ACL
01-07 ACL配置Page 1 of 18
本章节
目录7 ACL配置
7.1 访问控制列表简介
7.1.1 访问控制列表概述
7.1.2 访问控制列表的分类
7.1.3 访问控制列表的匹配顺序
7.1.4 访问控制列表的步长设定
7.1.5 基本访问控制列表
7.1.6 高级访问控制列表
7.1.7 ACL对分片报文的支持
7.1.8 ACL生效时间段
7.1.9 ACL统计
7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务
7.2.2 创建ACL生效时间段
7.2.3 配置ACL描述信息
7.2.4 配置基本访问控制列表
7.2.5 配置高级访问控制列表
7.2.6 配置ACL的步长
7.2.7 使能ACL统计
7.2.8 检查配置结果
7.3 维护访问控制列表
7.4 ACL基本配置举例
插图目录
插图目录图7-1 ACL配置案例组网图
表格目录
表格目录
表7-1 ACL分类
表7-2 高级访问控制列表的操作符意义
表7-3 端口号助记符
表7-4 ICMP报文类型助记符
7 ACL配置
关于本章
本章描述内容如下表所示。
标题内容
7.1 访问控制列表概述了解ACL的基本概念和相关参数。
7.2 配置访问控制列表配置基本访问控制列表、高级访问控制列表。
举例:ACL基本配置举例
7.3 维护访问控制列表清除访问控制列表和ACL统计计数器。
7.4 ACL基本配置举例举例说明ACL的基本配置。
7.1 访问控制列表简介
本节介绍了ACL(Access Control List)的概念、分类和相关参数等。具体包括内容如
下:
·访问控制列表概述
·访问控制列表的分类
·访问控制列表的匹配顺序
·访问控制列表的步长设定
·基本访问控制列表
·高级访问控制列表
·ACL对分片报文的支持
·ACL生效时间段
·ACL统计
7.1.1 访问控制列表概述
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这
些规则就是通过访问控制列表ACL定义的。访问控制列表是由permit | deny语句组成的
一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
ACL 通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些
规则判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL本身只是一组规则,无法实现过滤数据包的功能;它只能标定某一类数据包,而对这类数据包
的处理方法,需要由引入ACL的具体功能来决定。在产品实现中,ACL需要与某些功能(如策略
路由、防火墙、流分类等功能)配合使用,来实现过滤数据包等功能。
7.1.2 访问控制列表的分类
按照ACL用途,ACL可以分为以下几种类型,具体如表7-1所示。
表7-1 ACL分类
ACL类型数字范围
基本的ACL(Basic ACL)2000~2999
高级的ACL(Advanced ACL)3000~3999
7.1.3 访问控制列表的匹配顺序
一个访问控制列表可以由多条“deny| permit”语句组成,每一条语句描述的规则是不相
同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行
匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
有两种匹配顺序:
·配置顺序(config)
·自动排序(auto)
配置顺序
配置顺序(config),是指按照用户配置ACL的规则的先后进行匹配。缺省情况下匹配
顺序为按用户的配置排序。
自动排序
自动排序(auto)使用“深度优先”的原则进行匹配。
“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地
址的通配符来实现,通配符越小,则指定的主机的范围就越小。
比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.0.255则指定了
一个网段:129.102.1.1~129.102.1.255,显然前者指定主机范围小,在访问控制规则中
排在前面。具体标准如下。
·对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;
·对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配
置顺序。
规则ID
每条规则都有一个“规则ID”,在配置规则的时候,是不需要人为指定规则ID的,系统
会自动为每一条规则生成一个“规则ID”。
规则ID之间会留下一定的空间,具体空间大小由“ACL的步长”来设定。例如步长设定
为5,ACL规则ID分配是按照5、10、15……这样来分配的。
在“配置顺序”的情况下:
·如果配置规则的时候没有指定“规则ID”,则系统会根据“ACL步长”,按照用户配置规则的先后顺序,自动为规则分配规则编号。例如:用户配置了3条没有指定
“规则ID”的规则,如果ACL步长为5,则系统按照这3条规则的配置顺序为它们
分别分配规则编号:5,10,15。
系统自动生成的规则ID从步长值起始。比如:步长值是5,自动生成的规则ID从5开始;步长值
是
2,自动生成的规则ID从2开始。这样做是为了便于用户在第一条规则前面插入新规则。
·如果配置规则的时候指定了“规则ID”,则会按照“规则ID”的位置决定该规则的插入位置。例如系统现在的规则编号是:5、10、15。如果指定“规则ID”为3,创
建一条ACL规则,则规则的规则顺序就为:3、5、10、15,相当于在规则5之前插
入了一条子规则。
因此,在“配置顺序”的情况下,系统会按照用户配置规则的先后顺序进行匹配。但本
质上,系统是按照规则编号的顺序,由小到大进行匹配,后插入的规则有可能先执行。
在“自动排序”的情况下,无法为规则指定“规则ID”。系统会按照“深度优先”原则
自动为规则分配规则编号。指定数据包范围较小的规则将获得较小的规则编号。系统将
按照规则编号的顺序,由小到大进行匹配。
在“自动排序”情况下,系统会根据ACL步长自动分配规则编号,但用户无法插入规则。
使用display acl命令就可以看出是哪条规则首先生效。显示时,列在前面的规则首先
生效。
7.1.4 访问控制列表的步长设定
设置规则组的步长
通过命令step,可以为一个ACL规则组指定“步长”,步长的含义是:自动为ACL规则
分配编号的时,规则编号之间的差值。例如,如果步长设定为5,规则编号分配是按照5、
10、15…这样的规则分配的。缺省情况下,ACL规则组的步长为5。
当步长改变的时候,ACL规则组下面的规则编号会自动重新排列。例如,本来规则编
号
为:5、10、15、20,如果通过命令step 2,把步长设定改为2,则规则编号变成:2、4、
6、8。
如果本来规则编号不均匀分布,执行step命令后,规则会变为均匀分布。例如,如果当
前步长为5,规则编号为:1、3、10、12,通过命令step 2,把步长设定为2,则规则编
号自动变成:2、4、6、8。
如果当前步长为2,规则编号为:1、3、10、12,通过命令step 2规则编号不发生变化,仍然是:
1、3、10、12。如果需要将该规则编号变为:
2、4、6、8,可以先执行undo step命令将规则编号
变成:5、10、15、20,再执行step 2命令,将规则编号变成:2、4、6、8。
恢复步长的缺省值
通过undo step命令,可以把步长恢复为缺省设定,同时对规则编号进行重新排列。undo
step命令可以立刻按照缺省步长调整ACL子规则的编号。例如:ACL规则组1,下面有
4条规则:编号为1、3、5、7,步长为2。如果此时使用undo step命令,则ACL规则编
号变成:5、10、15、20,步长为5。
使用步长的作用
使用步长设定的作用是:方便在规则之间插入新的规则。例如配置好了4个规则,规则
编号为:5、10、15、20。此时希望能在第一条规则(即编号为5的规则)之前插入一
条规则,则可以使用rule 1命令在规则5之前插入一条编号为1的规则。
7.1.5 基本访问控制列表
基本访问控制列表只能使用源地址信息,做为定义访问控制列表的规则的元素。通过
“配置基本访问控制列表”中介绍的ACL的命令,可以创建一个基本的访问控制列表,
同时进入基本访问控制列表视图,在基本访问控制列表视图下,可以创建基本访问控制
列表的规则。
对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分
是不受影响的。例如:
先配置了一个ACL规则:
[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0
然后再对这个ACL规则进行编辑:
[Router-acl-basic-2001] rule 1 deny
这个时候,ACL的规则变成:
[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0
7.1.6 高级访问控制列表
高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、
针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义
规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的
规则。
通过“配置高级访问控制列表”中介绍的ACL的命令,可以创建一个高级的访问控制列
表,同时进入高级访问控制列表视图,在高级访问控制列表视图下,可以创建高级访问
控制列表的规则。
对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分
是不受影响的。例如:
先配置了一个ACL规则:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0
然后再对这个ACL规则进行编辑:
01-07 ACL配置Page 11 of 18
[Router-acl-adv-3001] rule 1 deny ip destination 2.2.2.1 0
这个时候,ACL的规则则变成:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0 destination 2.2.2.1 0
只有TCP和UDP协议需要指定端口范围。支持的操作符及其语法如下表。
表7-2 高级访问控制列表的操作符意义
操作符及语法意义
eq port-number 等于端口号port-number
gt port-number 大于端口号port-number
lt port-number 小于端口号port-number
range port-number1 port-number2 介于端口号port-number1和port-number2之间
在指定port-number时,对于部分常见的端口号,可以用相应的助记符来代替其实际数
字,支持的助记符如下表。
表7-3 端口号助记符
协议助记符意义及实际值
TCP Bgp
Chargen
Cmd
Daytime
Discard
Domain
Echo
Exec
Finger
Ftp
Ftp-data
Gopher
Hostname
Irc
Klogin
Kshell
Login
Lpd
Nntp
Pop2
Pop3
Smtp
Sunrpc
Tacacs
Talk
Telnet
Time
Uucp
Whois Border Gateway Protocol (179) Character generator (19)
Remote commands (rcmd, 514) Daytime (13)
Discard (9)
Domain Name Service (53)
Echo (7)
Exec (rsh, 512)
Finger (79)
File Transfer Protocol (21)
FTP data connections (20)
Gopher (70)
NIC hostname server (101)
Internet Relay Chat (194)
Kerberos login (543)
Kerberos shell (544)
Login (rlogin, 513)
Printer service (515)
Network News Transport Protocol (119) Post Office Protocol v2 (109)
Post Office Protocol v3 (110)
Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111)
TAC Access Control System (49)
Talk (517)
Telnet (23)
Time (37)
Unix-to-Unix Copy Program (540) Nicname (43)
01-07 ACL配置Page 12 of 18
Www World Wide Web (HTTP, 80)
UDP biff
bootpc
bootps
discard
dns
dnsix
echo
mobilip-ag
mobilip-mn
nameserver
netbios-dgm
netbios-ns
netbios-ssn
ntp
rip snmp
snmptrap
sunrpc
syslog
tacacs-ds
talk
tftp
time
who
Xdmcp Mail notify (512)
Bootstrap Protocol Client (68) Bootstrap Protocol Server (67)
Discard (9)
Domain Name Service (53)
DNSIX Security Attribute Token Map (90) Echo (7)
MobileIP-Agent (434)
MobileIP-MN (435)
Host Name Server (42)
NETBIOS Datagram Service (138) NETBIOS Name Service (137) NETBIOS Session Service (139) Network Time Protocol (123)
Routing Information Protocol (520) SNMP (161)
SNMPTRAP (162)
SUN Remote Procedure Call (111) Syslog (514)
TACACS-Database Service (65)
Talk (517)
Trivial File Transfer (69)
Time (37)
Who(513)
X Display Manager Control Protocol (177)
对于ICMP协议可以指定ICMP报文类型,缺省为全部ICMP报文。指定ICMP报文类型时,可以用数字(0~255),也可以用助记符。
表7-4 ICMP报文类型助记符
助记符意义
echo
echo-reply fragmentneed-DFset host-redirect
host-tos-redirect host-unreachable information-reply information-request net-redirect
net-tos-redirect
net-unreachable parameter-problem port-unreachable Type=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3, Code=3
01-07 ACL配置Page 13 of 18
protocol-unreachable reassembly-timeout source-quench source-route-failed timestamp-reply timestamp-request
ttl-exceeded Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0
相关命令请参考《Quidway NetEngine20/20E 系列路由器命令参考》。
这样,用户通过配置防火墙,添加适当的访问规则,就可以利用包过滤来对通过路由器
的IP包进行检查,从而过滤掉用户不希望通过路由器的包,起到保护网络安全的作用。
7.1.7 ACL对分片报文的支持
传统的包过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配
处理,后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,
就带来了安全隐患。
产品的包过滤提供了对分片报文过滤的功能,包括:对所有的分片报文进行三层(IP 层)
的匹配过滤;同时,对于包含扩展信息的ACL规则项(例如包含TCP/UDP端口号,
ICMP类型),提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配,
匹配将忽略三层以外的信息;精确匹配则对所有的ACL项条件进行匹配,这就要求防
火墙必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的功能方式
为标准匹配方式。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非首片分片报
文有效,而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规
则项对所有报文均有效。
例如:
[Quidway-acl-basic-2001] rule deny source 202.101.1.0 0.0.0.255 fragment
[Quidway-acl-basic-2001] rule permit source 202.101.2.0 0.0.0.255
[Quidway-acl-adv-3101] rule permit ip destination 171.16.23.1 0 fragment
[Quidway-acl-adv-3101] rule deny ip destination 171.16.23.2 0
上述规则项中,所有项对非首片分片报文均有效;第一、三项对非分片和首片分片报文
是被忽略的,仅仅对非首片分片报文有效。
7.1.8 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某
个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按
时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的rule规则下通
过时间段名称引用该时间段,从而实现基于时间段的ACL过滤。
实施基于时间段的ACL规则具体有两个步骤:
1. 创建一个时间段
time-range time-name { start-time to end-time days | from time1 date1 [ to time2 date2 ] }
2. 在ACL的rule命令中引用这个时间段的名称
在rule命令中使用参数time-range time-name引用该时间段。这样,该条ACL规则将只能
在指定时间段内有效,其他时间段则不生效。
7.1.9 ACL统计
NE20/20E路由器上的ACL提供统计功能。当创建的ACL用于防火墙、QoS、NAT和策
略
01-07 ACL配置Page 14 of 18 路由等特性中时,NE20/20E使能ACL统计功能后,路由器就能够基于ACL的编号进行
统计,并且提供命令可以查询ACL匹配成功次数和报文字节数。
7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务
应用环境
访问控制列表可以用于很多的业务中,比如路由策略、包过滤等等,主要是为了区分不
同类别的报文,从而进行不同的处理。
前置任务
访问控制列表的配置都是用于某个业务中。在配置访问控制列表前没有要事先配置的任
务。
数据准备
在配置访问控制列表之前,需准备以下数据。
序号数据
1 ACL起作用的时间段名,以及起始时间和结束时间
2 ACL的编号
3 ACL下的规则编号,以及确定报文类型的规则,具体包括协议、源地址和
源端口、目的地址和目的端口、ICMP类型和编码、IP优先级、tos值、是
否分片。
4 ACL的注释内容
5 ACL的步长
配置过程
要完成建立配置访问控制列表的任务,需要执行如下的配置过程。
序号过程
1 创建ACL生效时间段
2 配置ACL描述信息
3 配置基本访问控制列表
4 配置高级访问控制列表
5 配置ACL的步长
6 使能ACL统计
7 检查配置结果
7.2.2 创建ACL生效时间段
请在路由器上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令time-range time-name { start-time to end-time days | from time1 date1 [ to time2
date2 ] },创建一个时间段。
----结束
此配置任务用来创建一个时间段,可以创建多条名字相同的时间段。
7.2.3 配置ACL描述信息
请在路由器上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令acl acl-number,进入ACL视图。
步骤 3 执行命令description text,创建ACL描述。
----结束
ACL的描述信息表示该ACL规则的用途,长度不能超过127字符。
7.2.4 配置基本访问控制列表
请在路由器上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个基本访问控制列表。
步骤3 执行命令rule [ rule-id ] { deny | permit } [ source { source-ip-address soucer-wildcard | any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则。
----结束
7.2.5 配置高级访问控制列表
请在路由器上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个高级访问控制列表。
步骤3 请根据不同情况进行以下配置。
·当参数protocol为TCP、UDP时,创建ACL规则rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | destination-
port operator port-number | dscp dscp | fragment | logging | precedence precedence |
source { source-ip-address source-wildcard | any } | source-port operator port-number |
time-range time-name | tos tos | vpn-instance vpn-instance-name ]*。
·当参数protocol为ICMP时,创建ACL规则rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment |
logging | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence |
source{ source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn-
instance vpn-instance-name ]*
·当参数protocol为除TCP、UDP或ICMP之外的协议时,创建ACL规则rule [ rule-
id ]
{ deny | permit } protocol [ destination { destination-ip-address destination-wildcard |
any } | dscp dscp | fragment | precedence precedence | source { source-ip-address
source-wildcard | any } | time-range time-name | tos tos | vpn-instance vpn-instance-
name ]*
根据IP承载的不同协议类型,在路由器上配置不同的高级访问控制列表。对于不同的协
议类型,有不同的参数组合,TCP和UDP有[ source-port operator port-number ]
[destination-port operator port-number ] 可选项,其它协议类型没有。
----结束
7.2.6 配置ACL的步长
请在路由器上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],进入ACL视图。
步骤3 执行命令step step,配置ACL步长。
----结束
调整ACL的配置时,请注意以下情况。
·undo step命令把步长改为默认设定,同时对规则编号进行重新排列。
·ACL规则步长(step-value)的默认值为5。
7.2.7 使能ACL统计
请在路由器上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令acl statistic enable,使能ACL统计功能。
----结束
7.2.8 检查配置结果
在完成上述配置后,在任一视图下执行下面的display命令,查看ACL的运行信息,检
查配置的效果。运行信息的详细解释请参考《Quidway NetEngine20/20E 系列路由器命
令参考》。
操作命令
显示配置的访问控制列表规则display acl { acl-number | all }
显示时间段display time-range { time-name | all }
显示ACL统计计数display acl statistic [ acl- number ]
只有当创建的ACL使用在防火墙、QoS、NAT和策略路由等特性中时,display acl statistic命令才会有
显
示信息。
在配置成功时,执行上面的命令,应能得到如下的结果。
·能够查看到ACL的编号、规则数量、步长和规则的具体内容
·能够查看当前时间段的配置和状态
·ACL匹配成功的报文字节数
7.3 维护访问控制列表
清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。
在确认需要清除ACL的运行信息后,请在用户视图下执行下面的reset命令。
操作命令
清除访问规则计数器reset acl counter { acl-number | all }
清除ACL统计计数器reset acl statistic [ acl-number ]
7.4 ACL基本配置举例
组网需求
如图7-1所示,某公司通过一台路由器的接口GE1/0/0访问Internet,路由器与内部网通
过以太网接口GE2/0/0连接。各设备间均有可达路由。公司内部对外提供WWW、FTP
和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,
内部Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,通过配置
路由器,希望实现以下要求。
·外部网络中只有特定用户可以访问内部服务器
·内部网络中只有特定主机和服务器可以访问外部网络
假定外部特定用户的IP地址为202.39.2.3。
图7-1 ACL配置案例组网图
配置思路
配置ACL的思路如下。
·定义ACL编号;
·定义ACL的具体规则。
数据准备
完成该举例,需要准备如下数据。
01-07 ACL配置Page 18 of 18
·ACL编号
·允许通过的源IP地址
·允许特定用户访问的目的IP地址
配置步骤
步骤1 创建编号为3001的访问控制列表。
[Router] acl number 3001
步骤2 配置ACL规则,允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.38.1.4 0
[Router-acl-adv-3001] rule permit ip source 129.38.1.1 0
[Router-acl-adv-3001] rule permit ip source 129.38.1.2 0
[Router-acl-adv-3001] rule permit ip source 129.38.1.3 0
步骤3 配置ACL规则,禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip
[Router-acl-adv-3001] quit
步骤4 创建编号为3002的访问控制列表。
[Router] acl number 3002
步骤5 配置ACL规则,允许特定用户从外部网访问内部服务器。
[Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0
[Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0
[Router-acl-adv-3002] r ule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
通过上述配置完成了ACL的创建。
----结束
配置文件
#
sysname Router
#
acl number 3001
rule 5 permit ip source 129.38.1.4 0
rule 10 permit ip source 129.38.1.1 0
rule 15 permit ip source 129.38.1.2 0
rule 20 permit ip source 129.38.1.3 0
rule 25 deny ip
acl number 3002
rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.1 0
rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0
rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
#
return
华为ACL详解2精编版
访问控制列表-细说ACL那些事儿(ACL匹配篇) 在上一期中,小编围绕一张ACL结构图展开介绍,让大家了解了ACL的概念、作用和分类,并且知道了ACL是通过规则匹配来实现报文过滤的。但ACL到底是如何进行规则匹配的,相信大家还是一头雾水。本期,说一说关于“ACL匹配”的那些事儿。 1ACL匹配机制 首先,为大家介绍ACL匹配机制。上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。 从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
●匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则rule。不论 匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。 ●不匹配(未命中规则):指不存在ACL(无ACL),或ACL中无规则(没有rule),再或者在 ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。 提醒大家,无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit 规则,但流行为动作配置的是deny,该报文会被拒绝通过。在后续连载的《访问控制列表- 细说ACL那些事儿(应用篇)》中,将结合各类ACL应用,为大家细说各个业务模块的区别。2ACL规则匹配顺序 从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置: rule deny ip destination 1.1.0.0 0.0.255.255 //表示拒绝目的IP地址为1.1.0.0网段的报文通过rule permit ip destination 1.1.1.0 0.0.0.255 //表示允许目的IP地址为1.1.1.0网段的报文通过,该网段地址范围小于1.1.0.0网段范围 这条permit规则与deny规则是相互矛盾的。对于目的IP=1.1.1.1的报文,如果系统先将deny 规则与其匹配,则该报文会被禁止通过。相反,如果系统先将permit规则与其匹配,则该 报文会得到允许通过。
思科路由器acl详解
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这
CISCO ACL配置详解
CISCO ACL配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理。 匹配顺序为:"自上而下,依次匹配".默认为拒绝 访问控制列表的类型 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不
符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 一、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL. 它的具体格式: access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。 例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0. 小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问列表配置实例: R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255 R1(config)#access-list 10 permit any R1(config)#int fa0/0.1 R1(config-subif)#ip access-group 10 out
ACL知识点详解
A C L知识点详解 -标准化文件发布号:(9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
第一节TCP/IP传输层与应用层TCP/IP OSI TCP/IP:网络访问层协议 1~3章 第7 章
TCP/IP:互联网络层协议 5~6章 Internet层的功能 10.20.30.2/24172.16.1.2/24172.31.255.2/24 ●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址,实现逻辑寻址。 ●能够建立网络与网络、主机与主机之间的连通性,但不保证数据传输的可靠性。
TCP/IP:传输层协议 ●传输控制协议(TCP) ?面向连接,每传输一个数 据分段,都建立一个连接 ?可靠的传输 ●用户数据报协议(UDP) ?无连接,将数据分段发送 出去后不确认对方是否已接 收到 ?不可靠,需要应用层协议 提供可靠性 TCP 与UDP 协议 ●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。 ●TCP端口号范围为:0~65535 ●UDP端口号范围为:0~65535 ●传输层提供从源主机到目的主机的传输服务,在网络端点之间建立逻辑连接。 ●传输层TCP协议能够实现数据传输的可靠性。 ●传输层能够实现数据传输时的流控制。
主机之间的多会话 ●一台服务器可能提供多种服务,如Web和FTP ,在传输层用端口来区分每个应用服务。 ●客户端也需要向多个目的发送不同的数据连接,使用端口区分每个连接。 ●服务器使用知名端口号0~1023 提供服务。 ●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求,并为每一个连接分配不
IDEA和ACL
软件简介 IDEA 是个数据分析软件,是个基于审计业务的数据分析工具。它是一个由审计员、会计、调查员及IT 人员使用的,基于计算机的文件查询工具。它有多种数据分析方法和操作方式,例如数据提取、采样及数据查询、搜索等功能,通过这些功能操作可以分析识别数据的质量、查询审计预警信息、钻取特定的问题及分析数据的趋势。IDEA数据审计软件它的特殊优势在于,给用户提供了一个方便的微软界面,并能够支持多项数据导入方式,无需程式编写的知识,只要用户使用按钮就可以运用分析功能。它能够协助审计专业人员快捷地完成审计测试,把复杂的工作变得简单快捷。用户在使用IDEA时,可以阅读、显示、分析、操作、采样或是提取文件数据。 √特色 在IDEA上可以录取数据分析操作的过程,或编写简单的脚本代码来实现经常使用的审计过程和方法,方便审计人员以后经常重复的工作。 IDEA数据分析软件还有服务器版本,它是一种使用网络服务器的数据分析应用程序。在服务器上建立工程项目,导入数据源,使用安装在计算机上的IDEA 客户端查看数据并执行分析时,所有数据存储和处理都将在服务器上进行。 √应用范围 IDEA 可以用于审计、调查、财务管理及常规的专设查询。主要实例有常规财务审计应用、特定行业测试、欺诈调查、计算机安全性、财务管理。 IDEA 在银行业的很多领域都能发挥作用,包括存款业务、个人及企业贷款、出纳职能及投资账户。使用IDEA软件可以对银行的业务数据提供以下操作: 计算和分析数据:计算(或汇总)日记账、账户余额和应计利息。执行利息计算。检查银行收费计算。重新证实欠款计算及报告(贷款)。证实利息资产。 异常确定:缺失参照数据的账户、无效或异常的参照数据、休眠账户及其中的交易、取消账单的账户、工作人员贷款、大额贷款、负余额、载明日期的期货交易、已过偿还期、超出透支限额或限额已过期的客户、测试适当提高的收费、测试异常利率、提供载明日期的期货交易总计、执行货币转换、提供货币风险详情等其他有用的测试。 匹配和比较:基于地址并使用重复测试,对同一地址的加倍贷款。将贷款地址与员工的地址作对比。在不同时段对余额进行比较。 系统架构 运行机制 首先从银行备份机上卸载备份数据(包括核心、信贷、财务、票据等系统)导入到IDEA服务器中,在IDEA客户端分析软件上编写所有业务条线的审计预警脚本,然后在客户端人工干预或定时触发脚本,让数据提取分析操作在IDEA服务器上运行,审计预警的结果得到XML文件,然后输出XML结果文件到指定的审计管理服务器中,最后通过审计管理平台将结果文件展示给相关审计人员。审计人员可运用工具对运营数据进行灵活分析。审计人员依据业务类别和权限进入数据库,对审计业务进行进一步处理及验证。 现场检查发现的结果可选择以文件或手工输入方式导入审计管理平台,以方便管理。 非现场审计管理平台负责各业务条线的审计发现,预警信息的存储和处理流程。它还对现场检查结果、方法以及审计人员处理线索状况提供管理。 系统由C/S和B/S结构混合组成。审计人员可以选择在线或离线工作。
实例操作:路由器ACL实验过程详细讲解
实验环境说明: 1、将路由器R1的Fa0/0接口的ip设为:192.168.0.1/24;将S1/2接口的ip设为:192.168.1.1/24; 2、将路由器R2的Fa0/0接口的ip设为:192.168.2.2/24;将S1/2接口的ip设为:192.168.1.2/24; 3、将路由器R3的Fa0/0接口的ip设为:192.168.0.3/24;关闭其路由功能,模拟PC使用; 实验结果要求: 1、在R2上做访问控制列表,使R3不能telnet到R2; 2、在R1上做访问控制列表,使R1不能ping通R2 。 实验拓扑图: 实验环境的基本配置: R1配置清单: 1、为R1的Fa0/0接口配置IP,并设为全双工模式: R1(config)#int fa0/0 R1(config-if)#speed 100 R1(config-if)#duplex full
R1(config-if)#ip add 192.168.0.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit 2、为R1的S1/2接口配置IP: R1(config)#int s1/2 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R2的配置清单: 1、为R2的Fa0/0接口配置IP,并设为全双工模式: R2(config)#int fa0/0 R2(config-if)#speed 100 R2(config-if)#duplex full R2(config-if)#ip add 192.168.2.2 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit 2、为R2的S1/2接口配置IP: R2(config)#int s1/2 R2(config-if)#ip add 192.168.1.2 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit 3、在R2上增加一条静态路由以实现和R3通信: R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1 4、在R2上设置用户密码和线路密码,为下一步的telnet服务:R2(config)#enable password 123456 R2(config)#line vty 0 4 R2(config-line)#password 123456 R3的配置清单:
ACL简介
ACL术后康复——膝关节功能恢复 前交叉韧带损伤是踢球、打篮球时遇到的常见运动损伤之一,患者以年轻人居多,78%的ACL损伤发生在没有身体接触型对抗的时刻,比如起跳落地、急停急转等。如果ACL损伤比较严重、甚至完全断裂的话,是无法自我愈合的,必须通过手术治疗。目前关节镜下前交叉韧带重建术成为主要的治疗方法,但术后常出现肌肉萎缩、膝关节肌力下降及膝关节周围力学不稳定等问题,因此康复治疗具有重要意义。 下面就给大家介绍膝关节前交叉韧带重建术后康复的一些知识。首先我们了解一下我们的前交叉韧带(ACL),前交叉韧带又称十字韧带,位于膝关节内,连接股骨与胫骨,主要作用是限制胫骨向前过度移位以及过度内旋。它与膝关节内其他结构共同作用,来维持膝关节的稳定性,使人体能够完成各种复杂和高难度的下肢动作。 俗话说,“有良好的开端等于成功的一半”,这句话用在膝关节前交叉韧带重建术也很合适,手术成功只是功能恢复的开始,术后康复也很重要。 首先,前交叉韧带重建术后康复分为四个阶段: 初期(术后0~2周)尽可能将我们的患肢抬高(高于心脏平面),加速血液循环帮助消肿,也可冰敷15~20分钟,帮助缓解疼痛。在手术医生许可下,可借助CPM康复理疗帮助改善和增加关节活动度。 早期(术后2~4周),这段时间里,新建韧带的上下止点会和骨道有一个初步的纤维性的愈合,同时要适应在膝关节内的环境。这就和人是一样的,到了新的地方,就要适应新环境站稳脚跟,康复的重点是进一步加强膝关节活动度练习,逐步恢复膝关节的屈伸功能;加强腿部肌肉力量的练习。 中期(术后5~3个月),这个阶段要让前交叉韧带更好的扎根,就是上下止点达到骨形的愈合。同时要在关节内的环境中生长和化生改建,好能胜任新的任务。康复的重点是强化膝关节的活动度,强化腿部肌肉的力量,改善膝关节稳定性和在运动中的控制能力,比如正常的行走,上下楼梯,蹲起,小步慢速的跑动等等。同时,也能让我达到一些基本的目标,例如开车或者回到工作岗位。 后期(术后3~6个月),也可以称之为运动功能恢复期,恢复膝关节的正常运动功能,让新建的前交叉韧带能够承受各种活动产生的应力。康复的重点全面恢复各种日常生活的活动,进一步强化腿部的肌力和关节的稳定性,同时逐渐恢复运动功能。 以上各个阶段康复训练都必须循序渐进,绝对不能勉强尝试动作或冒然恢复运动。说到这里,那么到底我们该如何训练和运动呢?下面我将从以下几个方面给大家介绍一些常见基础的运动方式来帮助我们恢复膝关节的功能。 第一:肌力训练 1.被动伸直膝关节,股四头肌静力性收缩 2.直腿抬高(卧位直腿抬高、坐位直腿抬高、负荷直腿抬高) 3.肌群抗重力训练 肌肉力量训练贯穿我们整个的康复过程中,肌肉力量增强能让我们完全负重。除了以上介绍的基础训练,我们可以借助一些康复设备进行力量增强训练。 1.固定式自行车 2.下肢蹲肌群运动控制训练系统 3.肌群弹力绷带抗阻训练 4.靠墙静蹲 5.靠墙提踵静蹲 第二:关节活动度训练(伸膝训练——悬空膝盖、曲膝训练——重力作用下悬垂小腿、滑墙、主动屈曲膝关节等)
ACL详解
A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应
访问控制列表实验.详解
实验报告如有雷同,雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表(ACL)实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为和)。 【实验原理】 基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选 项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在 此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生 效,其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效,一般需要下面的配置步骤。 (1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】
步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。(2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装和和配置路由器。 (3)在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U,下载安装后见如下界面。 先新建域:
ACL功能和分类详细介绍
ACL功能和分类详细介绍 ACL是访问控制列表的英文缩写,是一个指令列表在路由器和交换机之间。ACL是一种有效的网络技术段保证了企业网络的安全性。对大多数的企业网络来说ACL是网络安全保障中必不可少的一个环节通过滤网络中的流量,来保证内网的安全性。ACL中的一些安全策略来确保所有用户的访问网络区域。ACL的功能和分类等信息,小编来给大家详细介绍。 ACL指令列表的功能,一些企业网络的浏览限制通过ACL 实现,提高网络性能。各个企业的数据包协议和数据包的升级。网络访问必须通过ACL这个基本手段才能实现。列如允许主机A访问网络上的各种信息而拒绝主机B访问。ACL就像一个“筛子”在路由器的端口通过允许的类型的通信流量或拒绝某种类型的通信流量。对网站的内外部浏览起着一个“关卡”的作用。如为了公司信息的保密,不允许外网访问也不允许访问外网就是通过ACL实现的。或者公司为了规范操作设置只能使用WWW这个功能,也可以通过ACL实现。 ACL的分类,目前市场上三种主要的ACL;标准ACL、扩展
ACL及命名ACL。当然市场上还有其他标准的ACL如时间访问列表。标准的ACL和扩展的ACL使用的表号范围不同。标准的表号选用范围在1~99以及1300~1999之间的数字,而扩展的ACL表号选取范围在100~199以及2000~2699之间。对网络通信流量范围要求严格、控制精确的通常使用扩展ACL。命名中的表号和标准与扩展有所不同,是通过一个字母或数字组合的字符去替换标准或扩展中使用的数字。命名访问列表优势是使用过程中可以进行调整,而且使用时不能以同一名字命名多个ACL。时间访问列表顾名思义依据时间来控制网络数据包的。大多数的时间访问列表先作为一个范围进行划分,再通过各种访问列表在这基础上应用它。 ACL使用过程中常见问题,配置ACL了可是为什么没有作用呢?出现这个问题通常是忘记将访问控制列表应用到某接口上了。设置ACL的作用是控制端口进出的流量。所有的ACL的末尾系统都会自动添加一条隐含的否定语句,作用是阻止所有流量或者其他未经允许的流量进入网络。 ACL访问控制列表的控制范围都是有企业网络根据信息的重要性决定的。也会考虑到使用的安全性等方面。简单介绍了ACL 功能和分类等内容,希望对您有帮助。
详解路由器配置ACL控制列表
详解路由器配置A C L 控制列表 文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。 什么是A C L? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供A C L的支持了。 访问控制列表使用原则
由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的A C L语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
ACL
)..拓扑图 2)..练习 5.2.8: 配置标准 ACL 致用户:或许您无需借助打印说明也可以完成本练习,不过我们仍在启动此练习的页面上为您提供了 PDF 版说明(位于页面的左侧)。 地址表 设备 接口 IP 地址 子网掩码 R1 S0/0/0 10.1.1.1 255.255.255.252 Fa0/0 192.168.10.1 255.255.255.0 Fa0/1 192.168.11.1
255.255.255.0 R2 S0/0/0 10.1.1.2 255.255.255.252 S0/0/1 10.2.2.1 255.255.255.252 S0/1/0 209.165.200.225 255.255.255.224 Fa0/0 192.168.20.1 255.255.255.0 R3 S0/0/1 10.2.2.2 255.255.255.252 Fa0/0 192.168.30.1 255.255.255.0 ISP S0/0/1 209.165.200.226 255.255.255.224 Fa0/0 209.165.201.1 255.255.255.224 Fa0/1 209.165.202.129 255.255.255.224 PC1 网卡 192.168.10.10 255.255.255.0 PC2 网卡 192.168.11.10 255.255.255.0 PC3 网卡 192.168.30.10 255.255.255.0 PC4
网卡 192.168.30.128 255.255.255.0 WEB/TFTP Server 网卡 192.168.20.254 255.255.255.0 WEB Server 网卡 209.165.201.30 255.255.255.224 Outside Host 网卡 209.165.202.158 255.255.255.224 学习目标 检查当前的网络配置 评估网络策略并规划 ACL 实施 配置采用数字编号的标准 ACL 配置命名标准 ACL 简介 标准 ACL 是一种路由器配置脚本,根据源地址来控制路由器应该允许还是应该拒绝数据包。本练习的主要内容是定义过滤标准、配置标准 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。路由器已经过配置,包括 IP 地址和 EIGRP 路由。用户执行口令是 cisco,特权执行口令是 class。 任务 1:检查当前的网络配置 步骤 1. 查看路由器的运行配置。 逐一在三台路由器的特权执行模式下使用 show running-config 命令查看运行配置。请注意,接口和路由已配置完整。将 IP 地址配置与上面的地址表相比较。此时,路由器上应该尚未配置任何 ACL。 本练习不需要配置 ISP 路由器。假设 ISP 路由器不属于您的管理范畴,而是由 ISP 管理员配置和维护。 步骤 2. 确认所有设备均可访问所有其它位置。 将任何 ACL 应用于网络中之前,都必须确认网络完全连通。如果应用 ACL 之前不测试网络连通性,排查故障可能会很困难。 有助于连通性测试的一个步骤是查看每台设备上的路由表,确保列出了每个网络。在 R1、R2 和 R3 上发出 show ip route 命令。输出应该显示,每台设备都有路由通往其连接的网络,并且有到所有其它远程网络的动态路由。所有设备均可访问所有其它位置。 虽然路由表有助于评估网络状态,但仍应使用 ping 命令测试连通性。完成以下测试: 从 PC1 ping PC2。
ACL配置详解
NGFW—ACL精确控制 一、netfilter架构 1.NGFW的底层架构是netfilter架构,而netfilter架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT 等,甚至可以是用户自定义的功能)。 IP层的五个HOOK点的位置如下图所示 [1]:NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点; [2]:NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点; [3]:NF_IP_FORWARD:要转发的包通过此检测点; [4]:NF_IP_POST_ROUTING:所有马上要通过网络设备出去的包通过此检测点; [5]:NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点; 2.每个HOOK点(A、B、C、D、E)上罗列了可以调用的策略,并且已按优先级进行排列(越靠前的优先级越高);
需求:防火墙犹如放置在边界的一堵墙,作用是保护内网,隔离外网。防火墙中内置了很多的关卡,比如:NAT、路由、ACL、流控等策略,数据包进入防火墙后就会经过这些关卡,只要任何一道关卡出现问题,数据包就无法再继续转发;为了发挥防火墙的最大功效,对每道关卡都要精确配置; 要实现安全策略(ACL)的细化控制,就必须要知道需要ACL控制的流量在经过ACL控制点的时候源地址,目的地址,甚至端口分别是什么,而影响数据流量的主要要素是NAT策略、VPN策略,下面分析VPN策略和NAT策略对数据的影响以及ACL的配置。 一、IPSEC数据NGFW处理(IPSEC处理) 1.分支VPN数据包处理:数据包进入—HOOKA—HOOKC(路由查找、ACL过滤) ---HOOKE(VPN封装) 注意点:(1)放通的流量也是私网到私网 (2)做分支IPSEC策略时,进行NAT排除,放通流量是 私网到私网 2.总部vpn数据包处理:数据包进入—HOOKA(判断)—HOOKB(解密) ---HOOKA---HOOKC(路由、ACL)---HOOKE 注意点: (1)放通的流量应该是私网到私网的流量 (2)做IPSEC策略时,进行NAT排除,放通流量是私网 到私网 二、SSL(客户端)数据NGFW处理(SSL处理)
ASPF 简介
ASPF 简介 acl/包过滤防火墙为静态防火墙,目前存在如下问题: 1 对于多通道的应用层协议(如ftp,h.323 等),部分安全策略配置无法预知。 2 无法检测某些来自于应用层的攻击行为(如tcp syn、java applet 等)。故提出了状态防火墙――aspf 的概念。aspf(application specific packet filter)是针对应用层及传输层的包过滤,即基于状态的报文过滤。aspf 能够实现的应用层协议检测包括:ftp、http、smtp、rtsp、h.323(q.931,h.245,rtp/rtcp)检测;能够实现的传输层协议检测包括:通用tcp/udp 检测。 aspf 的主要功能如下: 1 能够检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被aspf 维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以便阻止恶意的入侵。 2 能够检测传输层协议信息(即通用tcp 和udp 协议检测),能够根据源、目的地址及端口号决定t cp 或udp 报文是否可以通过防火墙进入内部网络。 aspf 的其它功能: 1 dos(denial of service,拒绝服务)攻击的检测和防范。 2 aspf不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测,提供对不可信站点的java blocking(java 阻断)功能。 3 增强的会话日志功能。可以对所有的连接进行记录,包括:记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。 4 支持应用协议端口映射pam(port to application map),允许用户自定义应用层协议使用非通用端口。 在网络边界,aspf 和普通的静态防火墙协同工作,能够为企业内部网络提供更全面的、更符合实际需求的安全策略。 1. 基本概念 (1)java blocking java blocking 是对通过http 协议传输的java applet 小程序进行阻断。当配置了java blocking 时,用户为试图在web 页面中获取包含java applet 的程序而发送的请求指令将会被aspf 阻断过滤。 (2)端口映射
华为ACL详解1
访问控制列表-细说ACL那些事儿(初步认识ACL) 传闻江湖乱世之时,出现了一门奇招妙计名曰“ACL”。其变化多端、高深莫测,部署在江湖各处的交换机轻松使上这一招,便能平定乱世江湖。所以,这ACL也被江湖人士一时传为佳话。ACL到底是何方秘籍?它拥有什么样的魔力能够平定江湖? ACL,是Access Control List的简称,中文名称叫“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。这样解释ACL,大家是不是觉得太抽象了! 好,现在小编换一种解释方式。打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文了。 基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet 登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。 说到这,大家一定迫不及待的想看看ACL长啥模样。话不多说,先上图! 围绕这张ACL结构图,介绍ACL的基本概念。 1 ACL分类 首先,图中是一个数字型ACL,ACL编号为2000。这类似于人类的身份证号,用于唯一标识
自己的身份。当然,人类的身份证上不仅有身份证编号,还有每个人自己的名字。ACL也同样如此,除了数字型ACL,还有一种叫做命名型的ACL,它就能拥有自己的ACL名称。 通过名称代替编号来定义ACL,就像用域名代替IP地址一样,可以方便记忆,也让大家更容易识别此ACL的使用目的。 另外,告诉大家,命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配。上图就是一个既有名字 “deny-telnet-login”又有编号“3998”的ACL。 细心的你,一定会注意到,ACL结构图中的ACL编号是“2000”,而这个例子中的ACL编号是“3998”,两者有什么区别吗? 实际上,按照ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACL,ACL 3998属于高级ACL。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,所以高级ACL的功能更加强大。
ACL 介绍
ACL介绍 acl(access control lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的acl规则进出交换机Access-list access-list是一个有序的语句集,每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。rule包含的信息可以包括源mac、目的mac、源ip、目的ip、ip协议号、tcp端口等条件的有效组合。根据不同的标准,access-list可以有如下分类: 1根据过滤信息:ip access-list(三层以上信息),mac access-list (二层信息),mac-ip access-list(二层以上信息)。 2根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。 3根据命名方式:数字(numbered)和命名(named)。 对一条acl的说明应当从这三个方面加以描述。 Access-group 当用户按照实际需要制定了一组access-list之后,就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当您建立了一条access-group之后,流经此端口此方向的所有数据包都会试图匹配指定的access-list规则,以决定交换动作是允许(permit)或拒绝(deny)。另外还可以在端口加上对acl规则统计计数器,以便统计流经端口的符合acl规则数据包的数量。 Access-list动作及全局默认动作 access-list动作及默认动作分为两种:允许通过(permit)或拒绝通过(deny)。具体有如下: 1在一个access-list内,可以有多条规则(rule)。对数据包的过滤从第一条规则(rule)开始,直到匹配到一条规则(rule),其后的规则(rule)不再进行匹配。 2全局默认动作只对端口入口方向的ip包有效。对入口的非ip数据包以及出口的所有数据包,其默认转发动作均为允许通过(permit)。 3只有在包过滤功能打开且端口上没有绑定任何的acl或不匹配任何绑定的acl时才会匹配入口的全局的默认动作。 4当一条access-list被绑定到一个端口的出方向时,其规则(rule)的动作只能为拒绝通过(deny)
路由器配置ACL详解
路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,