什么时ACL,即ACL原理
一、什么时ACL
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
访问控制列表(ACL)是应用在路由器接口的指令列表(及规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。
二、访问控制列表ACL的工作原理
ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层和第四层包头中的信息。
如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
1.“3P”原则
在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)
和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。
(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。
(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。
(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。
2.语句顺序决定了对数据的控制顺序
ACL的语句是一种自上而下的逻辑排列关系。数据匹配过程中是依次对语句进行比较,一旦匹配成功则按照当前语句控制策略处理,不再与之后的语句进行比较。因此,正确的语句顺序才能得到所需的控制效果。
3.至少有一条允许(Permit)语句
所有ACL的最后一条语句都是隐式拒绝语句,表示当所有语句都无法匹配时,将拒绝数据通过并自动丢弃数据,以防数据意外进入网络。因此,在写“拒绝(deny)”的ACL时,一定至少要有一条允许(Permit)语句,否则配置ACL的接口将拒绝任何数据通过,影响正常的网络通信。
4.最有限制性的语句应该放在ACL的靠前位置
最有限制性的语句放在ACL的靠前位置,可以首先过滤掉很多不符合条件的数据,节省后面语句的比较时间,从而提高路由器的工作效率。
什么时ACL,即ACL原理相关推荐
- 第五章 访问控制列表ACL——标准ACL实验
一.理论 1.简述ACL的作用. ACL可以提供网络访问的基本手段.可用于Qos,控制数据流量.控制通信量. 2.简述标准ACL和扩展ACL的不同点. 标准ACL是检查源地址,而扩展ACL不仅仅检查源 ...
- 信息论通识课程:建立过渡性的模型时应遵循最大熵原理(过犹不及)
文章目录 引言 I 最大熵原理 1.1 含义 1.2 最大熵模型的优势 1.3 弊端 1.4 结论 II 最大熵原理的应用 2.1 自然语言处理 2.2 对冲基金 引言 要把道理总结得简单易懂,自己需 ...
- linux查看目录acl权限,ACL权限详解
1.ACL简介 2.前期准备 3.ACL的基本操作:添加和修改 4.ACL的其他功能:删除和覆盖 5.目录的默认ACL 6.备份和恢复ACL 7.结束语 1.ACL简介 用户权限管理始终是Linux系 ...
- 趣谈iOS运行时的方法调用原理
一个成熟的计算机语言必然有丰富的体系,复杂的容错机制,处理逻辑以及判断逻辑.但这些复杂的逻辑都是围绕一个主线丰富和展开的,所以在学习计算机语言的时候,先掌握核心,然后了解其原理,明白程序语言设计的实质 ...
- vector 不初始化时什么状态_Vue原理解析(三):初始化时created之前做了什么?...
让我们继续this._init()的初始化之旅,接下来又会执行这样的三个初始化方法: initInjections(vm) initState(vm) initProvide(vm) 5. initI ...
- STM32H7时钟树RCC分析---原理讲解(一)
STM32 有很多系列,可以满足市场的各种需求,从内核上分有 Cortex-M0.M3.M4和 M7 这几种,每个内核又大概分为主流.高性能和低功耗. 用HAL库配置请看:STM32H7时钟树分析- ...
- 华为ACL配置(基本ACL+高级ACL+综合应用)
一.基本ACL 1.PC1不能ping通Server1 2.PC2可以ping通Server1 3.PC1可以ping通 PC2 R1配置 [R1]interface g0/0/0 [R1-Gigab ...
- ObjectARX运行时类信息实现原理
新公司维护基于CAD的二次开发旧代码.学习ObjectARX相关的内容. 先看原始代码 class MyClass: public AcRxObject { public:virtual AcRxCl ...
- 电路不挂科——四小时学完电路原理(猴博士学习笔记1)
电路基础 ##1串并联,短路与断路 这里是一些高中基础知识,相信大家没有感到陌生,需要注意的是电阻并联的公式有两种形态. ##电源 在大学的电路分析中,电源的表示方式有很多种,其中比较常用的就两种表示 ...
- 即时通讯开发时Https的安全性原理
那么什么是HTTPS?我们看维基百科给HTTPS的定义:HTTPS(Hypertext Transfer Protocol Secure)是一种通过计算机网络进行安全通信的传输协议.HTTPS经由HT ...
最新文章
- 关于鸿蒙 2.0,那些开发者不知道的一切
- activeMQ安装9(window下)
- 20165306 我期望的师生关系
- OpenBSD 5.1 正式版发布
- tensorflow GPU环境配置 Nvidia+cuda+cudnn
- 命令行进入android设置,命令行编译生成APK
- python生存曲线_Python从零开始第五章生物信息学⑤生存分析(log-rank)
- 分别使用御剑工具和dirsearch工具(需要在kali下进行安装)对http://159.75.16.25进行扫描, 扫描出敏感文件,敏感文件内有flag值
- 基于zigbee的智能家用空气监测系统
- 学生成绩预测模型_学生成绩分析预测
- “变态”的JavaScript——JavaScript的发明人--布兰登·艾奇(Brendan Eich)
- 监控摄像头镜头大小的区别
- 从制造到智造,用友U9 cloud2022成为制造业专精特新高效增长新引擎
- 彼泽清陂nbsp;菡萏悠悠
- 拉拉米抢单发单源码 二开ui 带视频介绍 放量功能
- Shell脚本攻略04-玩转文件描述符及重定向
- Mandatory和Optional
- Java核心技术 卷1-总结-11
- 面试总结及相关知识点汇总
- mysql 矩阵乘法_矩阵乘法高级操作
热门文章
- html渲染json的插件,lottieJS(Json动画的使用)
- php弱口令总结,web漏洞之弱口令
- 设备接入ONENET(2)STM32 + ESP8266(MQTT协议)接入云 :使用 OneNET 官方麒麟座开发板例程
- tcp服务器修改端口号,RAKsmart服务器:Windows修改远程端口号的图文教程
- Markdown+Flowchart流程图语法
- 号称最为简明实用的Django上手教程(下)
- 图片还原去遮挡_如何把人像照片上的遮盖物去除看到原来人像?
- miniGUI源码分析:消息机制
- python陆股通_【科普】沪股通、深股通、港股通、陆股通都是什么意思?
- PAT1003 我要通过! (20 分)(C语言)