在企业网络中经常遇到这样的问题:在网络一个重要的部门的主机或服务器不允许其他部门访问,而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表
一、ACL的概念
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。
二、ACL的作用
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
三、ACL的分类
1、标准IP访问列表
1)、标准IP访问列表格式
access-list[list number][permit|deny][source address]
①、 access-list
在access和list这2个关键字之间必须有一个连字符"-"。
②、list number
list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能:
(1)定义访问列表的操作协议;
(2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。
因扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的此,所以在运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。
③、permit|deny
在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。
④、source address
source address代表主机的IP地址,利用不同掩码的组合可以指定主机。
通配符掩码:通配符掩码和子网掩码一样都是32位,每位是由0或者1组成。在IP子网掩码中,数字1、0用来决定网络、子网,还是相应的主机的IP地址。通配符掩码中,0表示要检查的位,掩码位设成0则表示IP地址中相对应的位必须精确匹配;1表示不需要检查的位。通配符掩码中,可以用255.255.255.255表示所有IP地址,因为全为1说明32位中所有位都不需检查,此时可用any替代。而0.0.0.0的通配符则表示所有32位都必须要进行匹配,它只表示一个IP地址,可以用host表示。
具体查看原文
————————————————
版权声明:本文为CSDN博主「bingJiaJia」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/bingjia103126/article/details/72877767
QQ好友
QQ空间