-
acl規則
鎖定
acl規則基本原理
acl規則功能
網絡中的節點有資源節點和用户節點兩大類,其中資源節點提供服務或數據,用户節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用户對資源節點的訪問,另一方面限制特定的用户節點所能具備的訪問權限。
在實施ACL的過程中,應當遵循如下三個基本原則:
1.最小特權原則:只給受控對象完成任務所必須的最小的權限。
2.最靠近受控對象原則:所有的網絡層訪問權限控制。
3.默認丟棄原則:在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
侷限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的權限級別等。因此,要達到end to end的權限控制目的,需要和系統級及應用級的訪問權限控制結合使用。
acl規則寫法
1、huawei設置acl命令如下 :
acl number 3000
rule 0 permit ip source 服務器端的子網 掩碼的反碼 //允許哪些子網訪問服務器
rule 5 deny ip destination 服務器端的子網 掩碼的反碼 //不允許哪些子網訪問服務器
2、綁定到端口:
interface gig 0/1 //進入服務器所在的交換機端口
[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl綁定到端口
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:17次歷史版本
- 最近更新: 江东231