ACL使用
包过滤技术,在
路由器上读取第三层及第四层包头中的信息如源地址、目的地址、
源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到
访问控制的目的。
网络中的
节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的
数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
局限性:由于ACL是使用
包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
rule 0 permit ip source 服务器端的
子网 掩码的反码 //允许哪些子网访问服务器
interface gig 0/1 //进入服务器所在的
交换机端口