访问控制列表ACL技术.ppt

核养训岗、于技职配交 心的练位网网术业置换 课一、进络络专院》机 程门能行管工业校是路 。专力职理程针网高由
络网 设 养 维 的 掌 管络 备 学 护 配 握 课 理搭 的 生 技 置 网 程 能建 装 的 术 、 络 目 力、 配 网 ， 管 设 标 。网 、 络 培 理 备
、
课 程 性 质 和 目 标 要 求
，；题，例兴能 教 ，解启趣力 学 突决发；强 做 出懂式 和 合 重原展 贪 一 点理开 玩
，
设设计计 依依据据
16
怎么
教
教 能 技技 原内
力 能能 理容
学 实 施 具
考 训培 讲导
体 过
核 练养 解入
程
5‘
20‘
30‘
20‘
5‘
17
怎么
内
教 设问情景导入
容 导
入
玩游戏时常 见情景
迫切想解决
某日自己正在玩游戏，同学A因看电影，
3
学什
么
影响 因素
教
课
专
学
程
业
内
性
岗
容
质
位
作
和
群
用
目
能
要
标
力
求
要
要
求
求
4
学什
么
影响 因素
网络设计师 网络管理员 布线工程师 网络工程师 系统工程师 网页设计师
网络设备配置与网络管理 网络访问控制能力
专 业 岗 位 群 能 力 要 求
能懂 力理
论 有
5
学什
么
影响 因素
业培业员师对络等器《
课 程 性 质
，

机
[source-wildcard]：数据包的源地址精的选P通PT 配符掩码(0.0.0.255等)
7
三、TCP/IP访问控制列表的配置
3、扩展IPACL配置：
格式：
access-list access-list-number {deny|permit}protocol
source-address source-wildcard [operator port]
199)
2、标准IPACL配置：
格式：
access-list access-list-number {deny|permit}source-address[source-wildcard]
access-list-number:ACL的号码(1-99)
{deny|permit}：拒绝或允许
source-address：数据包的源地址，可以是某个网络、某个子网、某个主
9
四、ACL应用
F0/1 172.16.1.1
Rt_A
192.168.1.1 S0/0(Dec)
S0/1 192.168.1.2
Rt_B
173.16.1.1 F0/0
172.16.1.2
172.16.1.3
1、路由器A的配置： Int e0 Ip address 172.16.1.1 255.255.255.0 No shutdown Exit Int s0 Ip addr 192.168.1.1 255.255.255.0 Clock rate 64000 No shutdown Exit Ip route 193.16.1.0 255.255.255.0 s0精选PPT
operator：指定逻辑操作：eq(等于)neq(不等于)gt(大于)lt(小于)range(范围)

7
出站访问控制操作过程〔续〕
站接口(jiē kǒu)
数据包
选择(xuǎnzé) 网络接口
Y
路由表 是否存在
该路由
？
N
接口 N
是否使用
ACL
？
Y
数据包 S0
出站接口
数据包丢弃(diūqì)桶
第八页，共五十二页。
8
出站访问控制操作过程〔续〕
站接口(jiē kǒu)
数据包
Y
路由表
是否存在
该路由
？
N
选择
Router(config-if)#
ip access-group access-list-number { in | out }
– 在特定接口上启用ACL – 设置(shèzhì)测试为入站〔in〕控制还是出站〔out〕控制 – 缺省为出站〔out〕控制
– “no ip access-group access-list-number〞 命令在特定接口禁用ACL
26
标准 ACL例2 (biāozhǔn)
172.16.3.0 E0
Non172.16.0.0
172.16.4.0
S0
E1
172.16.4.13
access-list 1 deny 172.16.4.13 0.0.0.0
拒绝(jùjué)特定主机的访问
第二十七页，共五十二页。
27
标准 ACL例2 (biāozhǔn)
© 2002, Cisco Sy第ste一ms页, I，nc共. A五ll r十igh二ts页re。served.
第7章 访问控制列表(liè ACL biǎo)
• ACL概述(ɡài shù) • ACL的工作过程 • ACL分类

11
定义ACL规则（高级访问控制列表）
参数说明如下五： 参数说明如下四： 参数说明如下三： 参数说明如下二： 参数说明如下一： 2.3 定义/删除高级访问控制列表的规则
注意： （acl-number 3000至3999） (ACL视图下) protocol：用协议名字或数字（协议号）表示的IP承载的 icmp-type：可选参数，指定ICMP报文的类型和消息码信息， destination-port：可选参数，指定UDP或者TCP报文的目 协议类型。数字范围为1～255；用名字表示时，可以选取： 仅仅在报文协议是ICMP的情况下有效。如果不配置，表示 source-port和destination-port参数仅仅 precedence precedence：可选参数，数据包可 destination：可选参数，指定ACL规则的目的地址信息。 [SYS-acl-aclnumber] rule [ rule-id ] { permit | deny 的端口信息，仅仅在规则指定的协议号是TCP或者UDP时有 任何ICMP类型的报文都匹配。 gre、icmp、igmp、ip、ipinip、ospf、tcp、udp等。 如果不配置，表示报文的任何目的地址都匹配。 sour| comment text } protocol [source sour-addr 在规则（rule）指定的协议号是TCP或者UDP 以依据优先级字段进行过滤。取值为0～7的数字， 效。如果不指定，表示TCP/UDP报文的任何目的端口信息都 icmp-message：ICMP包可以依据ICMP消息类型名字或ICMP source-port：可选参数，指定UDP或者TCP报文的源端口信 dest-addr：数据包的目的地址 [ dest-addr wildcard | wildcard 匹配。 时有效。| any ] destination 或名字，与参数tos互斥。 消息类型和码的名字进行过滤。 port1 [ port2 ] ] any ] [ source-port operator 息，仅仅在规则指定的协议号是TCP或者UDP有效。如果不 dest-wildcard：目的地址的反子网掩码，点分十进制表示； operator：可选参数。比较源或者目的地址的端口号的操 [ destination-port operator port1 [ port2 tos tos：可选参数，数据包可以依据服务类型 指定，表示TCP/UDP报文的任何源端口信息都匹配。 icmpicmp-type：ICMP包可以依据ICMP的消息类型进行过滤。取 或用“any”代表源地址0.0.0.0，反子网掩码 ] ] [ 作符。 icmp-message |icmp-type icmp-code} ] type { 字段进行过滤。取值为0～15的数字，或名字， 值为0～255的数字。 destination：可选参数，指定ACL规则的目的地址信息。 port1、port2：可选参数。TCP或UDP的端 255.255.255.255表示任何目的地址。高级访问控制列表的 port1、port2：可选参数。TCP或UDP的端口号，用名字或 [ precedence precedence ] [ tos tos ] [ time-range 如果不配置，表示报文的任何目的地址都匹配。 目的地址匹配原则与基本ACL中的源地址匹配原则一致。 icmp-code：依据ICMP的消息类型进行过滤的ICMP包也可以 与参数precedence互斥。 口号，除了数字还可以用名字表示。 time-name ] [ logging ] [ fragment ] [ vpn-instance 数字表示 依据消息码进行过滤。取值为0～255的数字。 vpn-instance-name]

扩展 IPv4 ACL
使用 ACL 限制调试输出的目的
• 调试命令是用以帮助检验网络运行并对其进行故障排除的工具。 • 使用某些调试选项时，输出显示的信息可能会超出所需或不易查看。 • 在生产网络中，调试命令会提供数量巨大的信息，这可能会导致网络
中断。 • 某些调试命令可能会与访问列表组合使用以限制输出，这样就只显示
▪ 如果数据包被接受，将检查路由表条目来确定目标接口。
▪ 如果目标存在路由表条目，数据包将被转发到送出接口，否则数据包将被丢弃。
▪ 接下来，路由器检查送出接口是否具有 ACL。如果存在 ACL，则按照列表中的语 句测试该数据包。如果数据包与某条语句匹配，则根据结果允许或拒绝该数据包 。
▪ 如果没有 ACL 或数据包被允许，则将数据包封装在新的第 2 层协议中，并从相 应接口转发到下一台设备。
检验 ACL
标准 IPv4 ACL
ACL 统计信息
标准 IPv4 ACL
使用标准 IPv4 ACL 保护 VTY 端口
• 在线路配置模式下配置的 access-class 命令可限制特定 VTY（接入思科 设备）与访问列表中地址之间的传入和传出连接。
标准 IPv4 ACL
验证 VTY 端口是否安全
▪ 默认情况下，路由器并未配置 ACL；因此，路由器不会默认过滤流量。
ACL 概述
ACL功能
▪ 限制网络流量以提高网络性能。 ▪ 提供基本的网络访问安全。 ▪ 控制路由更新的内容。 ▪ 在QoS实施中对数据包进行分类。 ▪ 定义IPSec VPN的感兴趣流量。 ▪ 定义策略路由的匹配策略。
A中 ACE 的顺序
扩展 IPv4 ACL
扩展 ACL
扩展 IPv4 ACL

第二步：把ACL应用到某一个接口（出站接 口或者入站接口）
9
10
4、通配符掩码的作用
通配符掩码是一个32比特的数字字符串，用点号 分成4个8位组，每个8位组包含8个比特。
在通配符掩码位中，0表示检查相应的位，1表示 忽略相应的位。
通配符掩码跟IP地址是成对出现的。在通配符掩 码的地址位使用1或0表明如何处理相应的IP地址 位。
扩展acl有一个最大的好处就是可以保护服务器例如很多服务器为了更好的提供服务都是暴露在公网上的这时为了保证服务正常提供所有端口都对外界开放很容易招来黑客和病毒的攻击通过扩展acl可以将除了服务端口以外的其他端口都封锁掉降低了被攻击的机率
访问控制列表 （ACL）
1
主要内容
一、ACL的基本原理 二、ACL的应用
14
5、验证ACL
使用如下命令验证：
show ip interface 查看端口是否应用了acl show access-lists 查看路由器的所有acl show running-config 查看所有的运行配置
信息，包括acl的配置。
15
二、ACL的应用
1、ACL表号 2、标准ACL 3、扩展ACL 4、命名ACL 5、ACL的放置 6、防火墙 7、用ACL限制telnet访问
20
我们采用如图所示的网络结构。路由器连接了二个网段， 分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段 中有一台服务器提供WWW服务，IP地址为172.16.4.13。
配置任务：禁止172.16.4.0/24网段中除172.16.4.13这台计 算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访 问172.16.3.0/24。

• 延伸的标准IP访问列表编号：1300-1999. • 延伸的扩展IP访问列表编号：2000-2699.
• 其他的访问列表号码用来进行其他二层或三层网络协议的过滤。
• 命名的IP访问控制列表：以列表名代替列表编号来定义IP访问控制列表， 同样包括标准和扩展两种列表，定义过滤的语句与编号方式相似。
使用标准访问列表对分组实施过 滤
• 例如, 172.30.16.29 0.0.0.0 检查所有的地址位. • 在访问控制列表中可以简写为host 172.30.16.29.
通配符掩码匹配任何IP地址
• 测试条件: 忽略所有的地址位(匹配所有). • An IP host address, for example:
• 接受任何地址: 0.0.0.0 255.255.255.255
• 如果没有访问控制列表,所有的数据流都能穿越路由器的接口 随意访问.
访问列表的其他应用
• 依照企业策略对各种不同类型的分组在不同情况下实行专门的 控制。
访问控制列表的类型
• 标准访问列表（standard access lists)
– 只检查分组的源地址信息 – 允许或拒绝的是整个协议栈 • 扩展访问列表（extended access lists)
为什么使用访问控制列表(ACL)?
• 当网络快速增长时,ACL能够更好地为企业控制流量的入 出.
• 为穿越路由器或交换机的流量实施过滤.
访问列表（ACL）的应用
应用到路由器接口上控制数据流的通过: • Permit(允许)或deny(拒绝)分组穿越路由器.
• 允许或拒绝到路由器的vty(虚拟终端)访问.
Access Lists(访问列表) 和它们 的应用
© 2002, Cisco Systems, Inc. All rights reserved.

本
基于序列到序列模型的机器翻 译方法，将输入序列和输出序 列均视为一个序列，通过编码
器和解码器进行翻译
应用场景：多语言翻译、语音 翻译等
04
acl实战案例
新闻摘要实战
总结词：高效提取
详细描述：通过使用ACL技术的新闻摘要实战，学习如何高效地提取文本中的关 键信息，包括提取新闻标题、导语和摘要等。
06
acl未来展望
acl发展面临的挑战
理论挑战
01
目前，ACL的许多理论尚未完全明确，需要进一步研究和探索
。
技术挑战
02
随着深度学习和自然语言处理的发展，ACL需要不断更新技术
，提高性能和准确率。
应用挑战
03
虽然ACL已经应用于多个领域，但还需要更多的应用场景和需
求来推动其发展。
acl未来的研究方向
定义
命名实体识别是一种自然 语言处理技术，用于从文 本中识别具有特定意义的 实体。
常见类型
人名、地名、组织机构名 等。
处理流程
分词、词性标注、建立词 典、模式匹配。
关系抽取
定义
关系抽取是自然语言处理 中的一种技术，它从文本 中提取出实体之间的关系 。
常见类型
语义关系、实体关系、事 件关系等。
处理流程
文本分类是指将文本分为不同的类别，情感 分析是指对文本的情感倾向进行分析，包括
积极、消极或中立等
预训练模型是一种预先训练好的模型，可以 应用于多种自然语言处理任务
应用场景：文本分类、情感分析、文本生成 等
基于序列到序列模型的机器翻译
机器翻译是自然语言处理中的 重要任务，指将一种语言的文 本自动翻译成另一种语言的文
问答系统实战

带名字的ACL
通过为ACL分配名字方便管理 和配置
ACL配置
1
配置ACL规则
定义ACL中的每个规则，包括允许或拒绝的条件和操作。
2
关联ACL和网络接口
将ACL应用到特定的网络接口，以实现访问控制。
示例
配置标准ACL控制PC2 的访 问
限制PC2对特定网络资源的访问。
配置扩展ACL控制PC1 的访 问
思科课件访问控制列表 ACL的配置
网络安全是一个重要的话题，本课件将介绍思科访问控制列表（ACL）的配置， 这项技术常用于网络设备上进行访问控制，保护网络免受未授权访问和恶意 攻击。
ACL的分类
ACL根据其功能和范围的不同可以分为三种址控制数据包 流向
扩展ACL
可以基于源IP地址、目的IP地 址、协议类型、端口号等进 行控制
使用目的IP地址和协议类型控制 PC1对某种服务的访问。
配置带名字的ACL
为ACL分配一个有意义的名字， 方便记忆和管理。
总结
1 ACL常用于访问控制
2A
通过网络设备实现对网络流量的控制和保护。
分为标准ACL、扩展ACL、带名字的ACL，根据 需要选择适合的类型。
3 具有permit和deny操作
ACL规则可以允许或拒绝特定类型的流量。
4 通过配置ACL规则和关联网络接口实
现访问控制
使用正确的规则将ACL应用到适当的网络接口， 来保护网络安全。

① ② ③ ④
操作环境
Packet tracer 5.2 exd_ACL_Sample.pkt 知识点提示.txt 任务1.jpg、任务3.jpg //网络架构完成，实现互通 //本节课相关内容语法提示 //任务完成校对文件
任务分析
192.168.1.254 仅能访问 172.16.100.2 的HTTP应用
ip access-list extended [表名/编号]
Ex: ip access-list extendቤተ መጻሕፍቲ ባይዱd 1
ACL规则定义语法
permit tcp
[permit|deny] [协议] [源IP地址]
任务1 建立ACL扩展表 [目的IP地址]
[端口号]
host 192.168.1.254 host 172.16.100.2 eq www
路由器
OUT
接口1
源地址
接口0
目的地址
小结
学习了扩展ACL配置的三个步骤，关键步骤是建 立和定义ACL表； 本节课的难点是ACL指令的“先进后出”准则； 了解了堆栈这个数据结构，进一步理解可查询互 联网的有关资料；

标准、扩展模式的区别
• 标准ACL仅允许检查IP包的源地址，简单但功能 有限； • 扩展ACL可检查源地址、目的地址；报文类型（ 如TCP、UDP、ICMP等）、端口号等，复杂但 功能强大；
4）定义路由访问策略 常用端口 在扩展 ACL 设置模式下： http、ftp 是基于 tcp协议的协议，http一般占用80端口、ftp一般占用21端口 Router(config-ext-nacl)# permit tcp host 192.168.1.254 host 172.16.100.2 eq www //1 Router(config-ext-nacl)# deny ip host 192.168.1.254 host 172.16.100.2 //2 Router(config-ext-nacl)# permit ip any any //3

0.0.3.255
192.168.0.0/22
192.168.0.1 0.255.255.255
192.0.0.0/8
192.168.0.1
0.0.0.0
192.168.0.1
192.168.0.1 255.255.255.255
192.168.0.1
0.0.2.255
0.0.0.0/0 192.168.0.0/24和192.168.2.0/24
0表示对应位须比较 1表示对应位不比较
通配符掩码 0.0.0.255 0.0.3.255 0.255.255.255
含义 只比较前24位 只比较前22位 只比较前8位
8
IP地址
通配符掩码
表示的地址范围
192.168.0.1
0.0.0.255
192.168.0.0/24
192.168.0.1
范围小的规则被优先进行匹配
配置ACL的匹配顺序：
[sysname] acl number acl-number [ match-order { auto | config } ]
24
acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0
16
防火墙功能需要在路由器上启动后才能生效
[sysname] firewall enable
设置防火墙的默认过滤方式
系统默认的默认过滤方式是permit
[sysname] firewall default { permit | deny }
17
配置基本ACL，并指定ACL序号

h
14
允许或拒绝来自某一特定主机的访问
实例：除来自主机192.8.15.2的数据包外，拒绝所有的其他数据包到达 网络202.7.20.0
选择路由器B Router_B (config)# access-list 56 permit host 192.8.15.2 Router_B (config)# access-list 56 deny any Router_B (config)# interface f0/0 Router_B (config-if)# ip access-group 56 out 利用PING命令或其他你认为可行的方法测试所设置的ACL是否与需求一致
h
6
标准ACL
标准ACL 的概念与作用 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址 ，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口
h
7
标准ACL列表的定义
命令格式如下 Router(config)# access-list access-list-number {deny | permit}source [source-wildcard ][log]
实训8.1 标准ACL的配置
h
1
理论基础
第一部分
h
2
ACL概念
➢ 访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的 一个组成部分
➢ ACL的两种执行方式
➢ 一种方式是接受在ACL列表中指定的主机和网络的访问，其它主机和网络都被拒绝 ➢ 另一种方式是拒绝在ACL列表中指定的主机和网络的访问，其它主机和网络都被拒绝。

缺点
可能会增加网络延迟，对性能有一定影响，同时 需要配置网关设备。
REPORT
CATALOG
DATE
ANALYSIS
SUMMAR Y
03
访问控制列表的配置
配置步骤
01
02
03
04
05
确定需求
选择合适的访问 控制列表
配置访问规则
测试配置
监控和维护
明确访问控制的目标和需 求，例如保护特定资源、 限制网络访问等。
应场景
流量过滤
通过配置ACL，可以过滤网络流 量，只允许符合特定条件的数据 包通过。例如，可以过滤掉来自
特定IP地址或端口的数据包。
安全策略实施
ACL可以用于实施网络安全策略 ，限制对敏感资源的访问。例如 ，可以限制外部网络对内部服务 器的访问，以防止潜在的攻击和
数据泄露。
网络地址转换
在私有网络中使用ACL，可以控 制对公共IP地址的访问，实现网 络地址转换（NAT）功能。通过 将私有IP地址转换为公共IP地址 ，可以实现多台计算机共享一个
CATALOG
DATE
ANALYSIS
SUMMAR Y
04
访问控制列表的安全性
安全风险
未经授权的访问
攻击者可能利用访问控制 列表的漏洞，绕过安全策 略，获取未授权的资源访 问权限。
数据泄露
如果访问控制列表配置不 当，敏感数据可能被未经 授权的人员访问，导致数 据泄露。
系统性能下降
过于复杂的访问控制策略 可能增加系统的处理负担 ，导致系统性能下降。
05
访问控制列表的发展趋 势
动态访问控制列表
总结词
动态访问控制列表可以根据用户行为和环境变化进行动态调整，提高访问控制的 安全性和灵活性。

7.1.1 ACL概述
2. 防火墙的分类
ACL
▪ 一般把防火墙分为两类：网络层防火墙、应
用层防火墙。网络层的防火墙主要获取数据
概 述
包的包头信息，如协议号、源地址、目的地 址和目的端口等或者直接获取包头的一段数 据，而应用层的防火墙则对整个信息流进行
分析。
7.1.1 ACL概述
常见的防火墙有以下几类：
访问控制列表配置
本
课
路由器的高
目
级功能－访 问控制列表
录
配置
ACL概述 ACL配置
7.1.1 ACL概述
ACL
防火墙作为Internet访问控制的基本技术，其
主要作用是监视和过滤通过它的数据包，根
据自身所配置的访问控制策略决定该包应当
被转发还是应当被抛弃，以拒绝非法用户访
问网络并保障合法用户正常工作。
应用网关：检验通过网关的所有数据包中的应用层数据。
ACL
包过滤：对每个数据包按照用户所定义的项目进行过滤，
如比较数据包的源地址、目的地址是否符合规则等。
包过滤不管会话的状态，也不分析数据。如用户规定
概
允许端口是21或者大于等于1024的数据包通过，则只
述
要端口符合该条件，数据包便可以通过此防火墙。若
息描述数据包，表明是允许还是拒绝。
配
置
从202.110.10.0/24来的,
到179.100.17.10的，
使用TCP协议，
利用HTTP访问的
Service），对数据流量进行控制；
概 ▪ 在DCC中，访问控制列表还可用来规定触发拨 述 号的条件；
▪ 访问控制列表还可以用于地址转换； ▪ 在配置路由策略时，可以利用访问控制列表来