文档介绍:访问控制列表
ISP
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
IP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。
√
ACL
ACL(Access-list),访问控制列表或访问列表。是指网络设备根据数据包内的一定特征定义一系列的规则,从而实现对流经该网络设备的数据包进行过滤。
ISP
√
为什么要使用访问列表
网络安全性
可以是路由器或三层交换机或防火墙
接入层交换机
RG-S2126
核心交换机
RG-S3512G /RG-S4009
服务器群
路由器
RG-NBR1000
交换机堆叠
接入层交换机
RG-S2126
不同部门所属VLAN不同
1
2
2
2
1
1
1
2
技术部
VLAN20
财务部
VLAN10
隔离病毒源
隔离外网病毒
为什么要使用访问列表
访问列表的组成
定义访问列表的步骤
第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)
第二步,将规则应用在路由器(或交换机)的接口上
访问控制列表的分类:
1、标准访问控制列表
2、扩展访问控制列表
访问控制列表规则元素
源IP、目的IP、源端口、目的端口、协议
访问列表规则的应用
路由器应用访问列表对流经接口的数据包进行控制
(in)
(out)
访问列表的入栈应用
N
Y
是否允许�?
Y
是否应用�访问列表�?
N
查找路由表
进行选路转发
以ICMP信息通知源发送方
以ICMP信息通知源发送方
N
Y
选择出口�S0
路由表中是否�存在记录�?
N
Y
查看访问列表�的陈述
是否允许�?
Y
是否应用�访问列表�?
N
S0
S0
访问列表的出栈应用
IP ACL的基本准则
一切未被允许的就是禁止的。
路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。
按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配
从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的“允许、拒绝……”