基本原理
ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源連線埠、目的連線埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。
功能
網路中的節點有資源節點和用戶節點兩大類,其中資源節點提供服務或數據,用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問許可權。
在實施ACL的過程中,應當遵循如下三個基本原則:
1.最小特權原則:只給受控對象完成任務所必須的最小的許可權。
2.最靠近受控對象原則:所有的網路層訪問許可權控制。
3.默認丟棄原則:在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
局限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法識別到套用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及套用級的訪問許可權控制結合使用。
寫法
1、huawei設定acl命令如下 :
acl number 3000
rule 0 permit ip source 伺服器端的子網 掩碼的反碼 //允許哪些子網訪問伺服器
rule 5 deny ip destination 伺服器端的子網 掩碼的反碼 //不允許哪些子網訪問伺服器
2、綁定到連線埠:
interface gig 0/1 //進入伺服器所在的交換機連線埠
[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl綁定到連線埠