访问控制列表ACL

最新推荐文章于 2025-07-28 09:30:58 发布
最新推荐文章于 2025-07-28 09:30:58 发布
阅读量971 收藏 19
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 网络安全从菜鸟到飞鸟的逆袭 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61643743/article/details/145139323

✍作者:柒烨带你飞
💪格言:生活的情况越艰难,我越感到自己更坚强;我这个人走得很慢,但我从不后退。
📜系列专栏:网络安全从菜鸟到飞鸟的逆袭

目录

一,ACL 基本概念

ACL文档
ACL配置
1、概述
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全(数据包的五元组:源IP、目标IP、源端口、目标端口、协议)。
读取第三层(源IP和目的IP)、第四层包头(源端口和目的端口)信息。
根据预先走义好的规则对包进行过滤。
2、工作原理
ACL是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址,目的地址,端口号等。如果规则拒绝,组织报文转发,如果规则允许,则报文正常转发
在这里插入图片描述

  1. ACL的组成

    • 在这里插入图片描述

    • ACL编号:用于标识ACL,表明该ACL是数字型ACL。

      • 根据ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL和用户ACL这几种类型,每类ACL编号的取值范围不同。关于每类ACL编号的详细介绍,请参见ACL的分类。 除了可以通过ACL编号标识ACL,设备还支持通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。 命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配。例如,下面就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

      rule 0 deny tcp source 10.152.0.0 0.0.63.255 destination 10.64.0.97 0 destination-port eq telnet
      rule 5 deny tcp source 10.242.128.0 0.0.127.255 destination 10.64.0.97 0 destination-port eq telnet ```

    • 规则:即描述报文匹配条件的判断语句。

    • 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。 ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。所以,图1-2中的rule 5排在首位,而规则编号最大的rule 4294967294排在末位。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。

    • 动作:包括permit/deny两种动作,表示允许/拒绝。

    • 匹配项:ACL定义了极其丰富的匹配项。除了图1-2中的源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。

分类适用的IP版本规则定义描述编号范围
基本ACLIPv4仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则2000 - 2999
高级ACLIPv4既可使用IPV4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则3000 - 39999
二层ACLIPv4&IPv6使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等4000 - 49999
用户自定义ACLIPv4&IPv6使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行"与"操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文5000 - 59999
用户ACLIPv4既可使用IPV4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则6000 - 6031
基本ACL6IPv6可使用IPv6报文的源IPV6地址、分片信息和生效时间段来定义规则2000 - 29999
高级ACL6IPv6可以使用IPv6报文的源IPV6地址、目的IPv6地址、IPv6协议类型、ICMPV6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则3000 - 39999

二,示例

基本ACL(IPv4)示例

假设要阻止来自192.168.1.0/24网段的所有IP访问设备,可进行如下配置:

# 创建基本ACL 2000
acl number 2000
# 配置规则,拒绝源IP为192.168.1.0/24网段的流量
rule deny source 192.168.1.0 0.0.0.255

高级ACL(IPv4)示例

若要允许192.168.1.0/24网段的设备访问192.168.2.0/24网段的Web服务(TCP 80端口),但拒绝其他所有访问,配置如下:

# 创建高级ACL 3000
acl number 3000
# 配置规则,允许源IP为192.168.1.0/24网段,目的IP为192.168.2.0/24网段且目的端口为80的TCP流量
rule permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq 80
# 配置规则,拒绝其他所有流量
rule deny ip

二层ACL示例

若要阻止MAC地址为00-01-02-03-04-05的设备通过交换机转发数据,配置如下:

# 创建二层ACL 4000
acl number 4000
# 配置规则,拒绝源MAC地址为00-01-02-03-04-05的流量
rule deny source-mac 0001-0203-0405

用户自定义ACL示例

假设要匹配特定报文头字符串来过滤流量,配置如下:

# 创建用户自定义ACL 5000
acl number 5000
# 配置规则,从报文头第10个字节开始,与字符串掩码000000000000FFFF进行“与”操作,
# 并将提取出的字符串与自定义字符串0000000000000001进行比较,匹配则拒绝
rule deny packet-filter offset 10 mask 000000000000FFFF text 0000000000000001

用户ACL示例

要允许192.168.1.0/24网段的设备访问192.168.2.0/24网段的SSH服务(TCP 22端口),配置如下:

# 创建用户ACL 6000
acl number 6000
# 配置规则,允许源IP为192.168.1.0/24网段,目的IP为192.168.2.0/24网段且目的端口为22的TCP流量
rule permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq 22

基本ACL6(IPv6)示例

阻止来自2001:db8::/32网段的IPv6流量访问设备,配置如下:

# 创建基本ACL6 2000
acl6 number 2000
# 配置规则,拒绝源IPv6地址为2001:db8::/32网段的流量
rule deny source 2001:db8::/32

高级ACL6(IPv6)示例

允许2001:db8:1::/64网段的设备访问2001:db8:2::/64网段的DNS服务(UDP 53端口),配置如下:

# 创建高级ACL6 3000
acl6 number 3000
# 配置规则,允许源IPv6地址为2001:db8:1::/64网段,目的IPv6地址为2001:db8:2::/64网段且目的端口为53的UDP流量
rule permit udp source 2001:db8:1::/64 destination 2001:db8:2::/64 destination-port eq 53

不同厂商设备的ACL配置命令和语法可能有所差异,实际应用中需参考对应设备的操作手册。

博主的其他系列专栏📜📜📜

创作不易,😊如果觉得文章不错或能帮助到你学习,可以点赞👍收藏📁评论📒+关注哦!留下你的看法和建议💕
我们下期见✍️

五、访问控制列表ACL之高级访问控制列表(动态ACL、自反ACL、基于时间的ACL、基于上下文的ACL
锦慈的技术博客
07-05 375
动态ACL是能够自动创建动态访问表项的访问列表。传统的标准访问列表和扩展的访问列表不能创建动态访问表项。一旦在传统访问列表中加入了一个表项,除非手工删除,该表项将一直产生作用。而在动态访问表中,可以根据用户认证过程来创建特定的、临时的访问表项,一旦某个表项超时,就会自动从路由器中删除。
ACL访问控制列表
qq_47175413的博客
06-03 5437
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL 访问控制列表全解析:从规则语法到实战配置
最新发布
-曾牛的博客
07-28 1418
语法元素说明示例创建ACL列表,为编号acl 2000(创建基本ACL,编号2000)定义单条规则,<rule-id>为规则编号(需唯一,设备按编号从小到大依次匹配规则)rule 5(创建编号为5的规则)<action>规则动作: -permit:允许匹配的流量 -deny:拒绝匹配的流量deny(拒绝流量)、permit(允许流量)匹配源IP地址: -:源IP(单个IP或网段) -:反掩码(0表示严格匹配该位,255表示任意)(匹配网段)控制逻辑:通过源/目的IP地址和协议类型。
高级的访问控制列表
weixin_44551911的博客
09-27 1675
基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其它参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的
访问控制列表——主机与服务器的高级访问控制
weixin_43904561的博客
12-06 1632
高级访问控制列表 实验目的 理解高级访问控制列表的应用场景。 掌握配置高级访问控制列表的方法。 理解高级访问控制列表与基本访问控制列表的区别。 实验原理 ACL的定义和作用 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 访问控制列表的分类 基本的访问控制列表 (basic acl) 高级的访问控制列表(a
配置高级的访问控制列表ACL
weixin_43957217的博客
04-10 3139
原理概述 基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所有基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表。 高级的访问控制列表在匹配项上做了扩展,编号范围为3000~3999,既可以使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的...
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
三层交换机访问控制列表ACL的配置.ppt
02-22
随着信息技术的迅猛发展,网络安全问题越来越受到重视,而三层交换机中的访问控制列表ACL技术是保障网络安全的重要手段之一。ACL能够对通过交换机的网络流量进行精确控制,根据预设的规则对数据包进行过滤,从而实现...
计算机网络实验报告(7)访问控制列表ACL配置实验.doc
07-07
"计算机网络实验报告(7)访问控制列表ACL配置实验" 计算机网络实验报告(7)访问控制列表ACL配置实验是计算机网络实验报告中的一个重要实验项目,旨在让学生了解访问控制列表ACL的配置和应用。下面是实验报告的详细...
2022年计算机网络实验报告访问控制列表ACL配置实验.doc
04-22
访问控制列表ACL)是路由器和交换机上的一种配置,用于确定哪些网络流量可以被允许通过或被拒绝。ACL可以基于源IP地址、目的IP地址、端口号等信息对数据包进行过滤。在网络安全中,ACL扮演着重要的角色,因为它...
访问控制列表ACL及配置
ssslq的博客
01-10 1729
访问控制列表ACL以及
实验20.网络安全产品及管理之ACL配置高级的访问控制列表
2202_75658977的博客
03-18 893
基本是ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表。如果要R1只能通过访问R4的环回接口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配源地址实现过滤,所以需要使用高级ACL。都可以成功正常登录。可以观察到,在不定规则ID的情况下,默认步长为5,第一条规则的规则ID即为5。
10.2 配置高级的访问控制列表
qq_45382474的博客
11-10 3227
原理概述 基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,就需要使用高级的访问控制列表。 高级的访问控制列表在匹配项上做了扩展,编号范围为3000~2999,即可使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来兴义规则。 高级访问控制列...
访问控制列表高级ACL配置
qq_68152334的博客
01-05 321
访问控制列表高级ACL实验
高级ACL访问控制列表)的配置
❤️遇见我 的博客
07-31 1814
高级ACL访问控制列表)的配置 ,ensp华为web,ftp服务器配置
高级acl访问控制列表的配置
Zzaizhu的博客
12-21 900
在路由器上应用高级访问控制列表,对访问服务器的数据流量进行控制。禁止市场部访问FTP服务的数据流通过,但同时服务器又向公司市场部和技术部用户提供了Web服务,而除此之外对服务器的其他访问均被拒绝,从而达到保护服务器和数据安全的。(1)在Mraket上可以正常访问Web服务器的。(2)在Market上测试FTP是无法正常访问的。(2)在trch上测试FTP是正常访问的。
新手必看的ACL基本访问控制列表及高级访问控制列表
02-18 5233
【温馨提示】需要资料或者需要进群交流划到最底部 ACL原理 ACL是什么 为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过访问控制列表(Access Control List)体现的。 访问控制列表根据IP报文的协议号、源地址、目标地址、源端口和目的端口的信息起到过滤数据报文的作用。 用户需要根据自己的安全策略来确定访问控制列表,并将其应用到整机或定接口上,安全网关就会根据访问控制列表来检查所有接口或定接口上的所有数据包,对于符合规则的报文作正.
访问控制列表ACL
墨_衍的博客
03-14 4716
文章目录一、ACL二、实验配置1.配置需求:2.配置步骤:3.配置命令 一、ACL 1、ACL的作用: 1)匹配数据包,实现数据包的控制(过滤或放行) 2、组成: 1)规则:即匹配数据包的各种条件; 2)动作:permit 和 deny ; 3、基本ACL 1)表示方式:ID,取值控制为:2000~2999 2)仅仅能匹配数据包的源IP地址,匹配数据包不精确 3)建议:在调用时,尽量调用在距离目标设备近的地方; 4、高级ACL 1)表示方式:ID,取值控制为:3000~3999 2)可以同时匹配数据包的源
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值