一、ACL: Access control list(路由器,三层交换),访问控制列表。 包过滤防火墙

ACL 访问控制列表_第1张图片

二、类型:

标准访问控制列表(基础)

  • 基于源IP地址过滤数据包

  • 标准访问控制列表的访问控制列表号是1~ 99

扩展访问控制列表(基础)

  • 基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包

  • 扩展访问控制列表的访问控制列表号是100 ~ 199

命名访问控制列表(更为灵活)

  • 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

三、过滤层:

访问控制列表基于:三层(IP) 和四层(端口,协议)进行过滤所有防火墙都基于这三层过滤。除应用防火墙为七层过滤

四、概述:

访问控制列表(ACL)

  • 读取第三层、第四层包头信息

  • 根据预先定义好的规则对包进行过滤

spacer.gifspacer.gifspacer.gifspacer.gifspacer.gifspacer.gifspacer.gifspacer.gifACL 访问控制列表_第2张图片

五、工作原理

1、访问控制列表在接口应用的方向

  • 出:已经过路由器的处理,正离开路由器接口的数据包

  • 入:已到达路由器接口的数据包,将被路由器处理

(列表应用到接口的方向与数据方向有关)

2、访问控制列表的处理过程

ACL 访问控制列表_第3张图片

六、黑白名单:

白名单: (不写则拒绝所有)

例:允许1.2网段,

       允许1.3

黑名单:(允许所有必须写)

例:拒绝 1.2

       拒绝 1.3

不允许则为默认拒绝。所以必须允许所有然后设置拒绝网段

ACL规则:自上而下逐行匹配默认隐含拒绝所有。

七:标准访问控制列表的配置(基于源IP进行控制)

创建ACL

Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]

删除ACL

Router(config)# no access-list access-list-number

应用实例

允许192.168.10/24和主机92.168 2. 2的流量通过

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0

隐含的拒绝语句

Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255

 关键字:  host、any

将ACL应用于接口

Router(config-if)# ip access-group access-list-number {in |out}

在接口.上取消ACL的应用

Router(config-if)# no ip access-group access-list-number {in |out}

八、扩展访问列表:

创建ACL

Router(config)# access-list access-list-number { permit | deny }protocol { source source-wildcard destination destination-wildcard }
[ operator operan ]

删除ACL

Router(config)# no access -list access-list-number

将ACL应用于接口

Router(config-if)# ip access-group access-list-number {in |out}

在接口.上取消ACL的应用

Router(config-if)# no ip access-group access-list-number {in |out}

应用实例

Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255
192.168.2.0 0.0.0.255
Router(config)# access-list 101 deny ip any any