第十三章 IP访问控制列表(ACL)

第十三章 IP访问控制列表(ACL)

为什么要使用访问列表

管理网络中逐步增长的 IP 数据

当数据通过路由器时进行过滤

访问列表的应用

允许、拒绝数据包通过路由器

允许、拒绝Telnet会话的建立

没有设置访问列表时,所有的数据包都会在网络上传输

什么是访问列表--(标准,扩展)

标准

检查源地址

通常允许、拒绝的是完整的协议

扩展

检查源地址和目的地址

通常允许、拒绝的是某个特定的协议

什么是访问列表

进方向和出方向

访问列表配置指南

访问列表的编号指明了使用何种协议的访问列表

每个端口、每个方向、每条协议只能对应于一条访问列表

访问列表的内容决定了数据的控制顺序

具有严格限制条件的语句应放在访问列表所有语句的最上面

在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句

先创建访问列表,然后应用到端口上

访问列表不能过滤由路由器自己产生的数据

标准访问列表和扩展访问列表比较

标准

基于源地址                         允许和拒绝完整的TCP/IP协议             编号范围1-99和1300-1999

扩展

基于源地址和目标地址         指定TCP/IP的特定协议和端口号         编号范围100-199和2000-2699

配置

标准IP访问列表的配置

Router(config)#

access-list access-list-number {permit|deny} source [mask]

为访问列表设置参数

IP 标准访问列表编号 1 到 99

缺省的通配符掩码 = 0.0.0.0

“no access-list access-list-number” 命令删除访问列表

Router(config-if)#

ip access-group access-list-number  { in | out }

在端口上应用访问列表

指明是进方向还是出方向

“no ip access-group access-list-number” 命令在端口上删除访问列表

扩展 IP 访问列表的配置

Router(config)#

access-list access-list-number  { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]

设置访问列表的参数

Router(config-if)# ip access-group access-list-number  { in | out }

在端口上应用访问列表

查看访问列表的语句

wg_ro_a#show {protocol} access-list {access-list number}

wg_ro_a#show access-lists {access-list number}

wg_ro_a#show access-lists

Standard IP access list 1

permit 10.2.2.1

permit 10.3.3.1

permit 10.4.4.1

permit 10.5.5.1

Extended IP access list 101

permit tcp host 10.22.22.1 any eq telnet

permit tcp host 10.33.33.1 any eq ftp

permit tcp host 10.44.44.1 any eq ftp-data

原文地址:http://blog.51cto.com/13578154/2114209

时间: 2024-11-05 20:42:39

第十三章 IP访问控制列表(ACL)的相关文章

Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置

Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置 一.实验目标 理解扩展IP访问控制列表的原理及功能: 掌握编号的扩展IP访问控制列表的配置方法: 二.实验背景 分公司和总公司分别属于不同的网段,部门之间用路由器进行信息传递,为了安全起见,分公司领导要求部门主机只能访问总公司服务器的WWW服务,不能对其使用ICMP服务. 三.技术原理 访问列表中定义的典型规则主要有以下:源地址.目标地址.上层协议.时间区域: 扩展IP访问列表(编号为100~199,2000~2699)使

第十四章 扩展IP访问控制列表配置

一.实验名称 扩展IP访问控制列表配置 二.实验内容 1.新建 Packet Tracer 拓扑图. 2.路由器R1与路由器R2通过 V.35 电缆串口连接,DCE 端连接在 R2 上, 配置其时钟频率 64000: 主机与路由器通过交叉线连接. 3.配置PC 机.服务器及路由器接口 IP 地址. 4.在各路由器上配置静态路由协议,让 PC 间能相互 ping 通,因为只有在互通的前 提下才涉及到访问控制列表. 5.在 R2 上配置编号的 IP 扩展访问控制列表. 6.将扩展 IP 访问列表应用

Cisco PT模拟实验(17) 路由器IP访问控制列表配置

Cisco PT模拟实验(17) 路由器IP访问控制列表配置 实验目的: 理解两种IP访问控制列表的原理及功能 掌握常见IP访问控制列表的配置方法 实验背景: 公司的经理部.财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问. 技术原理: 路由器能提供防火墙的功能,根据一些预设置的ACL过滤规则对任何经过接口的流量进行过滤,说明哪些具体的通信(来自设备.协议或端口等)是被允许或拒绝,该功能是

【华为HCNA】访问控制列表ACL实例配置

[华为HCNA]访问控制列表ACL实例配置 ACL的概念访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制.限制网络流量.提高网络性能.防止网络攻击等等. 应用场景在小型企业的网络中,现要求只有经理的PC(源地址是192.168.2.1)才能访问互联 实验目的允许主机B(经理的PC)访问互联网,禁止主机A访问互联网 网络拓扑图如下: 操作步骤 一.配置端口类型

Azure终结点访问控制列表ACL

对于公有云来说,用户最关心的莫过于安全方面的问题了.借助本文,我们来了解下Azure中的访问控制列表. 首先我们来看下什么是终结点访问控制列表ACL? 终结点访问控制列表 (ACL) 是可用于 Azure 部署的安全增强. 利用 ACL,可以选择允许还是拒绝虚拟机终结点的流量. 此数据包筛选功能额外提供了一层安全性. 只能为终结点指定网络 ACL, 无法为虚拟网络或虚拟网络中包含的特定子网指定 ACL. 建议尽可能使用网络安全组 (NSG),而不要使用 ACL. 使用网络 ACL 可以实现以下目

通信导论-访问控制列表ACL原理

访问控制列表ACL:当网络流量不断增长的时候,对数据流进行管理和限制的方法,允许或拒绝数据指令(设置ACL规则前测试网络连通性) 访问控制列表的功能 限制网络流量,提高网络性能 提供对通信流量的控制手段 提供网络访问的基本安全手段 ACL类型 标准ACL:仅以源IP地址为过滤标准 扩展ACL:以源IP地址.目的IP地址.TCP/UDP源端口号等为过滤标准 二层ACL 混合ACL 应用ACL,区分in和out的方向 inbound:进入路由表接口的方向 outbound:出路由表接口的方向 ACL

ORACLE 11G 存储过程发送邮件(job),ORA-24247:网络访问被访问控制列表 (ACL) 拒绝

ORA-24247:网络访问被访问控制列表 (ACL) 拒绝 需要先使用 DBMS_NETWORK_ACL_ADMIN.CREATE_ACL 创建访问控制列表(ACL),再使用 DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL 将此 ACL 与邮件服务器相关联,最后使用 DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE 在此 ACL 为用户授与连接邮件服务器的权限. BEGINDBMS_NETWORK_ACL_ADMIN.CREATE_ACL (acl 

Linux权限、组管理和访问控制列表(ACL)

一.用户组管理 创建组 groupad命令: groupadd [OPTION]... group_name     -g GID: 指明GID号:[GID_MIN,GID_MAX]     -r: 创建系统组: CentOS 6: ID<500 CentOS 7:ID<1000 组属性修改 groupmod命令: groupmod [OPTION]... group_name     -g:GID,改变组id     -n:改变组名 groupmod -n mutest mysystem g

IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)

在IIS中  依次执行如下操作: 网站--编辑权限--共享(为了方便可以直接将分享对象设置为everyone)--安全(直接勾选 everyone )--应用--确定. IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面.)