ACL的原理

news2024/11/14 19:19:53

随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

学习本章内容后,我们应该能够:

    • 理解ACL技术概念
    • 理解ACL的基本原理
    • 掌握ACL的基本配置

12.1 ACL的技术概念

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

如图12-1所示,某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。我们可以在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过,Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。在Interface 3的入方向上部署ACL,防止病毒通过该接口入侵。

图12-1 某企业拓扑结构

12.2 ACL的基本原理

12.2.1 ACL的组成

一条ACL的结构组成如图12-2所示,

                                                图12-2 ACL的结构组成

  • ACL名称:通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。
  • ACL编号:用于标识ACL,也可以单独使用ACL编号,表明该ACL是数字型。
  • 规则:即描述报文匹配条件的判断语句。
  • 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。
  • 动作:报文处理动作,包括permit/deny两种,表示允许/拒绝。
  • 匹配项:ACL定义了极其丰富的匹配项。除了图12-2中的源地址和生效时间段,ACL还支持很多其他规则匹配项。

12.2.2 ACL的专业术语

  1. 规则编号

每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。系统自动为ACL规则分配编号时,每个相邻规则编号之间会有一个差值,这个差值称为“步长”。缺省步长为5,所以规则编号就是5/10/15…以此类推,如图12-3所示,

图12-3 规则编号

  1. 通配符

通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”。如图12-3中的rule 15 permit source 10.1.1.0 0.0.0.255中0.0.0.255为通配符,前面24位为0,代表严格匹配,后面8位为1代表任意匹配,所以是允许10.1.1.0/24位。

12.2.3 ACL的分类

  1. 基于ACL规则定义方式的划分,可分为:基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。它们的编号范围和规则如图12-4所示,

                                            图12-4 基于ACL规则定义方式的分类

  1. 基于ACL标识方法的划分,则可分为:数字型ACL和命名型ACL,如图12-5所示,

图12-5 基于ACL标识方法的划分

 本文出自作者的《HCIA Datacom学习指南》
https://item.jd.com/14032255.html


在文章最后加作者VX:可以免费领取以下资料

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2078666.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

解构德赛西威“长期主义”战略

变则通,通则久,中国汽车行业的创新演变史,是对长期主义价值观的生动诠释。从燃油车到新能源汽车,从国外品牌技术引进,到国产自主品牌崛起,沿着这条行业发展曲线的起伏跌宕,德赛西威敏捷会意时代…

RPA自动化流程机器人在企业财务中的安全与合规性考虑

随着企业对数字化转型的需求不断增加,财务系统变得更加复杂和集成,而新技术的应用将改变企业财务管理传统的运营模式,帮助企业提质增效的同时也可能带来系统安全性的挑战。RPA自动化流程机器人作为最受企业欢迎的数字化转型工具之一&#xff…

CRMEB多商户2.2.1小程序授权问题

多商户2.2.1版本更新了小程序登录授权增加隐私协议,但是重新发布后有部分用户无法授权,具体表现为点击同意隐私协议以后,授权无反应,主要原因是因为腾讯更新了授权指引相关信息,这里给出的处理办法是在小程序后台增加获…

asp.net core在win上的发布和部署

一、asp.net core两种发布方式 1、两个发布方式——【框架依赖发布】和【独立发布】 2、两种发布方式的差别 二、发布的详细过程 1、【生成】->【发布】 2、框架依赖发布 设置发布参数,然后进行发布 发布好的文件,把它们放到一个新的目录文件夹里 …

R 语言学习教程,从入门到精通,R 绘图 散点图(25)

1、R 绘图 散点图 散点图是将所有的数据以点的形式展现在直角坐标系上,以显示变量之间的相互影响程度,点的位置由变量的数值决定,每个点对应一个 X 和 Y 轴点坐标。 散点图可以使用 plot() 函数来绘制,语法格式如下: …

数据库安全技术的重要性,避免成为SQL注入攻击的下一个目标

数据库里存储了大量个人信息,包括一些非常敏感的资料,让必须管理数据库的公司十分头痛。如今,运用各种高级工具和技术,数据库开发人员可以在保持信息私密的状态下放心执行各种操作。 这些解决方案靠的是数学的巧妙应用。其中一些…

一文彻底搞懂Fine-tuning - 超参数(Hyperparameter)

Hyperparameter 超参数(Hyperparameter), 是机器学习算法中的调优参数,用于控制模型的学习过程和结构。与模型参数(Model Parameter)不同,模型参数是在训练过程中通过数据学习得到的&#xff0…

网络安全面试经验分享:蘑菇街/网络安全

《网安面试指南》http://mp.weixin.qq.com/s?__bizMzkwNjY1Mzc0Nw&mid2247484339&idx1&sn356300f169de74e7a778b04bfbbbd0ab&chksmc0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene21#wechat_redirect 蘑菇街 介绍…

续:MySQL的并行复制

【示例】 如果数据复制的慢的话,就会导致主从数据不一致性; 有的企业需要数据保持强一致性;比如银行等; 日志回放默认是单线程; # mysql> show processlist; --------------------------------------------------…

裁剪视频哪个软件好用?试试这些省时省力工具

你是否曾为如何将一段长视频精准地分割成多个精彩片段而烦恼? 视频分割,作为视频剪辑中的基础且关键步骤,对于创作短视频、精选集锦或是捕捉那些稍纵即逝的动人瞬间至关重要。 别担心,今天我们就来揭秘3种免费的裁剪视频在线技巧…

创客匠人对话(下):拆解做爆款的底层逻辑

老蒋创客圈第64期对话标杆直播连麦,我们邀请到【iAMU蒙特梭利翻转星球】平台创始人申晓慧老师。在上篇文章中,申老师分享了她是如何做品牌,如何运营社群。 拿到结果的前提是有一个被客户认同的好产品。本篇文章我们将继续分享对话精彩内容&a…

通过IDEA创建spring boot的web项目

1.Fle->New->Project,选择Maven&#xff0c;点击Next 2.修改项目名称&#xff0c;点击Finish 3.项目创建完毕&#xff0c;等待Maven下载完成 4.修改pom.xml文件&#xff0c;改成如下内容 <?xml version"1.0" encoding"UTF-8"?> <pr…

Spark SQL Hints:优化查询性能的利器

前言 在大数据处理领域,Apache Spark 是一个非常流行的框架,它提供了高性能的数据处理能力。Spark SQL 是 Spark 中的一个模块,用于处理结构化和半结构化数据,允许用户使用 SQL 查询数据,同时也提供了 DataFrame 和 DataSet API 进行编程访问。为了帮助开发者更有效地优化…

ZBrush入门使用介绍——10、布尔运算

大家好&#xff0c;我是阿赵。   这次来看看在ZBrush里面怎样使用布尔运算。 一、 预览布尔渲染 要布尔运算&#xff0c;起码是需要2个模型&#xff0c;所以先创建一个立方体&#xff0c;非常注意的是&#xff0c;一定要转成多边形网格物体。 之前介绍过子工具的用法&#…

联合整体与蒙面人脸识别

Joint Holistic and Masked Face Recognition 摘要 本文通过补丁重建的代理任务来初始化模型参数&#xff0c;并观察到 ViT 主干网表现出改进的训练稳定性和令人满意的人脸识别性能。 除了训练稳定性之外&#xff0c;还提出了两种基于提示的策略&#xff0c;将整体和蒙面人脸识…

MIT APP Inventor服务器版编译

注&#xff1a;MIT Appinventor 在市场上的 Windows 版本较多&#xff0c;在 Linux 上编译的版本很少。 由于需要部署服务器&#xff0c;因此决定编译 linux 版本。 GitHub原文&#xff1a;https://github.com/KamenLiefu/BG_APPInventor Github编译版本免费下载&#xff1a;…

川崎机器人维修请开启马达电源报警故障

‌川崎机器人故障代码主要用于指示机器人的不同运行问题和状态&#xff0c;帮助快速识别和解决这些问题。‌Kasawaki机械手故障代码通常以字母和数字的组合形式出现&#xff0c;其中字母代表故障的类型&#xff0c;而数字则是具体的代码编号。这些代码可以分为‌P‌代表操作错误…

JavaEE:多线程代码案例(阻塞队列)

文章目录 什么是阻塞队列?使用阻塞队列有什么好处?代价BlockingQueue的使用自己实现一个阻塞队列(基于数组) 什么是阻塞队列? 阻塞队列是在普通的(先进先出)的基础上,做出了扩充. 线程安全具有阻塞特性 a. 如果队列为空,进行出队列操作,此时就会出现阻塞,一直阻塞到其他线…

EDA投资前沿 | IDAS 2024设计自动化产业峰会之产业投资分论坛前瞻

主持人简介 冯锦锋 上海兴橙资本合伙人/上海市集成电路行业协会 嘉宾介绍&#xff1a;江苏靖江人&#xff0c;上海兴橙资本合伙人&#xff0c;兼任上海集成电路行业协会副秘书长&#xff0c;著有著作《一砂一世界》、《芯路》、《芯镜》。先后获得清华大学管理信息系统工学学…

如何在大模型落地过程中使用高级 RAG 技术?

一、高级RAG概述 基本 RAG 的工作流程可分为三个步骤&#xff1a;索引、检索和生成。在索引阶段&#xff0c;文本被转换为嵌入&#xff0c;然后存储在向量数据库中以创建可搜索的索引。在检索步骤中&#xff0c;用户的查询也被转换为嵌入&#xff0c;此嵌入用于在向量数据库中…