`

acl

acl 
阅读更多

对员工开放
web服务器(10.1.2.20)提供的http服务
FTP服务器(10.1.2.22)提供的FTP服务
数据库服务器(10.1.2.21)通过1521端口

ip access-list extend server-protect
permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp
exit
int vlan 2
ip access-group server-protect

最为精确匹配的ACL语句一定要写在最前面的原则

 

要求
上班时间(9:00-18:00)
禁止浏览internet
禁止使用QQ、MSN
而且在2003年6月1号到2号的所有时间内都不允许进行上述操作。
但在任何时间都可以允许访问Internet。
 
分析
http使用TCP/80端口
https使用TCP/443端口
MSN使用TCP/1863端口
QQ使用TCP/UDP8000端口,可能使用到udp/4000进行通讯。
代理服务器主要布署在TCP 8080、TCP 3128(HTTP代理)和TCP 1080 (socks)这三个端口上


time-range TR1
absolute start 00:00 1 June 2003 end 00:00 3 June 2003
periodic weekdays start 9:00 18:00
exit
ip access-list extend internet_limit
deny tcp 10.1.0.0 0.0.255.255 any eq 80   time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 443  time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1
permit ip any any
int s0/0
ip access-group internet_limit out

int fa0/0
ip access-group internet_limit in
或者将ACL配置在SWA上
int vlan 3
ip access-group internet_limit out


要求
实行薪资的不透明化管理
由于目前的薪资收入数据还放在财务部门中,所以公司不希望市场vlan5和研发vlan6部门能访问到财务部Vlan4中的数据
财务部门做为公司的核心管理部门,能访问到市场和研发部门内的数据。

分析
A与B要实现通讯,既需要A能向B发包,也需要B能向A发包,任何一个方向的包被阻断,通讯都不能成功。
要想实现真正意义上的单向访问控制,在财务部门访问市场和研发部门时,能在市场和研发部门的ACL中临时生成一个反向的ACL条目,这样就能实现单向访问了。需要使用到反向ACL技术。

在SWA上做了如下的配置:
ip access-list extend fi-access-limit
deny ip any 10.1.4.0 0.0.0.255
permit ip any any 

ip access-list extend fi-main
permit tcp  any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
permit udp  any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
permit ip any any

int vlan 4
ip access-group fi-main in
ip access-list extend fi-access-limit

evaluate r-main
deny ip any 10.1.4.0 0.0.0.255
permit ip any any
 
int vlan 5
ip access-group fi-access-limit in
int vlan 6
ip access-group fi-access-limit in

解释如下:
ACL(fi-main)并应用在具备访问权限的接口下(财务部所在的vlan4)的in方向,使用该acl中具备reflect关键字的acl条目来捕捉建立反向ACL条目所需要的信息。我们将该ACL称为主ACL。

reflect r-main timeout xxx:其中的reflect关键字表明该条目可以用于捕捉建立反向的ACL条目所需要的信息。r-main是reflect组的名字,具备相同reflect组名字的所有的ACL条目为一个reflect组。timeout xxx表明由这条ACL条目所建立起来的反向ACL条目在没有流量的情况下,多长时间后会消失(缺省值为300秒)。

evaluate r-main:我们注意到在fi-access-limit(我们把它称为反ACL)增加了这样一句,这一句的意思是有符合r-main这个reflect组中所定义的acl条目的流量发生时,在evaluate语句所在的当前位置动态生成一条反向的permit语句。

反向ACL的局限性:
必须使用命名的ACL,其实这不能叫局限性,应该算注意事项吧; 对多通道应用程序如h123之类无法提供支持。

标准的IP ACL、扩展的IP ACL、基于名字的ACL、基于时间的ACL、反向ACL。

“有什么办法能知道ACL都过滤了从哪儿来,到哪儿去的流量?”。只需要在需要记录的acl条目的最后加一个log关键字,这样在有符合该ACL条目数据包时,就会产生一条日志信息发到你的设备所定义的日志服务器上去。

 

分享到:
评论

相关推荐

    锐捷交换机ACL配置

    锐捷交换机访问控制列表(Access Control List, ACL)是一种强大的网络管理工具,它允许管理员对网络流量进行精细控制,以实现安全策略、流量管理和优化。在锐捷交换机上配置基于时间的ACL,可以进一步细化策略,...

    思科ACL基本的配置

    思科ACL基本配置 思科ACL(Access Control List,访问控制列表)是一种网络安全机制,用于控制网络流量和访问权限。思科ACL可以分为标准ACL、扩展ACL和命名ACL三种类型,每种类型都有其特点和应用场景。 标准ACL ...

    华为s5700vlan划分和acl配置命令.docx

    ### 华为S5700交换机VLAN划分与ACL配置详解 #### 一、华为S5700交换机简介 华为S5700系列交换机是一款多功能、高性能的企业级接入层交换机,支持多种管理和安全特性,如IPv6、PoE+、集成Wi-Fi等,适用于中小型企业...

    掌握ACL的配置方法

    【访问控制列表(ACL)配置方法】 访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种安全机制,用于控制网络流量的进出,以实现访问控制和网络安全策略。通过配置ACL,可以...

    ACL和前缀列表区别详解.doc

    ACL 和前缀列表区别详解 在网络路由中,ACL(Access Control List)和前缀列表(prefix-list)都是常用的路由条目过滤和处理工具,但是它们在实现路由条目抓取和过滤方面有着不同的特点和应用场景。 一、ACL 的...

    基于acl库封装c\c++ 的redis-client客户端源码

    基于acl库封装的redis client vs2010工程; 运行时解压到: redis-acl\lib_acl_cpp\samples\redis路径下,把lib_acl_vc2010d.lib、lib_acl_cpp_vc2010d.lib放到 \redis-acl\lib_acl_cpp\samples\redis\redisclient...

    ACL访问控制列表,基于流量抓取

    ACL,即访问控制列表,是网络管理中一种重要的安全机制,用于实现对网络流量的精细化控制。ACL的基本工作原理是通过一系列预定义的规则来决定数据包是否可以通过网络设备,以此来分配带宽资源,保障局域网的安全。 ...

    H3C交换机 典型配置举例-6W100-ACL典型配置举例

    "H3C交换机典型配置举例-6W100-ACL典型配置举例" 本文将详细介绍H3C交换机中的ACL(Access Control List,访问控制列表)典型配置举例,包括允许指定的主机访问网络和拒绝指定的主机访问网络两种配置举例。 首先,...

    实验:使用基本ACL限制公司网络访问.docx

    本实验"使用基本ACL限制公司网络访问"旨在让学生深入理解并掌握如何通过访问控制列表(ACL)来实现这一目标。实验主要涉及了eNSP(Enterprise Network Simulation Platform,企业网络模拟平台)、ACL、VLAN以及三层...

    cisco最完美的ACL配置详解及配置全过程

    cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置...

    cakephp中acl详解.rar

    在 CakePHP 中,Access Control List(ACL,访问控制列表)是一个强大的工具,用于管理用户对资源的访问权限。本教程将深入探讨CakePHP的ACL系统,以便你能够有效地实现安全的用户权限管理。 **1. ACL基本概念** ...

    H3C_ACL包过滤基础配置案例

    **H3C ACL包过滤基础配置案例详解** 在H3C网络设备中,访问控制列表(ACL)是一种重要的网络安全和流量管理工具,用于定义网络流量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL包过滤基础配置案例,适用于H3...

    第八次实验ACL配置实验.docx

    ACL 配置实验报告 本实验报告的主要目的是了解并掌握路由器上的标准 ACL 配置,实现网段间互访的安全控制。通过本次实验,我们可以深入理解包过滤防火墙的工作原理,并掌握路由器上的标准 ACL 规则及配置。 一、...

    rocketmq-console控制台已增加ACL鉴权和配置控制台登录验证

    在这个更新中,RocketMQ Console增加了两个重要的安全特性:ACL(Access Control List)鉴权和控制台登录验证。 1. ACL鉴权: ACL,即访问控制列表,是一种常见的权限管理系统,用于限制用户或角色对资源的访问。...

    思科交换机访问控制列表ACL

    【思科交换机访问控制列表(ACL)】是网络管理员用于增强网络安全的重要工具,它允许对数据包在交换机上的流动进行精细化控制。访问控制列表主要用于过滤特定类型的流量,阻止潜在的恶意活动,并保护网络资源免受...

    华三ACL命令大全华三ACL命令大全_华三交换机查看型号命令

    ### 华三ACL命令大全详解 #### 一、概述 华三通信技术有限公司(简称H3C)是一家专业提供IT基础架构产品及方案的研究、开发、生产、销售及服务的公司,其产品线覆盖了路由、交换、WLAN、安全、网络管理等领域。在H3...

    ACL 进行网络流量的控制1

    ACL 进行网络流量的控制 知识点一:什么是 IP ACL? IP ACL(IP 访问控制列表或 IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。 知识点二:IP ACL 的...

    基于ACL会议模板的Latex双栏中文模板

    在本文中,我们将深入探讨如何使用基于ACL会议模板的LaTeX双栏中文模板来创建专业且规范的学术论文。ACL(Association for Computational Linguistics)是计算语言学领域的重要会议,其提供的模板旨在确保论文格式的...

    华为模拟器eNSP练习题-ACL

    **华为模拟器eNSP与ACL实践指南** 在IT领域,华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真工具,它允许用户在虚拟环境中模拟和测试华为网络设备,如路由器、交换机等。本练习题专注于...

Global site tag (gtag.js) - Google Analytics