您好,登錄后才能下訂單哦!
眾所周知,無論在哪個系統上都有防火墻的存在,幫助計算機/服務器網絡于其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
而在路由器上同樣也有一種“防火墻”,被稱為——訪問控制列表。該列表應用于路由器接口,通過該列表來告訴路由哪些數據包需要過濾,哪些可以通過。下面我將詳細為大家進行講解。
主要用于在路由、三層交換中建立包過濾防火墻。訪問控制列表基于TCP/IP協議中的三層(依靠IP地址)、四層(依靠端口與協議)進行過濾。同時還有一種專業的應用防火墻,基于七層進行過濾。
過濾的策略則是根據人為定義好的規則對數據包進行過濾,主要依靠 :源地址、目的地址、源端口、目的端口,這四個元素。
標準型訪問控制列表
? 只能基于源IP 地址過濾
? 該種列表的訪問控制列表號為1~99
擴展訪問控制列表
? 基于源IP、目的IP、指定協議、端口、標志過濾數據
? 該種列表的訪問控制列表號為100~199
命名訪問控制列表——包含標準訪問和擴展訪問
? 該種列表允許在標準和擴展列表中使用“名稱代替表號”
標準IPX訪問
擴展IPX訪問
命名的IPX訪問
對上面流程的具體解釋:
白名單 | 黑名單 |
---|---|
允許(假設允許192.168.1.2) | 拒絕(假設拒絕192.168.1.2) |
允許(假設允許192.168.1.3) | 拒絕(假設拒絕192.168.1.3) |
。。。 | 。。。 |
拒絕所有(可以不寫)默認為拒絕所有 | 允許所有(必須寫)默認隱含為拒絕所有 |
匹配規則: 自上而下、逐條匹配。最后一條默認隱含拒絕所有。
創建ACL
Router(config)#access-list access-list-number {permit | deny} source [source-wildcard]
access-list-number: 訪問控制列表表號
permit | deny:允許數據包通過 | 拒絕數據包通過
source [source-wildcard]:源IP + 子網掩碼反碼(any表示所有IP、host表示某個特定主機)
刪除ACL
Router(config)#no access-list access-list-number
將ACL應用于/取消應用接口
Router(config-if)#ip access-group access-list-number {in|out} //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out} //取消在接口上的應用
{ in | out }:表示ACL應用于限制方的數據流向在路由器的進口還是出口(通常放在里限制方近的一端 in口)
創建ACL
Router(config)#access-list access-list-number {permit | deny} protocol { source source-wildcard destination destination-wildcard } [operator operan]
protocol:協議名稱(TCP、UDP、ICMP、IP......)
source source-wildcard:源IP + 子網掩碼反碼(any表示所有IP、host表示某個特定主機)
destination destination-wildcard:目標IP + 子網掩碼反碼
operator operan:端口號
刪除ACL
Router(config)#no access-list access-list-number
將ACL應用于/取消應用接口
Router(config-if)#ip access-group access-list-number {in|out} //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out} //取消在接口上的應用
創建ACL
Router(config)#ip access-list {standard|extended} access-list-name
配置標準命名ACL
Router(config-std-nacl)#[Sequence-Number]{permit|deny} source [source-wildcard]
配置擴展命名ACL
Router(config-std-nacl)#[Sequence-Number]{permit|deny} protocol {source source-wildcard destination destation-wildcard} [operator operan]
sequence-number:序列號
standard:標準命名ACL
extended:擴展命名ACL
刪除整組ACL
Router(config)#no ip access-list {standard|extended} access-list-name
刪除組中單一ACL語句
Router(config-std-nacl)#no Sequence-Number //通過序列號刪除
Router(config-std-nacl)#no ACL語句 //通過整段ACL語句
將ACL應用于/取消應用接口
Router(config-if)#ip access-group access-list-number {in|out} //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out} //取消在接口上的應用
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。