2024年最全TCP IP安全 之 ACL访问控制列表_acl icmp tcp，食堂大妈看完都会了_acl 控制列表

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

ACL是基于数据包中的IP地址、端口号来对数据包进行过滤！

三、ACL的分类

3.1 标准ACL

标准—Standard

表号：1-99或1300-1999

特点：只能基于源IP地址对包进行过滤！

3.2 扩展ACL

扩展—Extended

表号：100-199或2000-2699

特点：可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤！

四、ACL的过滤原理

4.1 飞哥配置ACL的小技巧

1）先判断要控制的数据流源和目标，并画出控制数据流的方向！进而判断ACL可以写在哪些路由器上！
2）打开那台路由器，开始编写ACL过滤规则！
3）最后将ACL表应用到某个接口的某个方向才能生效！
1
2
3

4.2 ACL的原理

1）ACL表配置完毕后，必须应用到接口的in或out方向上，才能生效！  
2）一个接口的一个方向上只能应用一张表。
3）在所有ACL表的最后都有一条隐藏的拒绝所有条目（大boss） ！
4）在匹配ACL时，是严格自上而下的匹配每一条的！  匹配成功，则完成动作，没匹配成功，则继续匹配下一条，如全部不匹配，则直接丢弃拒绝通过！（一定要注意书写的先后顺序！！）
5）标准ACL因为只能基于源IP对包进行过滤，so建议写在靠近目标端的地方！
6) 一个ACL编写完成后，默认情况下，不能删除某一条，也不能往中间插入新的条目，只能继续往最后追加新的条目！
1
2
3
4
5
6

4.3 ACL讲解原理过程图

五、ACL命令

5.1 标准ACL命令

conf  t
access-list  表号  permit/deny  条件
1
2

表号：1-99

条件：源IP+反子网掩码

反子网掩码：0.0.0.255 0代表严格匹配 255代表不需要匹配！

例如：

access-list  1  deny  192.168.1.0  0.0.0.255        # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  0.0.0.0  255.255.255.255    # 允许所有网段
access-list  1  deny  192.168.2.1  0.0.0.0          # 拒绝一台主机/拒绝一个人
1
2
3

简化：

0.0.0.0  255.255.255.255  == any
192.168.2.1  0.0.0.0   ==  host  192.168.2.1
1
2

简化后：

access-list  1  deny  192.168.1.0  0.0.0.255              # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  any                               # 允许所有网段
access-list  1  deny  host  192.168.2.1                   # 拒绝一台主机/拒绝一个人
1
2
3

5.2 扩展ACL命令

conf  t
access-list 表号 permit/deny  协议  源IP 反掩码 目标IP 反掩码  [eq  端口号]
1
2

表号：100-199

协议：TCP/UDP/IP/ICMP （当写了端口号，只能写tcp或udp）

注释：ICMP协议就是ping命令所使用的协议，ICMP协议是
网络探测协议，ping别人，就是生成ICMP探测包发给对方，然后对方给我回应一个ICMP探测包，代表ping通了！

[ ]：代表可选

以下案例：

conf  t
access-list  101  permit  tcp  192.168.1.0  0.0.0.255  192.168.6.1  0.0.0.0   eq  80
access-list  101  deny    ip   192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  101  permit  ip   any  any

1
2
3
4
5

另外一个案例：

access-list  102  deny  icmp  192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  102  permit  ip  any  any
1
2

再来一个案例：

acc  103  deny  tcp  192.168.1.0  0.0.0.255  host  192.168.6.1   eq  23
acc  103  permit  ip  192.168.1.0  0.0.0.255   host  192.168.6.1
acc  103  deny  ip  any  any
1
2
3

再来一个案例：

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化资料的朋友，可以点击这里获取

3332)]
[外链图片转存中…(img-3lU4VJOV-1714910383332)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化资料的朋友，可以点击这里获取