【CyberSecurityLearning 18】ACL及实验演示
目錄
一、ACL
5.? ACL主要分為2大類:
6. 標準ACL:(在路由器上寫ACL來實現流量過濾)
7.擴展ACL:
8. ACL原理
9.命名ACL:
擴展ACL實驗拓撲圖
標準ACL實驗演示:
一、ACL
1.? Access Control List? 訪問控制列表(對訪問資源的控制)
2.? ACL是一種包過濾技術。(主要還是基于三層和四層來過濾)
3.? ACL基于IP包頭的IP地址、四層TCP/UDP頭部的端口號、[5層數據]
?????????? 基于三層IP地址和四層端口號進行過濾
4.? ACL在路由器上配置,也可以在防火墻上配置(一般稱為策略)
5.? ACL主要分為2大類:
??? 1)標準ACL
??? 2)擴展ACL(用的最多)
6. 標準ACL:(在路由器上寫ACL來實現流量過濾)
??? 標準ACL的表號范圍:1-99
??? 特點:只能基于源IP對包進行過濾(沒有能力去檢查一個包里面的目標IP,也沒有能力檢查你是什么協議,更沒有能力去檢查端口號,應用范圍非常窄)
??? 命令:
??? conf? t
??? access-list? 表號? permit/deny?? 源IP或源網段? 反子網掩碼
??? 注釋:反子網掩碼:將正子網掩碼0和1倒置
????????????? 255.0.0.0? --? 0.255.255.255(11111111.0000000.00000000.00000000---00000000.11111111.11111111.11111111)
????????????? 255.255.0.0? --? 0.0.255.255
????????????? 255.255.255.0? --? 0.0.0.255
???????????? 反子網掩碼作用:用來匹配條件,與0對應的需要嚴格匹配,與1對應的忽略!
??? 例如: access-list?? 1?? deny?? 10.0.0.0?? 0.255.255.255
?????????????? 解釋:該條目用來拒絕所有源IP為10開頭的!
???????????????????????? access-list?? 1?? deny?? 10.1.1.1? 0.0.0.0
?????????????? 解釋:該條目用來拒絕所有源IP為10.1.1.1的主機
?????????????? 簡寫: access-list?? 1?? deny?? host? 10.1.1.1
??????????????? access-list?? 1?? deny?? 0.0.0.0? 255.255.255.255
?????????????? 解釋:該條目用來拒絕所有所有人
?????????????? 簡寫: access-list?? 1?? deny?? any
查看ACL表:
show? ip? access-list? [表ID]
將ACL應用到接口:
int? f0/x
?? ip? access-group? 表號? in/out
?? exit
show running-conf
完整的案例:
conf t
acc 1 deny host 10.1.1.1???????? 不允許源IP是10.1.1.1的通過
acc 1 deny 20.1.1.0 0.0.0.255 禁止源IP是20.1.1.0網段的通過
acc 1 permit any
7.擴展ACL:
表號:100-199
特點:可以基于源IP、目標IP、端口號、協議等對包進行過濾
命令:
acc 100 permit/deny? 協議? 源IP或源網段? 反子網掩碼? 目標IP或源網段? 反子網掩碼? [eq 端口號](除了可選項,其他都要寫 eq=equal)
注釋:協議:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80(端口號80依賴的是傳輸層的tcp協議,當后面寫端口號時前面只有udp和tcp兩種選擇)
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255(當后面不加端口號的時候4個都可以選中,如果禁止源訪問目標的所有服務,前面寫IP)
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any
?
8. ACL原理
1)ACL表必須應用到接口的進或出方向才生效!(進出是針對于路由器來講的,路由器不允許通過的時候會被干掉)
???? 【ACL表要貼到路由器的接口上才有用,一個接口有兩個方向,要指明方向才有用】方向不能寫反
2)一個接口的一個方向上永遠只能應用一張表!
3)進還是出方向應用?取決于流量控制總方向
4)ACL表是嚴格自上而下檢查每一條,所以要注意書寫順序
5)每一條是由條件和動作組成,當某流量沒有滿足某條件,則繼續檢查下一條
當檢查完表中所有條目之后都沒有滿足條件,就會被干掉(在所有的訪問控制列表的末端,默認有一條隱藏的拒絕所有條目的條目【條件是any,動作是拒絕】)
6)標準ACL盡量寫在靠近目標的地方(應用范圍非常窄)
7)wencoll小原理:
???? ①做流量控制,首先要先判斷ACL寫的位置(那個路由器?那個接口的哪個方向?)
???? ②再考慮怎么寫ACL。
???? ③如何寫?
????????? 首先要判斷最終要允許所有還是拒絕所有
????????? 然后寫的時候要注意:將詳細嚴格的控制寫在前面
8)一般情況下,標準或擴展acl一旦編寫號,無法修改某一條,也無法刪除某一條,也無法修改順序,也無法往中間插入新的條目,只能一直在最后添加新的條目
???? 如想修改或插入或刪除,只能刪除整張表,重新寫!
???? conf t
???? no? access-list? 表號
9.命名ACL:
作用:可以對標準或擴展ACL進行自定義命名
優點:自定義命名更容易辨認,也便于記憶!
????????? 可以任意修改某一條,或刪除某一條,也可以往中間插入某一條
命令:
conf t
ip? access-list? standard/extended?? 自定義表名
????? 開始從deny或permit編寫ACL條目
????? exit
刪除某一條:
ip? access-list? standard/extended?? 自定義表名
????? no? 條目ID
????? exit
插入某一條:
ip? access-list? standard/extended?? 自定義表名
????? 條目ID?? 動作?? 條件
????? exit
擴展ACL實驗拓撲圖
標準ACL實驗演示:
首先做到全網互通再配ACL
實驗要求:(要求以下全部使用標準ACL實現!)
1、要求10網段禁止訪問整個50網段,訪問其他網段不受限制!
2、要求40.1.1.1PC禁止訪問50網段,其他訪問均不受限制
3、要求10.1.1.1禁止訪問40網段,其他不受影響
實驗演示:
1、給PC和路由器配IP(步驟省略)
2、配路由(R1和R3指默認路由,R2配兩條靜態路由)(步驟省略)
3、驗證全網互通(驗證完畢)
4、給路由器配置標準ACL
前兩個要求在R2的f1/0接口的出方向(out方向):前兩個要求最終是允許所有
R2(config)#do sh ip acceR2(config)#acc 2 deny 10.1.1.0 0.0.0.255
R2(config)#acc 2 deny host 40.1.1.1
R2(config)#acc 2 permit any
R2(config)#int f1/0
R2(config-if)#ip access-group 2 out(最終要應用要路由器的接口)
驗證:拿10.1.1.1去ping50.1.1.1——》不通
40.1.1.1PC禁止訪問50網段
在一個路由器上不同的表,表號不一樣
在不同路由器上就沒有影響了
最后一個要求:要求10.1.1.1禁止訪問40網段,其他不受影響
給R3的f0/1接口出方向配置:
R3(config)#acc 2 deny host 10.1.1.1
R3(config)#acc 2 permit any
R3(config)#int f0/1
R3(config-if)#ip access-group 2 out
驗證10.1.1.1禁止訪問40網段
?
?
?
?
?
?
?
?
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 18】ACL及实验演示的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: “数据资产化探索”专题
- 下一篇: 作者:肖戎(1974-),女,广东省地方