ACL(访问控制列表)

文章目录

首先可以看下思维导图,以便更好的理解接下来的内容。

一、ACL

定义

ACL,也称为访问控制列表,是一种网络安全工具,用于在网络设备上对数据流进行匹配和筛选。它可以控制数据包的流向,允许或拒绝数据包通过网络接口,以实现网络安全和资源管理。

常见功能

ACL 主要用于以下常见功能:

访问控制:通过ACL和数据包过滤结合使用,限制特定源或目标的网络访问。

路由控制:与路由策略结合,ACL 可以用于决定数据包的路由路径。

流量控制:结合QoS(Quality of Service)策略,ACL 可以帮助管理流量的优先级和带宽分配。

二、基于ACL的包过滤

定义

基于 ACL 的包过滤是一种网络安全措施,它对每个进出网络接口的数据包逐个进行检查,并根据ACL规则决定是否允许或丢弃数据包。这些规则必须配置在特定接口的某个方向上才能生效,每个接口的一个方向只能配置一个包过滤策略。

包过滤的方向

ACL 包过滤可以配置在以下两个方向上:

入方向:只对从外部进入网络的数据包进行过滤。

出方向:只对从内部发出的数据包进行过滤。

包过滤的工作流程

ACL 包过滤的工作流程包括以下步骤:

  1. 当数据包到达接口时,系统检查是否应用了ACL规则。如果有ACL规则,系统将开始匹配,否则数据包将被允许通过。
  2. 数据包将按照ACL编号匹配第一条规则。如果匹配成功,系统将继续检查该规则的动作。
    如果规则动作是允许,系统将允许数据包通过。
    如果规则动作是拒绝,系统将丢弃数据包。
  3. 如果第一条规则未匹配,系统将继续匹配下一条规则,以此类推。
  4. 如果没有规则匹配,系统将检查默认动作。
    如果默认动作是允许,系统将允许数据包通过。
    如果默认动作是拒绝,系统将丢弃数据包。

注意事项

  • 如果默认动作是允许,至少需要配置一条拒绝规则,以确保网络安全。
  • 如果默认动作是拒绝,至少需要配置一条允许规则,以确保合法数据的通过。
  • 在规则设置中,通常建议将最具体的规则配置在前面,以提高匹配效率。
  • 在不影响网络功能的前提下,尽量将包过滤配置在距离数据源最近的接口的入方向,以提高网络性能。

三、ACL分类

ACL 分为以下两种主要类型:

基本ACL:

只对数据包的源地址进行匹配。

通常使用编号范围为2000-2999的ACL规则。

高级ACL:

对数据包的五元组进行匹配,包括源IP、目标IP、源端口、目标端口和协议。

通常使用编号范围为3000-3999的ACL规则。

四、常用命令

c 复制代码
[h3c]acl basic 'acl-number'                                 # 创建基本ACL,进入ACL视图
[h3c]acl advanced 'acl-number'                              # 创建高级ACL,进入ACL视图
[h3c-acl-basic-2000]rule 'rule id' 'permit/deny' source 'ip address' 'wild-mask'          # 创建基本ACL规则 如不写rule-id,则系统自动从0开始以5的倍数增加序号
[h3c-acl-basic-3000]rule 'rule id' 'protocol' source 'ip address' 'wild-mask' source-port 'port' destination 'ip address' 'wild-mask' destination-port 'port'        # 创建高级ACL规则
[h3c-GigabitEthernet 0/0]packet-filter 'acl number' 'inbound/outbound'     # 配置包过滤
[h3c]packet-filter default deny                             # 更改默认动作为拒绝

如有不详或错误,敬请指出。

相关推荐
Fanmeang1 小时前
OSPF路由过滤
运维·网络·华为·ip·路由·ospf·路由过滤
2501_915918412 小时前
接口漏洞怎么抓?Fiddler 中文版 + Postman + Wireshark 实战指南
websocket·网络协议·tcp/ip·http·网络安全·https·udp
我是阿呆同学2 小时前
仿mudou库one thread oneloop式并发服务器
网络
是阿建吖!3 小时前
【Linux | 网络】网络编程套接字
linux·网络
en-route4 小时前
HTTP cookie
网络·网络协议·http
yqcoder4 小时前
2. 你可以说一下 http 版本的发展过程吗
网络·网络协议·http
网硕互联的小客服4 小时前
未来趋势:AI与量子计算对服务器安全的影响
运维·服务器·网络·网络安全·量子计算
黑客老李4 小时前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
是阿建吖!4 小时前
【Linux | 网络】网络基础
linux·网络
W说编程4 小时前
物联网通信技术全景剖析:从LoRa到5G的深度对比与选型指南
网络·物联网·5g·射频工程