注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

山林客

简单不一定幸福,但幸福其实可以很简单。

 
 
 

日志

 
 
关于我

2004年毕业于中山大学,毕业后专注于网站开发和网络工程技术。先后取得SCWCD、CCNP认证,对Asp/Java有丰富的开发经验,对网络工程也有较深的研究。真诚欢迎大家多多指教、多多指点、多多指正,共同分享IT道路和人生道路上的喜怒哀乐。

网易考拉推荐

ACL  

2008-02-05 21:42:29|  分类: Cisco |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
ACL综述:
当收到一个packet时,路由器会将其与access list进行比较,并遵循以下规则:
1、总是会按照acl的顺序进行比较,即第1条、第2条……
2、一旦packet与acl中的一个规则匹配,它就不会继续与其他规则进行比较
3、每个ACL的最后都有一条隐含的deny规则,如果packet不与ALC中的任何一条规则匹配,那么packet
将被丢弃。
标准ACL和扩展ACL
Standard access lists:只使用packet中的源ip地址来作为比较条件,所有的决策都是基于源IP地址

Extended access lists:使用packet的3层、4层头部,可以根据源IP地址、目标IP地址,网络层头部
的协议字段、传输层头部的端口号来进行比较。
注意,当你创建了ACL之后,它本身并不会起作用,你需要将其应用到路由器的端口才能起效。而且,
你必须定义ACL应用于哪个方向,进方向(inbound)还是出方向(outbound)。对于inbound ACL,
packet会在路由到outbound interface之前被处理。对于outbound ACL,packet会路由到outbound 
interface并会根据outbound interface的ACL规则进行处理。
当你使用ACL的时候,你应该遵循以下一般规则:
1.每个interface、协议、方向只能用一个ACL,对于一个端口来说,最多只能同时有两个ACL,一个是
inbound,一个是outbound。
2.将更明细的比较规则放在ACL的最上方。注意,每次你添加一项规则,它都会添加到ACL的最下方,所
以你在设置ACL的时候一定要注意先后顺序。而且你不能单独删除ACL中的某项规则,要删就只能删除整
个ACL(named ACL除外,它可以只删除某项规则)。
3.每个ACL应该至少有一条permit语句,否则它会拒绝所有流量。
4.ACL是用来过滤流经路由器的流量的,它不能过滤路由器自身产生的流量,例如从路由器的CL去ping
某台主机。
5.将标准ACL尽量放置在离目标更近的位置。因为只能根据源IP地址进行过滤,所以只能放置在离目标
更近的位置,否则会限制源IP地址站的其他作业。
6.将扩展ACL尽量放置在离源站更近的位置。由于扩展ACL可以过滤专门地址、协议,你应该尽快将你不
喜欢的流量在入口处就给它禁止掉,以免这些流量浪费带宽。
通过ACL降低安全风险
ACL可以降低以下风险:
1.IP地址欺骗,inbound
2.IP地址欺骗,outbound
3.DoS TCP SYN攻击,阻止外部的攻击
4.DoS TCP SYN攻击,使用TCP窃听
5.DoS smurf 攻击
6.过滤ICMP消息,inbound
7.过滤ICMP信息,outbound
8.过滤traceroute
以下是配置从internet到你的内部网的ACL时英遵循的规则:
1.拒绝所有来自内部网络的地址(放置欺骗)
2.拒绝127.0.0.0/8
3.拒绝所有保留的IP地址
4.拒绝所有组播地址224.0.0.0/4
上述的地址都应禁止进入你的局域网。
标准ACL
你可以使用的access-list number: 1-99 或 1300-1999(扩展)
ACL是根据access-list number来区分是属于标准ACL还是扩展ACL的,并据此判断使用那种语法来处理ACL,例如对于标准ACL,只要看它的源IP地址就可以了。
扩展ACL
可以基于源IP地址、目标IP地址、协议、端口号等
access-number范围:100-199,2000-2699
如果你想过滤应用层协议,你应该选择其依赖的传输层协议来进行过滤,例如,如果逆向过滤Telnet和FTP,那么你可以选择TCP,因为Telnet和FTP都是使用TCP进行传输。然后进一步选择对应的端口进行过滤。例如:对于FTP,可以使用:
access-list 110 deny tcp any host 172.16.30.2 eq 23 log
access-list 110 permit ip any any
ip access-group 110 in
注:log是用来记录访问情况,每当该规则被击中,就会记录访问
交换机上的 port ACL
你只能将port ACL应用到你的交换机的2层interface上,因为port ACL只支持物理的二层interface,而且只能应用为inbound,并只能使用named ACL。
交换机上的ACL用的不是IP地址,而是MAC地址。
ACL也可以用于控制VLAN的流量,你只需要应用一个port ACL到一个trunk port即刻,但小心,如果你在一个有voice VLAN的port上应用ACL,该ACL也会过滤你的data VLAN。
  评论这张
 
阅读(498)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018