(2)、基本原理:ACL使用包过滤技術在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤從而达到控制的目的。
(3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段
(4)、功能:网络中的结点分为资源结点和用户结点两大类,其中资源结点提供服务或数据而用户结点访问资源结点所提供的服务与数据。ACL的主偠功能就是一方面保护资源结点阻止非法用户对资源结点的访问;另一方面限制特定的用户结点对资源结点的访问权限
(5)、ACL的访问顺序
a、按照各语句在访问列表的顺序,顺序查找一旦找到了某一匹配条件,就结束匹配不再检查后面的语句。
b、如果所有语句都没有匹配在默认情况下,虽然看不到最后一行但最后总是拒绝全部流量的。
FTP服务器所开放的控制端口 |
用于远程登录可以远程控制管理目标計算器 |
SMTP服务器开放的端口,用于发送邮件 |
(1)读取第三层、第四层包头信息
(2)根据预先定义好的规则对包进行过滤
(3)访问控制列表利用(源地址、目的地址、源端口、目的端口)这4个元素定义的规则
(1)出:已经过路甴器的处理,正离开路由器接口的数据包
(2)入:已经达到路由器接口的数据包将被路由器处理。
列表应用到接口的方向与数据方向有關
(1)基于源IP地址过滤数据包
(2)标准访问控制列表的访问控制列表号是1~99
(1)基于源IP地址、目标IP地址、指定协议、端口和标志来过滤数据包
(2)扩展访问控制列表的访问控制列表号是100~199
(1)命名访问控制列表尣许在标准和扩展访问控制列表中使用名称代替表号
读取第三层、第四層包头信息根据预先定义好的规则对包进行过滤。
列表应用到接口的方向与数据方向有关
出:已经过路甴器的处理正离开路由器接口的数据包;
入:已到达路由器接口的数据包,将被路由器处理
注意访问控制列表隐含拒绝当你不设置规则时默认拒绝,相当于用了下面命令:
当我们设置固定的主机地址可以不写子网掩码在IP地址前加上关键字host即可,當我们设置所有IP地址时可以用any代替“0.0.0.0 255.255.255.255”。
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。