acl規則

acl規則

acl規則是Cisco IOS所提供的一種訪問控制技術

初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。

基本原理


ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源埠、目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。

功能


網路中的節點有資源節點和用戶節點兩大類,其中資源節點提供服務或數據,用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問許可權。
在實施ACL的過程中,應當遵循如下三個基本原則:
1.最小特權原則:只給受控對象完成任務所必須的最小的許可權。
2.最靠近受控對象原則:所有的網路層訪問許可權控制。
3.默認丟棄原則:在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
局限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。

寫法


1、huawei設置acl命令如下:
acl number 3000
rule 0 permit ip source 伺服器端的子網 掩碼的反碼 //允許哪些子網訪問伺服器
rule 5 deny ip destination 伺服器端的子網 掩碼的反碼 //不允許哪些子網訪問伺服器
2、綁定到埠:
interface gig 0/1 //進入伺服器所在的交換機
[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl綁定到埠