千锋教育网络安全学习笔记15-访问控制ACL
目录
ACL (NTFS)
5、ACL主要分为俩大类:
6、标准ACL
7、扩展ACL
8、ACL原理
9、命名ACL
实验:
ACL(NTFS)
1、访问控制列表(前者应用与网络通信上,后者用于文件和用户上)
2、ACL是一种包过滤技术。
3、ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号[五层数据不能]
4、ACL在路由器上配置,也可以在防火墙上配置(在防火墙上叫策略)
5、ACL主要分为俩大类:
1)标准ACL
2)扩展ACL
6、标准ACL:
表号:1-99
特点:只能基于源IP对包进行过滤
命令:
1 conf t 2 3 access-list 表号 permit/deny 源IP或源网段 反子网掩码
1 注释:反子网掩码:将子网掩码中的0和1倒置 2 3 255.0.0.0 -- 0.255.255.255 4 5 255.255.0.0 -- 0.0.255.255 6 7 255.255.255.0 -- 0.0.0.255 8 9 反子网掩码作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略 10 11 例如:access-list 1 deny 10.0.0.0 0.255.255.255 12 13 解释:该条目用来拒绝所有源IP为10开头的 14 15 16 17 18 access-list 1 deny 10.1.1.1 0.0.0.0 19 20 解释:该条目用来拒绝所有源IP为10.1.1.1的主机 简写:access-list 1 deny host 10.1.1.1 21 22 23 access-list 1 deny 0.0.0.0 255.255.255.255 24 25 解释:该条目用来拒绝所有人 简写:access-list 1 deny any
1 查看ACL表: 2 3 show ip access-list [表ID] 4 5 将ACL表应用到端口: 6 7 int f0/x 8 9 ip access-group 表号 in/out #in/out表明方向 10 11 exit 12 13 sh run
7、扩展ACL
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
命令:
1 acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 【eq端口号】 2 3 4 5 注释: 6 7 协议:tcp/udp/icmp/ip 8 9 案例: 10 11 acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80 12 13 acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255 14 15 acc 100 permit ip any any
8、ACL原理
1)ACL表必须应用到接口的进或出方向生效
2)一个接口的一个方向只能应用一张表,多了就会覆盖!
3)到底应用到进方向还是出方向取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,所以要注意书写顺序
5)每一条都是由:条件+动作组成,当流量完全满足某条件直接做出动作,若没满足条件,则继续检查下一条。
6)标准ACL尽量写在离目标主机近的地方,不然容易彻底封死源地址
7)小原理:
1)做流量控制,首先要判断ACL写的位置(那个路由器?那个接口的哪个方向?)
2) 再考虑怎样写ACL
3)如何写?
首先要判断最终是允许所有还是拒绝所有(ACL中最后会有个隐藏条目:拒绝所有)
然后写的时候要注意:将条件精确的写在前面
8) 一般情况下,标准或扩展ACL一旦编写,无法修改、删除、插入某一条,只能在最后添加新条目
如想修改插入或删除,只能删除整张表重新编写
1 conf t 2 3 no access-list 表号
9、命名ACL
作用:可以对标准或扩展ACL进行自定义命名
优点:自定义命名更容易辨认,也便于记忆!
可以任意修改某一条或删除某一条,也可插入
命令:
1 conf t 2 3 ip access-list standard/extended 自定义表名 4 5 进入另一模式: 6 7 直接从动作(deny/permit)开始编写条目 8 9 exit 10 11 删除某一条: 12 13 p access-list standard/extended 自定义表名 14 15 进入另一模式: 16 17 no 条目ID 18 19 exit 20 21 插入某一条: 22 23 p access-list standard/extended 自定义表名 24 25 进入另一模式: 26 27 条件ID 动作 条件 28 29 exit
实验:
浙公网安备 33010602011771号