精確匹配192.168.1.1這個ip
0.0.0.0 255.255.255.255 = any示例:匹配192.168.1.0/24這個子網中最後乙個8位組為基數的ip位址,例如192.168.1.1、192.168.1.3、192.168.1.5等。匹配所有ip
在路由器的介面上應用acl,並指明過濾報文的方向(入站/出站)
[h3c]packet-filter default deny
[h3c]acl basic acl-number
[h3c-acl-basic-2000]rule [ rule-id] [ counting | fragment | logging | source|time-range time-range-name
]
[h3c]acl advanced acl-number
[h3c-acl-adv-3000]rule [ rule-id] protocol
[ destination | destination-port operator port1
[ port2
] established | fragment | source | source-port operator port1
[ port2
] |time-range time-range-name
]
[h3c]acl mac acl-number
[h3c-acl-ethernetframe-4000]rule [ rule-id] [ cos vlan-pri
| dest-mac dest-addr dest-mask
| lsap lsap-type lsap-type-mask
| source-mac sour-addr source-mask
| time-range time-range-name
]
[h3c-serial2/0 ]packet-filter配置acl的匹配順序:
[h3c]acl number acl-number基本acl[match-order ]
acl包過濾防火牆是靜態防火牆,無法對應用層的協議進行動態檢測
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...