网络安全技术——ACL技术（访问控制列表）

如果您想要查看[ENSP]ACL配置实验的一个朋友, 请看我的文章, 您想要查看[ENSP]ACL配置实验的一个朋友, 请看我的文章:

https://blog.csdn.net/weixin_62594100/article/details/123942609 https://blog.csdn.net/weixin_62594100/article/details/123942609

一、ACL概述

ACLS是评估、分类和过滤通过路由器通过的数据流的手段。使用互联网过滤报告。要对报告进行分类,必须规定一套匹配条件。这些标准可包括源地址、目的地地址、港口号等等。当信息被设备端口接收时这是根据目前港口实行的ACL规则对报告领域所作的分析。在确定某一报告后,准许或禁止根据特定战术通过。

ACL分为几组,并按数量加以区分,ACL设备分类如下:

Basic ACL仅将包件源地址信息作为一种过滤标准使用,不能根据协议或应用程序进行过滤,即只能根据包件来源地而不是包件协议类型和应用程序进行管理,并且只能从广义上限制诸如IP等类型的协议。

高级ACL可用于过滤信息,例如源地址、目的地地址、协议类型和应用类型(例如(例如,端口号)),即可以根据软件包的特性、去向、使用什么协议、使用什么协议以及使用什么类型的应用程序,根据软件包的特性、去向、使用什么协议、使用什么协议以及使用什么类型的应用程序,对哪些类型的应用程序进行精确监管。

二、《全面禁止核试验条约》

ACL可用于路由器港口方向的再数据包。它们也可以用于一个数据集中,从路由器外转移到门户的通信量。路由器还可以配置多个控制列表。然而,对于路由器港口的具体方向,针对某一个协议，如IP，在任何时候,只有一项ACL能够实施。

由于基本ACL只能过滤源 IP,通常会放在目的地的尽头,以避免干扰源主机的连接。

先进的ACL可以准确地确定一种数据流,为了尽量减少使用网络能力的不必要流动,它往往位于离源端更近的地方。

ACL规则有两个关键词:允许和拒绝。

ACL的工作流程如下图所示,从外部港口方向应用ACL的例子可以看出,ACL的工作流程如下面图所示。

数据包首先进入路由器的端口。根据目的地地址搜索路线表。确定转发端口(如果路线列表中未找到相应的路线项目),数据包会被路由器丢弃 。将无法获取的数据传送给发端主机)。确定出口端口后, 检查访问控制列表是否配置在离岸端口上 。如果没有 ACL 配置,在离岸端,路由器将创建与数据链层协议相同的两层信封。并转发了数据。

如果在出口端端配置了ACL,则使用ACL的规则对包件进行评估。

下图说明ACL声明的内部处理情况:

每个ACL可由多个词(规则)和多个术语组成。当一个数据包通过ACL检查时,据说该数据包已经通过。先检查ACL 中的第一句 。如果他们同意他们的评估,此语句是根据关键词组来处理数据包的。如果许可是关键词如果关键字是拒绝,则将发送数据包。这个数据包被丢弃了

如果发现第一个声明没有区别情况,则以下声明将与之相对应。如果符合资格要求,包件也根据本陈述中指明的关键短语运行。如果许可是关键词如果关键词是拒绝, 键将会被更改 。这个数据包被丢弃了

这一程序是连续不断的,关键词是根据一份声明设定的,一旦软件包符合这一说法,即予以转发或拒绝。

如果数据包不符合ACL中的任何单词,则将完全拒绝,因为默认情况下,每个ACL在结论中包含一个与所有数据集相匹配的推论项目,关键词是拒绝。

一般而言,ACL程序是自上而下,逐步处理,直至确定匹配规则,并强制执行拒绝或许可。

三、通配符掩码

为设定匹配标准,ACL规则采用IP地址和通配符面具。

反面面罩是通配符面罩的另一个名称。和子网掩码一样，通配符遮罩是一个32位数的二进制数字,由 1 和 0 组成。也可以以小数点表示。通配符具有与子网遮罩相似的目的。换句话说,网络是通过与IP地址的比较操作来确定的。不同的是，当使用二进制通配符掩码时,“比较中可以省略对应地址”, 其中一位争论道:不用检查”，值 0 表示“ 相关地址必须检查 ” 。

例如,通配符掩码表示只比较了相关地址的前24个位数,而通配符则表示比较了相应地址前21个位数的前21个位数。

执行ACL软件包过滤时所使用的精确比较技术如下:

一. 使用ACL规则中定义的IP地址和通配符遮罩,为消散或运行获取地址X。

数据包中的 IP 地址用于识别或操作通配符遮罩, 并指定地址 Y 。

三. 如果 X=Y, 这个数据集符合此规则, 反之亦然 。

例如,要匹配子网/ 24 中的 IP 地址, 条件应该是, 通配符应该是, 表明只比较了 IP 地址前面的 24 个 。

四、ACL匹配顺序

ACL可以由许多否认/permit声明组成。每一句都说明一套不同的规则。如果这些规则可能是多余的或相互冲突的(其中一条规则可能载有另一项规则,例如另一项规则),然而,这两项规则不能完全相同。 )当数据包与访问控制清单的规则匹配时,规则的优先顺序由规则对应的顺序决定。

设备允许两个匹配序列:配置顺序和自动排序。

使用深优先级概念, 自动排序匹配 。“更低优先级”是指根据ACL规则的正确性进行分类。比较严格的匹配标准(例如协议类型、来源范围和未来的IP地址等)是:规则就越先匹配。仿佛..显然,前者的东道国范围有限。出入控制规则位于清单的首位。

核心 IPv4ACL “ 低优先级” 概念如下:

(1) 视规则是否包括VPN实例而定,具有VPN实例的规则优先。

(2) 比较知识产权来源地址的范围,优先处理知识产权来源地址范围有限的规则。

(3) 如果源的知识产权地址与目的的知识产权地址处于相同范围,则优先采用第一至第一配置规则。

先进的 IPv4ACL “低优先级”规则如下:

(1) 视规则是否包括VPN实例而定,具有VPN实例的规则优先。

(2) 进一步比较了协议的范围,优先考虑关于由知识产权实施协议种类的条例。

(3) 如果协议的范围相同,比较知识产权来源地址范围优先于知识产权来源地址范围规则。

(4) 如果协议的范围与知识产权源地址相同,则将知识产权地址范围与知识产权地址范围小的条件进行比较。

(5) 如果协议的范围、知识产权源地址范围以及知识产权目的地地址范围都相同,小港口号的规则优先于港口号范围。

(6) 如果范围相同,适用第一至第一地点标准。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/21488.html。