×

【技术小知识】+acl的小小小小简介
  

新手759933 1928

{{ttag.title}}

acl,全称:访问控制列表(AccessControl Lists),

acl分为标准acl、扩展acl、命名acl。
acl原本是配置路由器上的,但是现在三层交换机,部分二层交换机也能配置acl。

标准acl只能够匹配IP的源地址进行匹配,采取允许或者拒绝的操作。
就是说你在接口下面运用了acl,当有数据流通的时候,只会检查数据来的方向所持有的IP。

扩展acl可以匹配的源地址、源端口、目的地址、目的端口、协议类型等。
相比标准acl,扩展acl显得更加的具体,不像标准一样,只要源地址不对,就直接一棒子打死。可以直接具体到目的地址,协议类型。像是勒索病毒所运用的139和445端口,就可以通过扩展acl在设备接口下进行配置。达到防护的效果。

命名acl相当于上面两种acl加了命名插件,实际的功能并没有区别。
建立个acl,相当于建立个表,建立的表格一多,就需要一个个编号来区别,比如1号表格,2号表格,88号表格这样命名。在思科设备中,标准acl的编号范围1-99;扩展acl的编号范围100-199。华为或者华三设备在,标准acl的编号范围2000-2999;扩展acl的编号范围3000-3999。这些编号如果没有自己熟悉的命名,一段时间不看后,要回想起这个acl做什么的,少不了看下具体配置。1个月,2个月也许还能记住,1,2年后再回看,记忆难免模糊了。要是这么长时间还能记住,那还搞啥IT,直接参加《最强大脑》,可以争取当下个明日之星。:冷漠:这个时候就显示了命名acl的好处了,直接标注下,下次看也是一目了然。:卖萌:

ACL也可以基于时间配置,通过配置time-range,达到几点到几点之间使用这条acl,几点到几点之间不使用这些acl。配置这个需要有个前提,需要调整配置acl的设备的clock,保证设备时间的准确,毕竟这个基于时间是根据设备本身的时间来的。

Acl运用范围挺广泛的:vlan接口下、正常物理接口下、远程登陆的虚拟端口下。
在网关设备的vlan接口下配置,可以实现不同网段设备的acl运用。
在正常物理接口下配置,可以实现经过这个接口的acl的禁止
在远程登陆的虚拟端口下配置,就可以实现哪些地址能够telnet或者ssh这个设备地址,其他地址不能访问。
而且防火墙配置上的放通策略往底层上挖的话,其实就是一条条acl的运用。

Acl的优点:在没有安全设备的情况下,建立个基础的防护安全防护措施。

说到这里想到acl有个坑,cisco的acl的标准acl和扩展acl都无法删除单条acl,想要删除都是整个acl条目被删除掉。就是说比如建立个编号位1的acl,编号1里面又有5条acl条目。删除时候没办法删除其中一条条目。删除就是删除整个acl。如果想要删除单条的acl,就要使用命名acl才行。
Cisco的acl还有一点注意,Cisco的设备acl一旦新建默认有一条denyany的命令,虽然不会显示,但是却真实存在。所以如果新建acl前面写的都是deny的话,最后一定要有一条permit,否则运用在接口下,接口直接deny any
华为和华三这个点倒是不错,不会有这个坑在。标准acl和扩展acl都可以删除单条条目,且默认的是permit any。

Acl的匹配原则是从上往下的,用华为的命令举个例子:
Acl number 2000
Rule permit source any
Rule deny source any
上面是建立个acl 2000,允许了全部ip通行,之后再拒绝全部ip通行。这种情况下这个acl运行在端口下,全部IP是可以通过的,因为运行permit这条命令优先,所以所有IP先允许了,之后的拒绝命令并没有生效。

Acl在一个接口下一个方向只能使用一条acl。也就是说设备的一个接口下最多能配置2条acl,一个in方向(数据从这个接口进入设备的方向),一个out方向(数据从这个接口出设备的方向)。
PS:我也不知道现在一个接口下一个方向只能使用一条acl的规则现在还是否适用。因为之前碰到过好像是华三的设备吧,一个接口下配置了两条in方向的命令。有知道的大佬,希望能帮我解下惑,小弟先行拜谢。:萌萌哒:

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

sangfor_闪电回_小六 发表于 2019-10-18 11:09
  
这波分享很强势,感谢楼主分享了这么实用的知识点,希望楼主继续分享基础网络知识,让我们多撸一点干货,哈哈
蟲爺 发表于 2022-3-3 12:48
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人