基于ACL包过滤的网络流量计费系统
- 格式:pdf
- 大小:123.28 KB
- 文档页数:5


思科ACL访问控制列表常规配置操作详解
本⽂实例讲述了思科ACL访问控制列表常规配置操作。分享给⼤家供⼤家参考,具体如下:
⼀、ACL概述
ACL (Access Control List,访问控制列表)是⼀系列运⽤到路由器接⼝的指令列表。这些指令告诉路由器接收哪些数据包、拒
绝哪些数据包,接收或者拒绝根据⼀定的规则进⾏,如源地址、⽬标地址、端⼝号等。ACL使得⽤户能够管理数据流,检测特
定的数据包。
路由器将根据ACL中指定的条件,对经过路由器端⼝的数据包进⾏检査。ACL可以基于所有的Routed Protocols (被路由
协议,如IP、IPX等)对经过路由器的数据包进⾏过滤。ACL在路由器的端⼝过滤数据流,决定是否转发或者阻⽌数据包。ACL应该根据路由器的端⼝所允许的每个协议来制定,如果需要控制流经某个端⼝的所有数据流,就需要为该端⼝允许的每⼀
个协议分别创建ACL。例如,如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建⾄少3个ACL, 本⽂
中仅讨论IP的访问控制列表。针对IP协议,在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊(inbound)端⼝的数
据流,另⼀个⽤于过滤流出(outboimd)端⼝的数据流。
顺序执⾏:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。当路由器在决定是否转发或者阻⽌数据
包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。当检测到某个指令条件满⾜
的时候,就执⾏该指令规定的动作,并且不会再检测后⾯的指令条件。
ACL作⽤:
* 限制⽹络流量,提⾼⽹络性能。
* 提供数据流控制。
* 为⽹络访问提供基本的安全层。
⼆、ACL 类型
1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进⾏过滤。
2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使⽤源地址和⽬标地址作为过滤条件,还可以针对不
ACL学习总结
ACL(访问控制列表)学习总结
一、ACL概述:
ACL是由permit或deny组成的一系列有序的规则,它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。所有的ACL的最后一行上都有隐含的deny语句,且他的顺序不可改变。
ACL主要具有包过滤、服务质量(QoS)、按需拨号路由(DDR)、网络地址转换(NAT)、路由过滤等功能。
ACL的基本原理时使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而到达访问控制的目的。
网络中的节点分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
由于ACL是使用包过滤技术来实现的,过滤的仅仅是第三层和第四层包头中的部分信息,所以ACL技术不可避免的具有一定的局限性。
二、ACL的基本配置:
1、配置ACL需要遵循两个基本原则:
(1)最小特权原则:只给受控对象完成任务必须的最小权限;
(2)最靠近受控对象原则:所有网络层访问权限控制尽可能距离受控对象最近;
根据需要,提供两种基于IP的访问表:标准访问表和扩展访问表。标准访问表只是根据源IP地址来允许或拒绝流量,而扩展访问表允许基于子协议、源地址、源端端口、目的地址,以及目的端口许可或者拒绝流量,甚至还可以过滤基于时间或者用户身份过滤流量。
2、配置ACL的两个重要参数:
(1)ACL的表号和名字:
ACL的表号和名字都是用来表示或引用ACL的,名字用字符串标识,表号用数据表示,不同协议、不同种类的ACL,其表号范围不同,一般地,1~99用于标准IP ACL,100~199用于扩展IP ACL。
(2)ACL的通配符:
配置ACL的源地址或目的地址时,在允许或拒绝的IP地址后面,有一个参数是wildcard-mask——通配符,通配符用32位二进制数表示,表示形式与IP地址和子网掩码相同,而通配符实际上就是子网掩码的反码(如:IP地址202.112.66.1,其掩码是255.255.255.0,则其通配符就是0.0.0.255)
ACL的应用
一、 概述
属于IOS包过滤防火墙的一部分,但是现在不仅仅是用在这个方面。
现在可以应用在:
1、 data plan 通过一些对数据包的匹配,抓到数据包对数据包进行丢弃或者转发等操作(对象:数据包、数据帧)
2、 control plan 对路由条目的匹配,对路由条目执行策略(路由条目)
二、 理论以及命令
全局模式下:access-list
<1-99> IP标准访问控制列表
<100-199>IP扩展访问控制列表
<200-299>协议类型代码访问控制列表 没有明确标准的应用的流量
<300-399>DECnet 访问控制列表
<700-799>48bit MAC地址访问控制列表
<1100-1199>扩展的48bit MAC地址访问控制列表
<1300-1999>IP标准访问控制列表
<2000-2699>IP扩展访问控制列表
这些包含了常见的IP的二层协议和三层协议
1、 标准
只能匹配协议中的一个地址(源地址)
命令
access-list 1 permit(允许)/deny(拒绝)/remark hostname/x.x.x.x/any(所有主机通配符32个1)/host(一台单一主机通配符32个0) 掩码:/nn&x.x.x.x
log/
例子 access-list 1 permit 1.1.1.1
访问控制列表必须在某种技术环节下调用,否则不存在任何意义。一般调用在接口下,比较常用。
调用的时候有方向:in或者out
注意:每条访问控制列表后面都有一个隐式拒绝
一个编号的访问控制列表可以使用多行,默认一般都是以10 开始编号,间隔是10,最大是2147483647。一般认为无上限。
ACL书写的时候注意,是金字塔式的,从上到下,匹配的范围越来越大。因为ACL一旦匹配,就会立即执行动作,不会放到后一条。
例子:first:deny 192.168.1.0
龙源期刊网
ACL技术在网络安全中的应用
作者:高焕超
来源:《电脑知识与技术》2014年第01期
摘要:访问控制列表(ACL)被广泛应用在路由器和三层交换机上,它是用来过滤和控制数据包的一种访问控制技术。该文主要阐述了访问控制列表的基本概念、主要功能、工作过程及配置,并以H3C路由器为例说明了访问控制列表在网络安全方面的具体应用,同时给出了ACL的关键配置代码。
关键词:ACL;网络安全;控制列表;路由器
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)01-0024-02
随着计算机网络的普及和网络应用的快速发展,网络的安全性问题也日益突出,因此为了防止网络入侵,同时提高网络的安全性,需要网络设备具有对通信数据的访问控制能力,ACL(Access Control List)是一种基于数据包过滤的技术,它被应用在网络设备上,可以对进出设备数据包的源、目的地址、端口、协议等信息进行过滤,从而判断并做出对数据包进行转发或丢弃的动作,实现对网络访问进行安全控制的目的。
1 ACL的概念及工作原理
1.1 访问控制列表的基本概念
访问控制列表简称ACL是一种访问控制技术,被广泛应用在路由器和三层交换机上,该文主要介绍H3C MSR系列路由器的ACL技术,该路由器ACL使用包过滤技术,可以对进出网络设备接口的数据做出拒绝和接受的动作,从而可以对数据包进行访问控制。
1.2 访问控制列表的工作过程
路由器包过滤技术可以对设备出入网络接口的数据包进行控制,而ACL是实现路由器包过滤技术的核心,它可以在网络接口通信的不同方向上设置ACL过滤规则,当路由器接收到外部网络所发送的数据包时,将会被设备在入口通信方向上的ACL所匹配,这种配置可以防止外网非法用户对内网资源的访问,达到保护内网的目的。当内网通过路由器与外网主机进行通信时,数据包将会被路由器出口通信方向上的ACL所匹配,这种配置适用于防止内部用户非法访问外部资源的情况 [1] 。