天津电子信息职业技术学院 课件 访问控制列表1_网络设备技术
团购合买资源类别:文库,文档格式:PPT,文档页数:14,文件大小:112.5KB
访问控制列表(一)
访问控制列表(一)
一、访问列表的种类 目前的路由器一般都支持两种类型的访问表: 基本访问表和扩展访问表。 1、基本访问表控制基于网络地址的信息流, 且只允许过滤源地址。 2、扩展访问表通过网络地址和传输中的数据 类型进行信息流控制,允许过滤源地址、 目的地址和上层应用数据
一、访问列表的种类 目前的路由器一般都支持两种类型的访问表: 基本访问表和扩展访问表。 1、基本访问表控制基于网络地址的信息流, 且只允许过滤源地址。 2、扩展访问表通过网络地址和传输中的数据 类型进行信息流控制,允许过滤源地址、 目的地址和上层应用数据
标准的P访问控制列表 标准IP访问表的基本格式为: access-list [list number][permitdeny] [host/any][source address][wildcard- mask灯][log] 这是一条全局配置命令
二、标准的IP访问控制列表 标准IP访问表的基本格式为: access-list [list number] [permit|deny] [host/any] [source address] [wildcardmask] [log] 这是一条全局配置命令
1、表号 list number-一表号 标准P访问表的表号标识是从1到99
1、表号 list number——表号 标准IP访问表的表号标识是从1到99
2、允许或拒绝 permit/deny一允许或拒绝 关键字permit和deny用来表示满足访问表项的 报文是允许通过接口,还是要过滤。permit表 示允许报文通过接口,而deny表示匹配标准IP 访问表源地址的报文要被丢弃掉
2、允许或拒绝 permit / deny——允许或拒绝 关键字permit和deny用来表示满足访问表项的 报文是允许通过接口,还是要过滤。permit表 示允许报文通过接口,而deny表示匹配标准IP 访问表源地址的报文要被丢弃掉
3、源地址 source address—源地址 对于标准的P访问表,源地址是主机或一组主 机的点分十进制表示,如:198.78.46.8
3、源地址 source address——源地址 对于标准的IP访问表,源地址是主机或一组主 机的点分十进制表示,如:198.78.46.8
4、主机匹配 host/any一主机匹配 host和any分别用于指定单个主机和所有主 机。host表示一种精确的匹配,其屏蔽码为 0.0.0.0。 例如,我们希望允许从198.78.46.8来的报文, 则使用标准的访问控制列表语句如下: access-list 1 permit 198.78.46.8 0.0.0.0 如果采用关键字host,则也可以用下面的语句 来代替: access-list 1 permit host 198.78.46.8 也就是说host是0.0.0.0通配符屏蔽码的简写
4、主机匹配 host/any——主机匹配 host和any分别用于指定单个主机和所有主 机。host表示一种精确的匹配,其屏蔽码为 0.0.0.0。 例如,我们希望允许从198.78.46.8来的报文, 则使用标准的访问控制列表语句如下: access-list 1 permit 198.78.46.8 0.0.0.0 如果采用关键字host,则也可以用下面的语句 来代替: access-list 1 permit host 198.78.46.8 也就是说host是0.0.0.0通配符屏蔽码的简写
any是源地址/日标地址0.0.0.0/255.255.255.255 的简写。 假定我们要拒绝从源地址198.78.46.8来的报 文,并且要允许从其他源地址来的报文,标准 的P访问表可以使用下面的语句达到这个目的 access-list 1 deny host 198.78.46.8 access-list 1 permit any
any是源地址/目标地址0.0.0.0/255.255.255.255 的简写。 假定我们要拒绝从源地址198.78.46.8来的报 文,并且要允许从其他源地址来的报文,标准 的IP访问表可以使用下面的语句达到这个目的 access-list 1 deny host 198.78.46.8 access-list 1 permit any
access-list 1 deny host 198.78.46.8 access-list 1 permit any 注意这两条语句的顺序。访问表语句的处理顺 序是由上到下的。如果我们将两个语句顺序颠 倒,将permiti语句放在deny语句的前面,则我 们将不能过滤来自主机地址198.78.46.8的报 文,因为oermit语句将允许所有的报文通过
access-list 1 deny host 198.78.46.8 access-list 1 permit any 注意这两条语句的顺序。访问表语句的处理顺 序是由上到下的。如果我们将两个语句顺序颠 倒,将permit语句放在deny语句的前面,则我 们将不能过滤来自主机地址198.78.46.8的报 文,因为permit语句将允许所有的报文通过
所以说访问表中的语句顺序是很重要的,因 为不合理语句顺序将会在网络中产生安全漏 洞,或者使得用户不能很好地利用公司的网 络策略。在一个访问表中第一次匹配是被使 用(然后路由器停止测试条件是否满足)。 如果没有发现任何匹配,报文就会被拒绝, 因为在每一个访问表的最后就隐含着拒绝报 文的通过
所以说访问表中的语句顺序是很重要的,因 为不合理语句顺序将会在网络中产生安全漏 洞,或者使得用户不能很好地利用公司的网 络策略。在一个访问表中第一次匹配是被使 用(然后路由器停止测试条件是否满足)。 如果没有发现任何匹配,报文就会被拒绝, 因为在每一个访问表的最后就隐含着拒绝报 文的通过
点击下载完整版文档(PPT格式)
共14页,试读结束,阅读完整版请下载
