ACL包过滤式一种被广泛使用的网络安全技术。它使用ACL来实现数据识别,并决定是转发还是丢弃这些数据包。 由ACL定义的报文匹配规则,还可以被其它需要对数据进行区分的场合应用。 ACL的英文名字叫Access Control list,中文名字叫访问控制列表,是用来实现数据包识别功能的。 ACL主要用于以下几个方面: 1,包过滤防火墙功能 2,NAT(NETWORD ADDRESS TRANSLATION,网络地址转黄) 3,QOS(QUALITY OF SERVICE,服务质量)的数据分类 4,路由策略和过滤 5,按需拨号 下面给大家详细介绍以下基于ACL的包过滤技术 对进出的数据包逐个过滤,丢弃或允许通过 ACL应用于接口上,每个接口的出入双向分别过滤。 仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤。 ACL的标记:利用数字序号标识访问控制列表 访问控制列表的分类 数字序号的范围 基本访问控制列表 2000-2999 扩展访问控制列表 3000-3999 基于二层的访问控制列表 4000-4999 用户自定义的访问控制列表 5000-5999 可以给访问控制列表制定名称,便于维护。 下面介绍下四种ACL种类有啥区别。 基本ACL只根据报文的源IP地址信息制定规则。 高级ACL根据报文的源IP地址,目的IP地址,IP承载的协议类型,协议特性的第三,四层信息制定规则。 二层ACL根据报文的源MAC地址,目的MAC地址,802.1p优先级,二层协议类型等二层信息制定匹配规则。 用户自定义ACL可以根据任意位置的任意字串匹配规则 :报文的报文头,IP头等为基准,指定从第几个字节开始与掩码进行与操作,将从报文提取出来的字符创和用户定义的字符创进行比较,找到匹配的报文。 ACL包过滤配置任务方法: 1,启动包过滤防火墙功能,设置默认的过滤规则。 2,根据需要选择合适的ACL分类 3,创建正确的规则 设置匹配条件 设置合适的动作(permit/deny) 4,在路由器的接口上应用ACL,并指明报文过滤的方向(入站、出站) 本文由路由器设置网www.luyouqiwang.net站长整理编辑,转载请注明出处。 (责任编辑:jida2010) |