路由器接口上的“防火墙”——访问控制列表
众所周知,无论在哪个系统上都有防火墙的存在,帮助计算机/服务器网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
成都创新互联成立十年来,这条路我们正越走越好,积累了技术与客户资源,形成了良好的口碑。为客户提供成都做网站、网站建设、网站策划、网页设计、申请域名、网络营销、VI设计、网站改版、漏洞修补等服务。网站是否美观、功能强大、用户体验好、性价比高、打开快等等,这些对于网站建设都非常重要,成都创新互联通过对建站技术性的掌握、对创意设计的研究为客户提供一站式互联网解决方案,携手广大客户,共同发展进步。而在路由器上同样也有一种“防火墙”,被称为——访问控制列表。该列表应用于路由器接口,通过该列表来告诉路由哪些数据包需要过滤,哪些可以通过。下面我将详细为大家进行讲解。
ACL(access control list):访问控制列表
主要用于在路由、三层交换中建立包过滤防火墙。访问控制列表基于TCP/IP协议中的三层(依靠IP地址)、四层(依靠端口与协议)进行过滤。同时还有一种专业的应用防火墙,基于七层进行过滤。
过滤的策略则是根据人为定义好的规则对数据包进行过滤,主要依靠 :源地址、目的地址、源端口、目的端口,这四个元素。
主要分为以下几个大类
标准型访问控制列表
只能基于源IP 地址过滤
该种列表的访问控制列表号为1~99
扩展访问控制列表
基于源IP、目的IP、指定协议、端口、标志过滤数据
该种列表的访问控制列表号为100~199
命名访问控制列表——包含标准访问和扩展访问
该种列表允许在标准和扩展列表中使用“名称代替表号”
标准IPX访问
扩展IPX访问
命名的IPX访问
PS:本次博客将对前三个类型进行详细的解释。
ACL(访问控制列表)的处理过程
对上面流程的具体解释:
白名单 | 黑名单 |
---|---|
允许(假设允许192.168.1.2) | 拒绝(假设拒绝192.168.1.2) |
允许(假设允许192.168.1.3) | 拒绝(假设拒绝192.168.1.3) |
。。。 | 。。。 |
拒绝所有(可以不写)默认为拒绝所有 | 允许所有(必须写)默认隐含为拒绝所有 |
匹配规则: 自上而下、逐条匹配。最后一条默认隐含拒绝所有。
以上就是有关ACL(访问控制列表)的理论相关,下面开始进行相关的配置命令的讲解。
标准访问控制列表配置命令
创建ACL
Router(config)#access-list access-list-number {permit | deny} source [source-wildcard]
access-list-number: 访问控制列表表号
permit | deny:允许数据包通过 | 拒绝数据包通过
source [source-wildcard]:源IP + 子网掩码反码(any表示所有IP、host表示某个特定主机)
删除ACL
Router(config)#no access-list access-list-number
将ACL应用于/取消应用接口
Router(config-if)#ip access-group access-list-number {in|out} //应用于接口
Router(config-if)#no ip access-group access-list-number {in|out} //取消在接口上的应用
{ in | out }:表示ACL应用于限制方的数据流向在路由器的进口还是出口(通常放在里限制方近的一端 in口)
扩展访问控制列表配置命令
创建ACL
Router(config)#access-list access-list-number {permit | deny} protocol { source source-wildcard destination destination-wildcard } [operator operan]
protocol:协议名称(TCP、UDP、ICMP、IP......)
source source-wildcard:源IP + 子网掩码反码(any表示所有IP、host表示某个特定主机)
destination destination-wildcard:目标IP + 子网掩码反码
operator operan:端口号
删除ACL
Router(config)#no access-list access-list-number
将ACL应用于/取消应用接口
Router(config-if)#ip access-group access-list-number {in|out} //应用于接口
Router(config-if)#no ip access-group access-list-number {in|out} //取消在接口上的应用
命名访问控制列表配置命令
创建ACL
Router(config)#ip access-list {standard|extended} access-list-name
配置标准命名ACL
Router(config-std-nacl)#[Sequence-Number]{permit|deny} source [source-wildcard]
配置扩展命名ACL
Router(config-std-nacl)#[Sequence-Number]{permit|deny} protocol {source source-wildcard destination destation-wildcard} [operator operan]
sequence-number:序列号
standard:标准命名ACL
extended:扩展命名ACL
删除整组ACL
Router(config)#no ip access-list {standard|extended} access-list-name
删除组中单一ACL语句
Router(config-std-nacl)#no Sequence-Number //通过序列号删除
Router(config-std-nacl)#no ACL语句 //通过整段ACL语句
将ACL应用于/取消应用接口
Router(config-if)#ip access-group access-list-number {in|out} //应用于接口
Router(config-if)#no ip access-group access-list-number {in|out} //取消在接口上的应用
以上,就是全部的有关ACL的理论以及配置相关命令的详解。未完待续。。。。。。
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
本文名称:路由器接口上的“防火墙”——访问控制列表-创新互联
标题网址:http://scgulin.cn/article/gdhei.html