访问控制列表原理及配置技巧(acl)

《访问控制列表原理及配置技巧(acl)》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、1、访问控制列表的作用。作用就是过滤实现安全性具网络可有管理性一、过滤，经过路由器的数据包二、控制增长的网络IP数据2、访问控制列表的分类及其特性。一、标准列表只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。访问控制别表具有方向性，是以路由器做参照物，来定义out或者inout：是在路由器处理完以后，才匹配的条目in：一进入路由器就匹配，匹配后在路由。编号范围为：1-99二、扩展列表可以很据数据包中的源ip地址和目的ip地址

2、及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上，接口为距源最近的接口，方向为in，可以审核三层和四层的信息。编号范围：100-199如何判断应使用哪种类型的访问控制列表标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。）扩展：针对源地址，允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。（当源确定下来，具有单个源可有多个目的地址时。）编号的作用：a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。2.访问列表按

3、顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。3.具有严格限制的条目应该放在列表前。4.删除列表不能有选择删除，若noaccess-listX的一个条目，则这个列表被删除。5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，denyany（拒绝所有）

4、10.在某个接口，某个方向上只能调用一个列表。11.访问控制列表不能过滤自身产生的数据。书写列表的步骤：1.选择要应用的列表类型2.选择要书写的路由器并书写列表3.选择路由器的接口来调用列表实现过滤4.选择应用列表的方向标准访问控制列表的配置1.回顾标准列表的特性2.标准列表的配置语法（通配符）配置的过程中，熟记配置规则1.标准列表：只基于ip协议工作，控制数据包的源地址应用过程中：距目的地址近的路由器和接口2.配置列表的步骤1）选择列表的类型2）选择路由器（是要在哪个上路由器上配置列表）3.）选择要应用的接口（在哪个接口上调用）4）

5、判断列表的方向性（in和out：相对路由器）3.标准列表的配置语法1）在全局模式下，书写规则access-list列表编号permit/deny源网络地址源地址的通配符列表的编号：1-99和1300-1999通配符：零所对应的位即为精确匹配位。通常所讲的反子掩码255.255.255.0==通配符=0.0.0.255255.255.255.255-正掩码———————————反子网掩码2）调用列表控制数据包经过接口时过滤在接口模式下ipaccess-group列表编号方向主机ip0.0.0.0=host主机ip0.0.0.0255.2

6、55.255.255=any实例：允许1.0允许3。21.拒绝1.0拒绝3.2access-list1deny192.168.1.00.0.0.255access-list1deny192.168.3.20.0.0.02.拒绝1.0允许1.21.可以审核数据包的源地址和目的地址及协议(端口)2.编号范围为100-199.3.针对源地址，允许源去往特定的目的，或去特定的目的做什么。4.应用过程中，应靠近源或组源，方向为in扩展列表的配置语法第一，定义列表access-list列表编号permit/deny大协议源地址源的通配符目的地址目

7、的通配符eq小协议或端口列表编号：100-199大协议：ip/tcp/udp/icmp/其他的路由协议当:只针对源地址和目的地址来做策略时，大协议通常ip。当：涉及到具体做什么的时候，才会选择其他协议。eq：是等于的意思小协议和端口：指的是一些应用协议，属于应用层，或者是传输层的端口，通常1-1024端口会对应一个具体应用协议例如：http80ftp=20,21