- 1、本文档共48页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
第八章访问控制列表
01访问控制列表的工作原理和配置功能02基本访问控制列表03高级访问控制列表CONTENT目录04项目实验
访问控制列表的
工作原理和配置功能01
问题引入随着网络规模的不断扩展和网络连接的不断增多,尤其是当今的Internet并不是十分安全,网络管理的一个重要任务是保证网络的畅通和安全,有时候必须拒绝一些有害的流量,同时允许合适的访问。
8.1.1ACL定义访问控制列表(ACL)的概念最早可以追溯到20世纪60年代。当时,为了保护操作系统中的文件和资源,研究人员开始研究访问控制技术。其中,一种名为“访问控制矩阵”(AccessControlMatrix)的技术被提出,用于管理和控制对系统资源的访问权限。访问控制矩阵是一种二维表格,其中行表示用户,列表示资源,表格中的每个元素表示用户对资源的访问权限。访问控制矩阵是ACL的前身,为后来的ACL技术的发展奠定了基础。
8.1.1ACL定义访问控制列表(AccessControlList,简称ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。ACL用来对分组进行过滤或检测,以决定将分组转发到目的地还是丢弃它。
8.1.1ACL定义ACL用来对分组进行过滤或检测,以决定将分组转发到目的地还是丢弃它。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。我们常见的包过滤型防火墙可以通过在路由器上配置访问列表来实现。
8.1.2ACL工作原理如图8-1所示,网关RTA允许/24中的主机可以访问外网,也就是Internet;而/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许/24中的主机访问服务器A,但却禁止/24中的主机访问服务器A。网关设备还可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。
8.1.2ACL工作原理读取第三层及第四层包头中的信息,根据预先定义好的规则对包进行过滤
8.1.2ACL工作原理实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表
8.1.2ACL工作原理通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP)IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则
8.1.2ACL工作原理在ACL中,定义了一系列规则,称为访问控制条目(AccessControlEntries),每个条目都包含一个源地址、目标地址、协议类型以及允许或拒绝的操作。这些条目按照一定的顺序排列,形成一个列表。当数据包到达网络时,路由器会根据其目的地址与访问控制列表中的规则进行匹配。如果数据包的目的地址与某个条目的源地址相匹配,且该条目允许相应的操作(如读取、写入等),则路由器会允许数据包通过;否则,路由器会拒绝数据包的传输。
8.1.2ACL工作原理入站ACL
8.1.2ACL工作原理出站ACL
8.1.2ACL工作原理图8-1ACL应用示意图
8.1.2ACL工作原理如图8-1所示,网关RTA允许/24中的主机可以访问外网,也就是Internet;而/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许/24中的主机访问服务器A,但却禁止/24中的主机访问服务器A。网关设备还可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。
8.1.3ACL的基本规则、准则和限制ACL语句按名称或编号分组;每条ACL语句都只有一组条件和操作,如果需要多个条件或多个行动,则必须生成多个ACL语句;如果一条语句的条件中没有找到匹配,则处理列表中的下一条语句;如果在ACL组的一条语句中找到匹配,则不再处理后面的语句;如果处理了列表中的所有语句而没有指定匹配,不可见到的隐式拒绝语句拒绝该数据包;由于在ACL语句组的最后隐式拒绝,所以至少要有一个允许操作,否则,所有数据包都会被拒绝;语句的顺序很重要,约束性最强的语句应该放在列表的顶部,约束性最弱的语句应该放在列表的底部;
8.1.3ACL的基本规则、准则和限制一个空的ACL组允许所有数据包,空的ACL组已经在路由器上被激活,但不包含语句的ACL,要使隐式拒绝语句起作用,则在ACL中至少要有一条允许或拒绝语句;只能在每个接口、每个协议、每个方向上应用一个ACL;在数据包被路由到其它接口之前,处理入站ACL;在数据包被路由到接口之后,而在数据包离开接口之前,处理出
您可能关注的文档
最近下载
- 2024秋新人教版物理8年级上册教学课件 5.1 透镜.pptx
- 北京协和医院就诊证明书.docx
- 全国职业大赛(中职)ZZ009通用机电设备安装与调试赛项赛题第6套.docx VIP
- 广东工业大学《高等数学》2022-2023学年第一学期期末考试.pdf
- 消防安全主题教育交流研讨发言稿五篇.doc VIP
- NB╱T 31128-2017 风电场工程建筑设计规范.pdf
- 对外汉语初级期末考试试卷1 - 试题.docx
- 社会学概论试卷及答案.doc VIP
- 五年级上册英语教案- Unit 1 We have new friends. Lesson 2人教精通版.docx VIP
- 人工智能之路软件工程专业大学生职业生涯规划书.pdf
文档评论(0)