acl規則

acl規則是Cisco IOS所提供的一種訪問控制技術。 初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。

基本原理

ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源連線埠、目的連線埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。

功能

網路中的節點有資源節點和用戶節點兩大類,其中資源節點提供服務或數據,用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問許可權。

在實施ACL的過程中,應當遵循如下三個基本原則:

1.最小特權原則:只給受控對象完成任務所必須的最小的許可權。

2.最靠近受控對象原則:所有的網路層訪問許可權控制。

3.默認丟棄原則:在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。

局限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法識別到套用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及套用級的訪問許可權控制結合使用。

寫法

1、huawei設定acl命令如下 :

acl number 3000

rule 0 permit ip source 伺服器端的子網 掩碼的反碼 //允許哪些子網訪問伺服器

rule 5 deny ip destination 伺服器端的子網 掩碼的反碼 //不允許哪些子網訪問伺服器

2、綁定到連線埠:

interface gig 0/1 //進入伺服器所在的交換機連線埠

[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl綁定到連線埠

相關詞條

相關搜尋

熱門詞條

聯絡我們