一、什么时ACL

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。

访问控制列表(ACL)是应用在路由器接口的指令列表(及规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。

二、访问控制列表ACL的工作原理

ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层和第四层包头中的信息。

如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。

1.“3P”原则

在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)

和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。

(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。

(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。

(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。

2.语句顺序决定了对数据的控制顺序

ACL的语句是一种自上而下的逻辑排列关系。数据匹配过程中是依次对语句进行比较,一旦匹配成功则按照当前语句控制策略处理,不再与之后的语句进行比较。因此,正确的语句顺序才能得到所需的控制效果。

3.至少有一条允许(Permit)语句

所有ACL的最后一条语句都是隐式拒绝语句,表示当所有语句都无法匹配时,将拒绝数据通过并自动丢弃数据,以防数据意外进入网络。因此,在写“拒绝(deny)”的ACL时,一定至少要有一条允许(Permit)语句,否则配置ACL的接口将拒绝任何数据通过,影响正常的网络通信。

4.最有限制性的语句应该放在ACL的靠前位置

最有限制性的语句放在ACL的靠前位置,可以首先过滤掉很多不符合条件的数据,节省后面语句的比较时间,从而提高路由器的工作效率。

什么时ACL,即ACL原理相关推荐

  1. 第五章 访问控制列表ACL——标准ACL实验

    一.理论 1.简述ACL的作用. ACL可以提供网络访问的基本手段.可用于Qos,控制数据流量.控制通信量. 2.简述标准ACL和扩展ACL的不同点. 标准ACL是检查源地址,而扩展ACL不仅仅检查源 ...

  2. 信息论通识课程:建立过渡性的模型时应遵循最大熵原理(过犹不及)

    文章目录 引言 I 最大熵原理 1.1 含义 1.2 最大熵模型的优势 1.3 弊端 1.4 结论 II 最大熵原理的应用 2.1 自然语言处理 2.2 对冲基金 引言 要把道理总结得简单易懂,自己需 ...

  3. linux查看目录acl权限,ACL权限详解

    1.ACL简介 2.前期准备 3.ACL的基本操作:添加和修改 4.ACL的其他功能:删除和覆盖 5.目录的默认ACL 6.备份和恢复ACL 7.结束语 1.ACL简介 用户权限管理始终是Linux系 ...

  4. 趣谈iOS运行时的方法调用原理

    一个成熟的计算机语言必然有丰富的体系,复杂的容错机制,处理逻辑以及判断逻辑.但这些复杂的逻辑都是围绕一个主线丰富和展开的,所以在学习计算机语言的时候,先掌握核心,然后了解其原理,明白程序语言设计的实质 ...

  5. vector 不初始化时什么状态_Vue原理解析(三):初始化时created之前做了什么?...

    让我们继续this._init()的初始化之旅,接下来又会执行这样的三个初始化方法: initInjections(vm) initState(vm) initProvide(vm) 5. initI ...

  6. STM32H7时钟树RCC分析---原理讲解(一)

    STM32 有很多系列,可以满足市场的各种需求,从内核上分有 Cortex-M0.M3.M4和 M7 这几种,每个内核又大概分为主流.高性能和低功耗. 用HAL库配置请看:STM32H7时钟树分析- ...

  7. 华为ACL配置(基本ACL+高级ACL+综合应用)

    一.基本ACL 1.PC1不能ping通Server1 2.PC2可以ping通Server1 3.PC1可以ping通 PC2 R1配置 [R1]interface g0/0/0 [R1-Gigab ...

  8. ObjectARX运行时类信息实现原理

    新公司维护基于CAD的二次开发旧代码.学习ObjectARX相关的内容. 先看原始代码 class MyClass: public AcRxObject { public:virtual AcRxCl ...

  9. 电路不挂科——四小时学完电路原理(猴博士学习笔记1)

    电路基础 ##1串并联,短路与断路 这里是一些高中基础知识,相信大家没有感到陌生,需要注意的是电阻并联的公式有两种形态. ##电源 在大学的电路分析中,电源的表示方式有很多种,其中比较常用的就两种表示 ...

  10. 即时通讯开发时Https的安全性原理

    那么什么是HTTPS?我们看维基百科给HTTPS的定义:HTTPS(Hypertext Transfer Protocol Secure)是一种通过计算机网络进行安全通信的传输协议.HTTPS经由HT ...

最新文章

  1. 关于鸿蒙 2.0,那些开发者不知道的一切
  2. activeMQ安装9(window下)
  3. 20165306 我期望的师生关系
  4. OpenBSD 5.1 正式版发布
  5. tensorflow GPU环境配置 Nvidia+cuda+cudnn
  6. 命令行进入android设置,命令行编译生成APK
  7. python生存曲线_Python从零开始第五章生物信息学⑤生存分析(log-rank)
  8. 分别使用御剑工具和dirsearch工具(需要在kali下进行安装)对http://159.75.16.25进行扫描, 扫描出敏感文件,敏感文件内有flag值
  9. 基于zigbee的智能家用空气监测系统
  10. 学生成绩预测模型_学生成绩分析预测
  11. “变态”的JavaScript——JavaScript的发明人--布兰登·艾奇(Brendan Eich)
  12. 监控摄像头镜头大小的区别
  13. 从制造到智造,用友U9 cloud2022成为制造业专精特新高效增长新引擎
  14. 彼泽清陂nbsp;菡萏悠悠
  15. 拉拉米抢单发单源码 二开ui 带视频介绍 放量功能
  16. Shell脚本攻略04-玩转文件描述符及重定向
  17. Mandatory和Optional
  18. Java核心技术 卷1-总结-11
  19. 面试总结及相关知识点汇总
  20. mysql 矩阵乘法_矩阵乘法高级操作

热门文章

  1. html渲染json的插件,lottieJS(Json动画的使用)
  2. php弱口令总结,web漏洞之弱口令
  3. 设备接入ONENET(2)STM32 + ESP8266(MQTT协议)接入云 :使用 OneNET 官方麒麟座开发板例程
  4. tcp服务器修改端口号,RAKsmart服务器:Windows修改远程端口号的图文教程
  5. Markdown+Flowchart流程图语法
  6. 号称最为简明实用的Django上手教程(下)
  7. 图片还原去遮挡_如何把人像照片上的遮盖物去除看到原来人像?
  8. miniGUI源码分析:消息机制
  9. python陆股通_【科普】沪股通、深股通、港股通、陆股通都是什么意思?
  10. PAT1003 我要通过! (20 分)(C语言)