當前位置:首頁 » 密碼管理 » 擴展訪問列表至少訪問哪些項

擴展訪問列表至少訪問哪些項

發布時間: 2022-09-26 02:18:34

1. 路由器 訪問列表的設置

什麼是訪問列表

IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問

內網訪問外網時,進行安全的數據過濾

防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。

兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)

2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)

示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name

驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置

註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。

銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。

訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。

2. 思科的基本訪問控制列表和擴展訪問列表的區別:

1:permit
ip
192.168.18.0
0.0.0.3
any
這條acl,允許192.168.18.1-192.168.18.3這個地址段的的主機出去。包含了permit
tcp
host
192.168.18.3
any
eq
www這條acl,所以18.1
18.2
18.3
都可以訪問。
2:按從上到下執行的原則,
deny
tcp
any
any這條acl已經拒絕所有了,所以後邊的
permit
ip
192.168.18.0
0.0.0.3
any不會再執行,一般把deny
any
any放在最後。

3. 路由器訪問控制列表(ACL)的特性有哪些

網路安全保障的第一道關卡 對於許多網管員來說,配置路由器的訪問控制列表是一件經常性的工作,可以說,路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網路的相關策略。這些策略可以描述安全功能,並且反映流量的優先順序別。例如,某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問,或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形,以及其他的一些功能都可以通過訪問表來達到目的。 訪問列表的種類劃分 目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
1、基本訪問表控制基於網路地址的信息流,且只允許過濾源地址。
2、擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制,允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。

由於篇幅所限,本文只對標准訪問列表和擴展訪問列表進行討論。 標准IP訪問表 標准IP訪問表的基本格式為:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面對標准IP訪問表基本格式中的各項參數進行解釋:
1.list number---表號范圍
標准IP訪問表的表號標識是從1到99。
2.permit/deny----允許或拒絕
關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過介面,還是要過濾掉。permit表示允許報文通過介面,而deny表示匹配標准IP訪問表源地址的報文要被丟棄掉。 3.source address----源地址
對於標準的IP訪問表,源地址是主機或一組主機的點分十進製表示,如:198.78.46.8。
4.host/any----主機匹配
host和any分別用於指定單個主機和所有主機。host表示一種精確的匹配,其屏蔽碼為0.0.0.0。例如,假定我們希望允許從198.78.46.8來的報文,則使用標準的訪問控制列表語句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果採用關鍵字host,則也可以用下面的語句來代替:
access-list 1 permithost 198.78.46.8
也就是說,host是0.0.0.O通配符屏蔽碼的簡寫。
與此相對照,any是源地證/目標地址0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源地址198.78.46.8來的報文,並且要允許從其他源地址來的報文,標準的IP訪問表可以使用下面的語句達到這個目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意,這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒,將permit語句放在deny語句的前面,則我們將不能過濾來自主機地址198.78.46.8的報文,因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網路中產生安全漏洞,或者使得用戶不能很好地利用公司的網路策略。 5.wildcardmask------通配符屏蔽碼
Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的,也就是說,二進制的O表示一個"匹配"條件,二進制的1表示一個"不關心"條件。假設組織機構擁有一個C類網路198.78.46.0,若不使用子網,則當配置網路中的每一個工作站時,使用於網屏蔽碼255.255.255.O。在這種情況下,1表示一個 "匹配",而0表示一個"不關心"的條件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的,所以匹配源網路地址198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。
6.Log----日誌記錄
log關鍵字只在IOS版本11.3中存在。如果該關鍵字用於訪問表中,則對那些能夠匹配訪問表中的permit和deny語句的報文進行日誌記錄。日誌信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鍾間隔內的報文數目。使用log關鍵字,會使控制台日誌提供測試和報警兩種功能。系統管理員可以使用日誌來觀察不同活動下的報文匹配情況,從而可以測試不同訪問表的設計情況。當其用於報警時,管理員可以察看顯示結果,以定位那些多次嘗試活動被拒絕的訪問表語句。執行一個訪問表語句的多次嘗試活動被拒絕,很可能表明有潛在的黑客攻擊活動。 擴展的IP訪問控制列表 顧名思義,擴展的IP訪問表用於擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文:源和目的地址、協議、源和目的埠以及在特定報文欄位中允許進行特殊位比較等等。一個擴展的IP訪問表的一般語法格或如下所示:

下面簡要介紹各個關鍵字的功能:
1.list number----表號范圍
擴展IP訪問表的表號標識從l00到199。
2.protocol-----協議
協議項定義了需要被過濾的協議,例如IP、TCP、UDP、ICMP等等。協議選項是很重要的,因為在TCP/IP協議棧中的各種協議之間有很密切的關系,如果管理員希望根據特殊協議進行報文過濾,就要指定該協議。
另外,管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中,允許IP地址的語句放在拒絕TCP地址的語句前面,則後一個語句根本不起作用。但是如果將這兩條語句換一下位置,則在允許該地址上的其他協議的同時,拒絕了TCP協議。
3.源埠號和目的埠號
源埠號可以用幾種不同的方法來指定。它可以顯式地指定,使用一個數字或者使用一個可識別的助記符。例如,我們可以使用80或者http來指定Web的超文本傳輸協議。對於TCP和UDP,讀者可以使用操作符 "<"(小於)、">"(大於)"="(等於)以及""(不等於)來進行設置。
目的埠號的指定方法與源埠號的指定方法相同。讀者可以使用數字、助記符或者使用操作符與數字或助記符相結合的格式來指定一個埠范圍。
下面的實例說明了擴展IP訪問表中部分關鍵字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一個語句允許來自任何主機的TCP報文到達特定主機198.78.46.8的smtp服務埠(25);第二個語句允許任何來自任何主機的TCP報文到達指定的主機198.78.46.3的www或http服務埠(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.選項
擴展的IP訪問表支持很多選項。其中一個常用的選項有log,它已在前面討論標准訪問表時介紹過了。另一個常用的選項是established,該選項只用於TCP協議並且只在TCP通信流的一個方向上來響應由另一端發起的會話。為了實現該功能,使用established選項的訪問表語句檢查每個 TCP報文,以確定報文的ACK或RST位是否已設置。
例如,考慮如下擴展的IP訪問表語句:
access-list 101 permit tcp any host 198.78.46.8 established
該語句的作用是:只要報文的ACK和RST位被設置,該訪問表語句就允許來自任何源地址的TCP報文流到指定的主機198.78.46.8。這意味著主機198.78.46.8此前必須發起TCP會話。 5.其他關鍵字
deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標准IP訪問表中的相同。
表2是對部分關鍵字的具體解釋。
表 2:
管理和使用訪問表 在一個介面上配置訪問表需要三個步驟:
(1)定義訪問表;
(2)指定訪問表所應用的介面;
(3)定義訪問表作用於介面上的方向。
我們已經討論了如何定義標準的和擴展的IP訪問表,下面將討論如何指定訪問表所用的介面以及介面應用的方向。
一般地,採用interface命令指定一個介面。例如,為了將訪問表應用於串口0,應使用如下命令指定此埠:
interface serial0
類似地,為將訪問表應用於路由器的乙太網埠上時,假定埠為Ethernet0,則應使用如下命令來指定此埠:
interface ethernet0
在上述三個步驟中的第三步是定義訪問表所應用的介面方向,通常使用ip access-group命令來指定。其中,列表號標識訪問表,而關鍵字in或out則指明訪問表所使用的方向。方向用於指出是在報文進入或離開路由器介面時對其進行過濾。如下的實例將這三個步驟綜合在一起: intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中,先使用interface命令指定串列埠0,並使用ipaccess-group命令來將訪問表l07中的語句應用於串列介面的向內方向上。最後,輸入6個訪問表語句,其中三條訪問表語句使用關鍵字remark

4. 擴展的訪問控制列表,可以採用以下哪幾個來允許或者拒絕報文

路由器裡面有限制ip/mac的選項,如果開啟了這個選項,那麼只有該列表下的ip/mac才可以訪問網路,其它訪客需要管路員把該設備加進該列表才能訪問網路。我就是這么做的,比人就算接到路由器上也不能訪問網路,沒有路由器的密碼也不能更改,所以看起來你連上了,但是沒有許可權。如果是自己家裡的路由器,進去把有關無線設置方面的選項看下一般的勾都給他去掉,防火牆關了,安全方面可以設置個密碼。

5. 簡述標准和擴展訪問控制列表的工作過程

咨詢記錄 · 回答於2021-07-19

6. 訪問控制列表有哪幾種類型,分別在哪個位置

分類

1、標准IP訪問列表

一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。

2、擴展IP訪問

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

3、命名的IP訪問

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標准和擴展兩種列表,定義過濾的語句與編號方式中相似。

4、標准IPX訪問

標准IPX訪問控制列表的編號范圍是800-899,它檢查IPX源網路號和目的網路號,同樣可以檢查源地址和目的地址的節點號部分。

5、擴展IPX訪問

擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個欄位的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。

6、命名的IPX訪問

與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標准和擴展之分。

(6)擴展訪問列表至少訪問哪些項擴展閱讀

訪問控制列表的使用

ACL的使用分為兩步:

(1)創建訪問控制列表ACL,根據實際需要設置對應的條件項;

(2)將ACL應用到路由器指定介面的指定方向(in/out)上。

在ACL的配置與使用中需要注意以下事項:

(1)ACL是自頂向下順序進行處理,一旦匹配成功,就會進行處理,且不再比對以後的語句,所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面,最不嚴格的語句放在底部。

(2)當所有語句沒有匹配成功時,會丟棄分組。這也稱為ACL隱性拒絕。

(3)每個介面在每個方向上,只能應用一個ACL。

(4)標准ACL應該部署在距離分組的目的網路近的位置,擴展ACL應該部署在距離分組發送者近的位置。

7. 標准訪問控制列表和擴展的訪問控制列表有什麼區別

1、概念不同

標准訪問控制列表:根據數據包的源IP地址允許或拒絕數據包。

擴展訪問控制列表:根據數據包的源IP地址、目的IP地址、指定協議、埠和標志允許或拒絕數據包。

2、應用介面不同

標准訪問控制列表:盡量應用在靠近在目的地址的介面。

擴展訪問控制列表:盡量應用在靠近在源地址的介面。

3、表號不同

標准訪問控制列表:訪問控制列表號是1-99。

擴展訪問控制列表:訪問控制列表號是100-199。

(7)擴展訪問列表至少訪問哪些項擴展閱讀:

訪問控制列表的應用:

1、允許、拒絕數據包通過路由器。

2、允許、拒絕Telnet會話的建立。

3、沒有設置訪問列表時,所有的數據包都會在網路上傳輸。

4、基於數據包檢測的特殊數據通訊應用。

8. ip擴展訪問列表的數字標示範圍是多少

IP擴展訪問列表的數字標示範圍是(100~199)。

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

訪問控制列表這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。

(8)擴展訪問列表至少訪問哪些項擴展閱讀

相關功能:

1、限制網路流量、提高網路性能。例如,ACL可以根據數據包的協議,指定這種類型的數據包具有更高的優先順序,同等情況下可預先被網路設備處理。

2、提供對通信流量的控制手段。

3、提供網路訪問的基本安全手段。

4、在網路設備介面處,決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。

9. 訪問控制列表有幾種類型說出不同訪問控制列表可控制訪問的元素有哪些

標准訪問控制列表,擴展訪問控制列表,命名訪問控制列表,定時訪問控制列表。

一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

(9)擴展訪問列表至少訪問哪些項擴展閱讀:

訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。

熱點內容
教學視頻文字腳本 發布:2024-03-29 22:29:49 瀏覽:137
java心跳檢測 發布:2024-03-29 22:28:53 瀏覽:981
玩戰地5配置不行怎麼辦 發布:2024-03-29 22:10:28 瀏覽:981
javaice 發布:2024-03-29 21:56:37 瀏覽:355
編譯圖書 發布:2024-03-29 21:56:36 瀏覽:332
linux全選vi 發布:2024-03-29 21:55:11 瀏覽:774
艾譜保險箱初始密碼一般是什麼 發布:2024-03-29 21:48:11 瀏覽:825
商家粉腳本 發布:2024-03-29 21:34:57 瀏覽:151
我的世界ec伺服器怎麼獲得 發布:2024-03-29 21:21:44 瀏覽:709
小米4設置限制的訪問 發布:2024-03-29 21:21:10 瀏覽:406