当前位置:   article > 正文

Cisco Packet Tracer(配置ACL)_acl阻止http攻击

acl阻止http攻击
  1. 【交换机】做ACL访问控制,要求只有PC1/PC2可以远程访问Sw1.
  2. 【路由器】在R1上做ACL访问限制:所有用户都可以ping通Server, 除PC1和PC4以外

在这里插入图片描述

ACL:access list 访问控制表

访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。


1. 【交换机】做ACL访问控制,要求只有PC1/PC2可以远程访问Sw1.

访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。

对路由器接口来说有两个方向
出:已经经路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理。

ACL默认为拒绝

SW1(config)#access-list 1 permit host 192.168.1.1
SW1(config)#access-list 1 permit host 192.168.2.1
SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
  • 1
  • 2
  • 3
  • 4

(对于交换机来说,acl默认为拒绝,在进口处in即vty0-4,对数据包进行过滤)

当你配置好ACL之后,想把ACL应用到某个接口下,如Ethernet,FastEthernet,等等物理接口下,那么需要用access-group,如果你想把ACL应用到VTY的接口下用于对网络设备的访问控制,那么就需要用access-class

access-class是控制路由器发起的telnet会话,不进行包过滤


2. 【路由器】在R1上做ACL访问限制:所有用户都可以ping通Server,除PC1和PC4以外

上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。

  • 因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list 110 permit ip any any 。
  • eq等于
  • 192.168.1.1192.168.2.2分别是PC1和PC2的ip地址
  • 10.10.10.10是Server的IP地址
  • 80即www
  • 在出口的端口进行限制更加方便
R1(config)#access-list 100 deny tcp host 192.168.1.1 host 10.10.10.10 eq 80
R1(config)#access-list 100 deny tcp host 192.168.2.2 host 10.10.10.10 eq 80
R1(config)#access-list 100 permit ip any any
R1(config)#int s1/3
R1(config-if)#ip access-group 100 out
  • 1
  • 2
  • 3
  • 4
  • 5

如果有兴趣了解更多关于ACL的玩法,请看一位大佬写的博客https://blog.51cto.com/9821049/2145818

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/192318
推荐阅读
相关标签
  

闽ICP备14008679号