路由器接口上的“防火墻”——訪問控制列表

眾所周知，無論在哪個系統上都有防火墻的存在，幫助計算機/服務器網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

創(chuàng)新互聯公司專注于海城企業(yè)網站建設,自適應網站建設,商城網站建設。海城網站建設公司,為海城等地區(qū)提供建站服務。全流程按需制作，專業(yè)設計，全程項目跟蹤，創(chuàng)新互聯公司專業(yè)和態(tài)度為您提供的服務

而在路由器上同樣也有一種“防火墻”，被稱為——訪問控制列表。該列表應用于路由器接口，通過該列表來告訴路由哪些數據包需要過濾，哪些可以通過。下面我將詳細為大家進行講解。

ACL（access control list）：訪問控制列表

主要用于在路由、三層交換中建立包過濾防火墻。訪問控制列表基于TCP/IP協議中的三層（依靠IP地址）、四層（依靠端口與協議）進行過濾。同時還有一種專業(yè)的應用防火墻，基于七層進行過濾。

過濾的策略則是根據人為定義好的規(guī)則對數據包進行過濾，主要依靠 ：源地址、目的地址、源端口、目的端口，這四個元素。

主要分為以下幾個大類

標準型訪問控制列表

? 只能基于源IP 地址過濾

? 該種列表的訪問控制列表號為1~99

擴展訪問控制列表

? 基于源IP、目的IP、指定協議、端口、標志過濾數據

? 該種列表的訪問控制列表號為100~199

命名訪問控制列表——包含標準訪問和擴展訪問

? 該種列表允許在標準和擴展列表中使用“名稱代替表號”

標準IPX訪問

擴展IPX訪問

命名的IPX訪問

PS：本次博客將對前三個類型進行詳細的解釋。

ACL（訪問控制列表）的處理過程

對上面流程的具體解釋：

白名單	黑名單
允許（假設允許192.168.1.2）	拒絕（假設拒絕192.168.1.2）
允許（假設允許192.168.1.3）	拒絕（假設拒絕192.168.1.3）
。。。	。。。
拒絕所有（可以不寫）默認為拒絕所有	允許所有（必須寫）默認隱含為拒絕所有

匹配規(guī)則：自上而下、逐條匹配。最后一條默認隱含拒絕所有。

以上就是有關ACL（訪問控制列表）的理論相關，下面開始進行相關的配置命令的講解。

標準訪問控制列表配置命令

創(chuàng)建ACL

Router(config)#access-list access-list-number {permit | deny} source [source-wildcard]

access-list-number： 訪問控制列表表號

permit | deny：允許數據包通過 | 拒絕數據包通過

source [source-wildcard]：源IP + 子網掩碼反碼（any表示所有IP、host表示某個特定主機）

刪除ACL

Router(config)#no access-list access-list-number

將ACL應用于/取消應用接口

Router(config-if)#ip access-group access-list-number {in|out}   //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的應用

{ in | out }：表示ACL應用于限制方的數據流向在路由器的進口還是出口（通常放在里限制方近的一端 in口）

擴展訪問控制列表配置命令

創(chuàng)建ACL

Router(config)#access-list access-list-number {permit | deny} protocol { source source-wildcard destination destination-wildcard } [operator operan]

protocol：協議名稱（TCP、UDP、ICMP、IP......）

source source-wildcard：源IP + 子網掩碼反碼（any表示所有IP、host表示某個特定主機）

destination destination-wildcard：目標IP + 子網掩碼反碼

operator operan：端口號

刪除ACL

Router(config)#no access-list access-list-number

將ACL應用于/取消應用接口

Router(config-if)#ip access-group access-list-number {in|out}   //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的應用

命名訪問控制列表配置命令

創(chuàng)建ACL

Router(config)#ip access-list {standard|extended} access-list-name

配置標準命名ACL

Router(config-std-nacl)#[Sequence-Number]{permit|deny} source [source-wildcard]

配置擴展命名ACL

Router(config-std-nacl)#[Sequence-Number]{permit|deny} protocol {source source-wildcard destination destation-wildcard} [operator operan]

sequence-number：序列號

standard：標準命名ACL

extended：擴展命名ACL

刪除整組ACL

Router(config)#no ip access-list {standard|extended} access-list-name

刪除組中單一ACL語句

Router(config-std-nacl)#no Sequence-Number        //通過序列號刪除
Router(config-std-nacl)#no ACL語句                //通過整段ACL語句

將ACL應用于/取消應用接口

Router(config-if)#ip access-group access-list-number {in|out}   //應用于接口
Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的應用

以上，就是全部的有關ACL的理論以及配置相關命令的詳解。未完待續(xù)。。。。。。

新聞名稱：路由器接口上的“防火墻”——訪問控制列表
當前路徑：http://vcdvsql.cn/article44/pesphe.html

成都網站建設公司_創(chuàng)新互聯，為您提供外貿建站、Google、標簽優(yōu)化、面包屑導航、網站維護、網站制作

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯