51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

ACL(访问控制列表)原理及应用

作者:YAWEN
网络 通信技术
简而言之,ACL(访问控制列表)可以过滤网络中的流量,控制访问的一种网络技术手段。实际上,ACL的本质就是用于描述一个IP 数据包、以太网数据帧若干特征的集合。

一、ACL介绍

信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。

简而言之,ACL(访问控制列表)可以过滤网络中的流量,控制访问的一种网络技术手段。

[[272314]]

实际上,ACL的本质就是用于描述一个IP 数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

作用:

  • ACL可以限制网络流量、提高网络性能。
  • ACL提供对通信流量的控制手段。
  • ACL是提供网络安全访问的基本手段。
  • ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

二、ACL的分类(基于IP)

1. 标准 ACL

标准型 ACL只能匹配源IP 地址,在应用中有三种匹配的方式:

  • any,指任意地址
  • ,指定某个IP 网段
  • src_range ,指定 IP 的地址范围

配置命令:

  1. ip access-list standard <name> //标准 ACL,name为名字  
  2. {permit | deny} any   
  3. {permit | deny} <network> <net-mask>  
  4. {permit | deny} src_range <start-ip> <end-ip> 

2. 扩展型 ACL

扩展型 ACL可匹配多个条目,常用的项目有源、目的IP ,源、目的端口号,以及 ip协议号(种类)等,可以用来满足绝大多数的应用。

在一个条件中,这些项目的前后顺序如下:协议号,源ip地址,源端口号,目的ip地址,目的端 口号。

配置命令:

  1. ip access-list extended <name>  
  2.  
  3. {permit|deny} {ip|icmp |tcp| udp} {any |network |src_range} [src_port] {any | network | src_range} [dst_port]  

三、ACL的匹配规则

一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL 中的下一个条件判断语句进行比较。

如果匹配(假设为允许发送),则不管是第 一条还是最后一条语句,数据都会立即发送到目的接口。

如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃(隐含拒绝:deny any )。

这里要注意,ACL不能对本身产生的数据包进行控制。

四、ACL的调用

不同的模块来调用,将会起到不同的作用,这也是ACL应用广泛的根本原因。常见的调用ACL的模块有:

  • 包过滤:ip access-group
  • 网络地址转换:NAT
  • 策略路由:PBR
  • ip 服务质量:QoS
  • 动态路由过滤:RIP/OSPF等

较为常用的是access-group ,其调用方法非常需要确定两个因素:

  • 具体配置接口选择:一般的原则是离开要被控制的主机更近的那个 口。
  • 方向选择:方向有 in和 out 两种,一个接口的一个方向上只能同时

调用一个 ACL条目。配置命令:

  1. interface fastethernet  
  2. ip access-group <name> in|out 

五、实验

实验一:

使用扩展型ACL,实现 PC ping 不通路由器,但路由器可以ping PC

  1. ip access-list extended test  
  2. F0/0   
  3. deny icmp 192.168.1.254 255.255.255.0 8  
  4. interface fastethernet 0/0  
  5. ip access-group test in 

实验二:

某网络中,禁止所有用户去ping 、telnet、http访问某服务器(dns

服务器, ip为192.168.1.253),但要其正常提供服务

  1. ip access-list extended test  
  2. deny icmp any 192.168.1.253 255.255.255.255  
  3. deny tcp any 192.168.1.253 255.255.255.255 eq 23  
  4. deny tcp any 192.168.1.253 255.255.255.255 eq 80  
  5. permit ip any any 

实验三:

某网络中除了正常的web访问、邮件收发,其他所有的应用禁止

  1. ip access-list extended test 
  2. permit tcp any any eq 80 
  3. permit tcp any any eq 25 
  4. permit tcp any any eq 110 
  5. deny ip any any(隐含条目) 
责任编辑:赵宁宁 来源: 思科CCIE俱乐部
ACL访问控制列表网络通信
相关推荐
浅谈访问控制列表(ACL)
本文将介绍ACL的基本概念、分类和实现方式,并结合具体案例探讨ACL在网络安全中的应用和发展趋势。

2023-12-06 21:50:40

Squid访问控制ACL元素以及访问列表
代理服务器是介于浏览器和Web服务器之间的另一台服务器。有了该服务器之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信息会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给客户的浏览器。

2012-09-18 09:43:14

Squid代理服务器安全网关
CCNA:IP访问控制列表(ACL)知识总结
建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一不定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。

2009-05-13 10:26:02

CCNAACLIP访问控制
巧用Squid的ACL访问列表实现高效访问控制
Squid代理服务器是一个缓存Internet数据的软件,可以代理HTTP、FTP、GOPHER、SSL和WAIS等协议,提高用户下载页面的速度,并设置过滤。使用Squid可以通过访问控制特性来灵活的控制用户访问时间、站点等限制。这些可以通过SquidACL和访问列表来轻松实现。

2010-09-01 16:43:26

Squid ACLSquid访问列表Squid
在Linux中使用访问控制列表(ACL)保护文件/目录
作为系统管理员,我们的首要任务就是切实保护数据的安全,以免被未授权的人访问。我们都很清楚使用一些大有帮助的Linux命令设置的权限,比如chmod、chown和chgrp等命令,可是这些默认的权限集有一定的局限性,有时可能还满足不了我们的要求。

2014-05-26 09:50:19

访问控制列表ACL文件保护
中小企业网络管理:ACL访问控制列表
现在网络是越来越复杂,网络数据也呈现出多样化,作为网络管理员必须能够拒绝不良的访问,同时又要允许正常的访问。

2013-03-01 10:48:28

cisco动态访问控制列表应用
本文主要向大家介绍了一种新型的访问表,那么对于动态访问控制列表要如何进行使用呢?具体操作步骤是什么呢?下面的文章将给予你详细介绍。

2010-08-06 10:10:17

思科路由器动态访问列表
图解网络:访问控制列表 ACL,功能堪比防火墙
ACL是一组允许或拒绝访问计算机网络的规则,网络设备,即路由器和交换机,将ACL语句应用于入站和出站网络流量,从而控制哪些流量可以通过网络。​

2022-07-13 09:01:48

ACL网络流量
访问控制列表学习:自反访问列表引入和配置
访问控制列表(ACESSLIST)自反访问列表引入和配置的学习。

2009-02-12 11:59:11

包过滤控制访问列表
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

2011-03-14 17:50:27

访问控制列表
关于ACL时间控制列表的设置问题
合理有效地利用基于ACL时间控制列表,可以更有效、更安全、更方便地保护我们的内部网络,这样您的网络才会更安全,网络管理人员也会更加轻松。

2009-12-22 09:04:35

ACL时间控制列表
一种“多才多艺”的网络工具——访问控制列表ACL
内部路由器对前往企业网络中受保护部分的数据流进行过滤,以进一步提高安全,这是通过使用访问控制列表实现的。

2020-09-15 10:16:19

网络工具访问控制列表ACL
访问控制列表限制访问指定网站
如果要限制员工对某一网站的访问,获取该网站服务器完整的IP地址列表很关键,并且当网站服务器IP地址有变更时,需在访问控制列表中手动更新它。而访问控制列表对过对网站服务器IP地址的“阻止”访问来达到限制员工访问某一网站的目的。

2009-02-05 10:12:00

访问控制列表限制访问
Linux安全访问控制模型应用方案设计 
本文介绍了BLP、DTE和RBAC三种访问控制模型,并结合这三种安全策略模型,提出了一个安全系统的组成和功能的具体实现方案。

2009-07-06 20:55:48

Linux全访问控制模型方案设计
某公司访问控制列表配置实例
某公司访问控制列表配置实例。

2009-06-09 10:30:48

思科控制列表配置实例
Cisco自反控制列表应用
本文详细的介绍了对于自反控制列表应用的基本设置,同时详细的介绍了基本的配置命令,并给出了配置过程。

2010-08-04 10:35:13

反向访问控制列表的用途及格式
即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。

2009-04-09 10:10:00

Zookeeper权限访问控制简介实操
近日在某项目部署实施过程中,进行了线上漏洞扫描后,在出具的漏扫报告中存在一个需修复项“Zookeeper未授权访问”。通过查询了解,得知需通过添加身份认证的方式来解决该修复项,在修复、验证以及后续应用上线的过程中,碰到了系列问题,特作记录分享。

2019-07-30 15:13:30

在路由器上配置动态访问控制列表
本文主要从技术实现角度详细的讲述了如何进行动态控制列表的配置,并且在配置过程中要进行哪些具体的操作,下面文章都给予了详细的解答。

2010-08-04 13:06:41

路由器配置
在路由器上配置自反访问控制列表
自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。

2011-03-01 13:22:18

自反访问控制列表
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服