条件匹配工具之ACL概述

news2024/11/23 3:20:55

基本概念

ACL,即Access Control List(访问控制列表),每个ACL但是是由单条或多条Rule(规则)组成的一个集合

技术背景:

1.用户需求:

用户对网络服务体验的要求越来越高,这促使网管使用一种能够实现过滤、匹配的技术来进行精细的控制和优化网络服务的流量路径,ACL刚刚满足这样的条件

2.安全需求

随着企业或其他组织机构的扩张,其网络规模越来越大,来自网络中的威胁也越来越泛滥。为了保护内部重要的网络资源不被未授权的流量访问,可以通过定义ACL规则来拒绝那些流量

3.企业内部的访问控制需求

在中大型组织机构中,每个部门之间都会定义访问控制,基于访问控制的最小权限原则,每个部门应只被赋予其工作所需要的一个访问权限,来确保一些敏感信息或私密的网络资源只能够被授权人员看到。

ACL的匹配机制:

如图,是为ACL的匹配机制流程图。

可以看到,首先会判断引用的ACL是否存在

然后会判断acl是否存在rule

然后再依照规则编号从第一条Rule开始分析

常用的ACL分类:

简介:

常用的ACL可以分为基本ACL(2000-2999)、高级ACL(3000-3999)

基本ACL:

简介:

基本ACL是一种比较原始的匹配方式,只能通过对源地址的匹配实现流量匹配

配置:

acl 2000
 rule 5 permit source 192.168.1.0 0.0.0.255

匹配语句分析:

规则编号5:放行源地址为192.168.1.0/24的流量

但是发现没,我配置里写的掩码是0.0.0.255而不是255.255.255.0

这个叫通配符,可不是ospf里的反掩码,尽管很相似,但是原理不太一样

我们化成二进制来看

正掩码:11111111.11111111.11111111.00000000

通配符:00000000.00000000.00000000.11111111

在通配符的定义中,0表示严格匹配,1表示宽松匹配,

而反掩码的定义则就是正掩码倒过来写,因此原理是不太一样的

高级ACL:

简介:

高级acl是一种扩展acl,不仅能够基于源地址、源端口实现对流量的匹配,也能基于目标地址

、目标端口对流量进行配置,还能并且能够同时基于源目IP、源目端口、传输层协议实现一个对流量的精细控制,这五大参数组成起来叫做五元组,且协议必须为传输协议(TCP或UDP),否则不叫做五元组。四元组则是源目IP与源目端口四大参数

配置:

acl 3000
 rule 5 permit tcp source 192.168.1.0 0.0.0.255 source-port eq 1000 destination 
192.168.2.0 0.0.0.255 destination-port eq 3000

匹配语句分析:

规则编号5:放行通信协议为TCP、源地址为192.168.1.0/24、源端口为1000(eq表示equal,相等、等于)、目标地址为192.168.2.0/24,目标端口为3000的流量

尾声:

那么ACL的内容就到此为止,我们下次再见

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1929246.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Openerstry + lua + redis根据请求参数实现动态路由转发

文章目录 一、需求分析二、准备1、软件安装2、redis-lua封装优化 三、实现1、nginx.conf2、dynamic.lua注意 3、准备两个应用4、访问nginx 四、参数直接传要代理的地址端口 一、需求分析 根据用户访问url的参数,将请求转发到对应指定IP的服务器上。 二、准备 1、…

java实现树形结构的设计

一、页面效果 二、数据库表设计 CREATE TABLE qc_question (id bigint(20) NOT NULL AUTO_INCREMENT,p_id bigint(11) NOT NULL,rank int(4) NOT NULL COMMENT 层级,name varchar(255) NOT NULL COMMENT 名称,code varchar(255) DEFAULT NULL COMMENT 编号,group_id bigint(20…

网络安全防御【防火墙双机热备带宽管理综合实验】

目录 一、实验拓扑图 二、实验要求 三、实验思路: 四、实验步骤: 1、FW3的网络相关配置: 2、FW1的新增配置: 3、交换机LSW6(总公司)的新增配置: 4、双机热备技术配置(双机热…

【人工智能】高级搜索技术(模拟退火搜索算法和遗传算法解决旅行商问题)

目录 一、旅行商问题 1. 需求分析 2. 数据结构、功能模块设计与说明 2.1 数据结构 (1)模拟退火搜索算法 (2)遗传算法 2.2 功能模块设计 (1)模拟退火搜索算法 (2)遗传算法 …

离散数学,传递闭包的运算 ,集合的划分和覆盖 ,等价关系 ,等价类,相容关系 ,偏序关系

目录 1.传递闭包的运算 2.集合的划分和覆盖 3.等价关系 4.等价类 等价关系的性质 商集 5.相容关系 相容类 写出以下相容关系的最大相容类 完全覆盖 6.偏序关系 覆盖 7.哈斯图例子 1.传递闭包的运算 2.集合的划分和覆盖 3.等价关系 4.等价类 等价关…

starrcoks内存溢出后重启失败

sr版本:version 2.1.12 RELEASE (build 04f2931) 部署方式: FE:10.6.xx.107~10.6.xx.109 BE:10.6.xx.107~10.6.xx.111 问题:某天10.6.xx.107机器上的BE提示内存溢出(日志如下),重启后,be却无法…

Gooxi受邀参加第三届中国数据中心服务器与设备峰会

7月2-3日,第三届中国数据中心服务器与设备峰会在上海召开,作为国内最聚焦在服务器领域的专业峰会,吸引了来自全国的行业专家、服务器与机房设备厂家,企业IT用户,数据中心业主共同探讨AIGC时代下智算中心设备的设计之道…

普通人用AI提升收入的四种途径分享(附教程)

全文干货视频很长,建议先收藏再看。 实操和AI绘画工具可以扫描下方,免费获取 01 提升赚钱效率:拆解主业,让AI为你的主业做乘法 首先我要告诉你的是,用 AI 来提升收入这件事并不难,只不过大多数人用错了方…

文心一言 VS 讯飞星火 VS chatgpt (304)-- 算法导论22.2 2题

二、请计算出在图22-3所示无向图上运行广度优先搜索算法后的 d 值和 π 值。这里假定结点 u 为算法所用的源结点。 文心一言: 为了计算在图22-3所示的无向图上运行广度优先搜索(BFS)算法后的d值和π值,我们首先需要明确图的结构…

【linux】服务器重装系统之系统盘写入准备

【linux】服务器重装系统之系统盘写入准备 【创作不易,求点赞关注收藏】😀 文章目录 【linux】服务器重装系统之系统盘写入准备一、前期准备1、准备一个U盘,并进行格式化2、下载UltralSO工具3、下载对应的Ubuntu版本 二、写入操作教程 一、…

手机和电脑通过TCP传输(一)

一.工具 手机端:网络调试精灵 电脑端:野火网络调试助手 在开始通信之前,千万要查看一下电脑的防火墙是否关闭,否则可能会无法通信 在开始通信之前,千万要查看一下电脑的防火墙是否关闭,否则可能会无法通信…

中仕公考:考公基层工作经历怎么计算?

在国家及省级公务员考试中,可能会有岗位要求“基层工作经历”,很多考生对于这一概念了解的不是很清楚,该经历定义为个人在县级或以下级别的机关、国有企事业单位、以及村(社区)组织或其他经济和社会组织中的工作历程。 须知:应届…

Python与MQTT:构建物联网通信的桥梁

🚀Python与MQTT:构建物联网通信的桥梁🌉 在这个万物互联的时代,物联网(IoT)技术正以前所未有的速度改变着我们的生活。从智能家居到智慧城市,从工业自动化到农业智能化,物联网的触角…

前端开发体系+html文件详解

目录 html骨架 body主体内基本元素 基本元素 超文本(超链接跳转) 锚点 图片标签 列表标签 表格标签 框架标签(窗口标签) 音频标签 视频标签 VScode编译器 输入框 字体样式 实例展示: 首先简要介绍前端的整…

电脑远程开关机

1. 远程开机 参考:https://post.smzdm.com/p/664774/ 1.1 Wake On LAN - 局域网唤醒(需要主板支持,一般都支持) 要使用远程唤醒,有几种方式:使用类似向日葵开机棒(很贵)、公网ip&…

防火墙负载分担,带宽策略

一、实验拓扑图 二、实验要求 12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1 13,办公区上网用户限制流量不超过100M&a…

【Python】基础语法(函数、列表和元组、字典、文件)

。一、函数 1、函数是什么 编程中的函数和数学中的函数有一定的相似之处。 数学上的函数,比如 y sin x,x 取不同的值,y 就会得到不同的结果。 编程中的函数是一段可以被重复使用的代码片段。 (1)求数列的和&…

Go语言--广播式并发聊天服务器

实现功能 每个客户端上线,服务端可以向其他客户端广播上线信息;发送的消息可以广播给其他在线的客户支持改名支持客户端主动退出支持通过who查找当前在线的用户超时退出 流程 变量 用户结构体 保存用户的管道,用户名以及网络地址信息 typ…

第二届大数据、计算智能与应用国际会议(BDCIA2024)

会议日期:2024年11月15-17日 会议地点:中国-湖北省-黄冈市 主办单位:黄冈师范学院 【大会主席】 【主讲嘉宾】 大会邀请到来自美国、英国、加拿大、新加坡、意大利、越南等10余位领域内学术大咖作主题报告,并与参会人员互动交…