可以控制病毒的传播。
访问控制列表语句具有两个组件:一是条件,另一个是操作。条件是用于区别数据包内容, 当为条件找到匹配时,则会采取对应操作,允许或拒绝。
号越小越容易被匹配。 如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。 如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL 内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL的匹配顺序是息息相关的。
访问控制列表的匹配顺序
3.1 ACL匹配顺序: 配置顺序(config模式)和自动排序(auto模式)。缺省的ACL匹配顺序是config模式。
访问控制列表的匹配顺序
3.1 ACL匹配顺序: (1)配置顺序。配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编
访问控制列表通常在三层设备上配置(三层交换机,路由器),它由一系列语句组成,这些 语句主要包括匹配条件和采取的动作(允许或禁止)两个部分。访问控制列表应用在路由器或交 换机的接口上,通过匹配数据包信息与访问控制列表参数来决定允许还是拒绝数据包通过某个接 口。
访问控制列表的主要作用
1.1 访问控制列表的主要作用: (1)安全控制。允许一些符合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配
rule deny source 172.16.1.0.0 0.0.0.255 (表示拒绝源IP地址为172.16.1.0/24网段地址 的报文通过,该网段地址范围小于172.16.0.0/16网段范围)
其中,permit规则与deny规则是相互矛盾的。对于源IP为172.16.100.100的报文,如果系 统先将permit规则与其匹配,则该报文会得到允许通过。相反,如果系统先将permit规则与其匹 配,则该报文会得到允许通过。
使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。编号范围为5000~5999。
访问控制列表的类型
2.5 基本ACL 6: 基本ACL主要适用于IPv6,仅支持过滤IPv6报文。基本ACL使用IPv6报文的源IP地址来定义
规则。编号范围为2000~2999。
访问控制列表的类型
2.6 高级ACL 6: 高级ACL 6主要适用于IPv6,仅支持过滤IPv6报文。高级ACL6既可以使用IPv6报文的源地址,
《局域网交换机和路由器的配置与管理》
网络互联设备基础实验
访问控制列表概述
• 1.访问控制列表的主要作用 • 2.访问控制列表的类型 • 3.访问控制列表的匹配顺序 • 4.访问控制列表的配置命令
1.访问控制列表的主要作用
访问控制列表的主要作用
访问控制列表使用包过滤技术,通过检查数据包的源端口、目的端口、源地址、目的地址等 内容,根据检查的结果,确定允许或禁止哪些数据包通过,以达到维护网络安全、限制网络流量 等目的。
(2)控制网络流量,提高网络性能。将访问控制列表应用到交换设备接口,对经过接口的数 据包进行检查,并根据检查的结果决定数据被转发还是被丢弃,达到控制网络流量,提高网络性 能的目的。例如:通过访问控制列表限制用户访问大型的P2P站点,以及过滤常用P2P软件使用 的端口等方式达到限制网络流量的目的。
访问控制列表的类型
2.3 二层ACL: 二层ACL适用于IPv4和IPv6,既支持过滤IPv4报文又支持过滤IPv6报文。二层ACL使用报文
的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。编号范 围为4000~4999。
访问控制列表的类型
2.4 用户定义ACL: 用户定义ACL适用于IPv4和IPv6,既支持过滤IPv4报文又支持过滤IPv6报文。用户定义ACL
2.访问控制列表的类型
访问控制列表的类型
按照功能分类,ACL可分为基本ACL、高级ACL、二层ACL、自定义ACL、基本ACL 6、高级 ACL 6等,每类ACL编号的取值范围不同。
访问控制列表的类型
2.1 基本ACL: 基本ACL主要适用于IPv4,仅支持过滤IPv4报文。基本ACL使用IPv4报文的源IP地址来定义
访问控制列表的主要作用
1.1 访问控制列表的主要作用: 条件:条件基本上是一组规则,定义要在数据包内容中查找什么来确定数据包是否匹配,每
条访问控制列表语句中只可以列出一个条件,但可以将访问控制列表语句组合在一起形成一个列 表或策略,语句使用编号或名称来分组。
操作:当访问控制列表语句条件与比较的数据包内容匹配时,可以采取允许和拒绝两个操作。 当访问控制列表语句中找到一条匹配条件时,则不会再匹配其他条件。
又可以使用目的地址、端口号、协议类型和其他参数来定义规则。编号范围为3000~3999。
3.访问控制列表的匹配顺序
访问控制列表的匹配顺序
一个ACL可以由多条规则语句组成,这些规则可能存在重复或矛盾的地方。例如,在一个 ACL中先后配置以下两条规则: rule permit source 172.16.0.0.0 0.0.255.255 (表示允许源IP地址为172.16.0.0/16网段地址 的报文通过)
规则。编号范围为2000~2999。
访问控制列表的类型
2.2 高级ACL: 高级ACL主要适用于IPv4,仅支持过滤IPv4报文。高Hale Waihona Puke ACL既可以使用IPv4报文的源地址,
又可以使用目的地址、端口号、协议类型和其他参数来定义规则,这给管理员提供了更大的灵活 性和控制权。编号范围为3000~3999。
访问控制列表的主要作用
1.1 访问控制列表的主要作用: (3)控制网络病毒传播。此功能是访问控制列表使用最广泛的功能。例如:蠕虫病毒在局域
网传播的常用端口为TCP的135、139和445,通过访问控制列表过滤目的端口为TCP协议135、 139和445的数据包,可以控制病毒的传播。
访问控制列表语句具有两个组件:一是条件,另一个是操作。条件是用于区别数据包内容, 当为条件找到匹配时,则会采取对应操作,允许或拒绝。
号越小越容易被匹配。 如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。 如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL 内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL的匹配顺序是息息相关的。
访问控制列表的匹配顺序
3.1 ACL匹配顺序: 配置顺序(config模式)和自动排序(auto模式)。缺省的ACL匹配顺序是config模式。
访问控制列表的匹配顺序
3.1 ACL匹配顺序: (1)配置顺序。配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编
访问控制列表通常在三层设备上配置(三层交换机,路由器),它由一系列语句组成,这些 语句主要包括匹配条件和采取的动作(允许或禁止)两个部分。访问控制列表应用在路由器或交 换机的接口上,通过匹配数据包信息与访问控制列表参数来决定允许还是拒绝数据包通过某个接 口。
访问控制列表的主要作用
1.1 访问控制列表的主要作用: (1)安全控制。允许一些符合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配
rule deny source 172.16.1.0.0 0.0.0.255 (表示拒绝源IP地址为172.16.1.0/24网段地址 的报文通过,该网段地址范围小于172.16.0.0/16网段范围)
其中,permit规则与deny规则是相互矛盾的。对于源IP为172.16.100.100的报文,如果系 统先将permit规则与其匹配,则该报文会得到允许通过。相反,如果系统先将permit规则与其匹 配,则该报文会得到允许通过。
使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。编号范围为5000~5999。
访问控制列表的类型
2.5 基本ACL 6: 基本ACL主要适用于IPv6,仅支持过滤IPv6报文。基本ACL使用IPv6报文的源IP地址来定义
规则。编号范围为2000~2999。
访问控制列表的类型
2.6 高级ACL 6: 高级ACL 6主要适用于IPv6,仅支持过滤IPv6报文。高级ACL6既可以使用IPv6报文的源地址,
《局域网交换机和路由器的配置与管理》
网络互联设备基础实验
访问控制列表概述
• 1.访问控制列表的主要作用 • 2.访问控制列表的类型 • 3.访问控制列表的匹配顺序 • 4.访问控制列表的配置命令
1.访问控制列表的主要作用
访问控制列表的主要作用
访问控制列表使用包过滤技术,通过检查数据包的源端口、目的端口、源地址、目的地址等 内容,根据检查的结果,确定允许或禁止哪些数据包通过,以达到维护网络安全、限制网络流量 等目的。