淄博网站建设及托管/游戏推广赚钱
(考试重点)
一、访问控制列表
管理网络当中的数据流量,实现数据过滤的重要手段。可以在路由器、三层交换、二层交换和防火墙上实现。
隐藏规则:当前面的规则都匹配不上,华为默认允许,思科默认拒绝。
| 分类 | 规则描述 | 编号范围 |
| 基本ACL | 仅使用报文中的源IP地址、分片信息和生效时间段信息来定义规则 | 2000~2999 |
| 高级ACL | 渴作用源IP地址、目的IP地址、协议类型、TCP/UDP源/目端口号来定义规则 | 3000~3999 |
| 二层ACL | 根据IP报文中的以太网帧头来定义、如源/目MAC,以太网帧协议类型等 | 4000~4999 |
| 用户高级ACL | 要实现更复杂、更特殊的定义 | 5000~5999 |
ACL在系统视图下配置,并且需要被应用在具体接口上才能生效。
(基本/高级ACL下午案例考的比较多)
基本ACL配置(华为)
1、acl [number] acl-number(2000~2999) [match-order] {auto|config}
2、rule [rule-id] permit|deny source IP地址 反向子网掩码
其中:any表示任意网段;表示主机用:192.168.10.1 0
例:
已配置如下
rule permit source 192.168.1.0 0.0.0.255
rule deny source 192.168.1.1 0.0.0.0
如果配置config,则192.168.1.1数据会被转发,如果配置auto,则不会被转发
说明:
match-order:可选参数,说明匹配顺序。
auto(深度优先)表示按照自动排序,config表示安全配置顺序匹配(默认)
注:auto如果是基本ACL,先比较源IP地址的范围,如果两条规则源IP地址一致,则依照配置顺序匹配(了解即可)。
rule:匹配规则,rule-id可选参数,指定规则的编号
permit|deny:匹配操作,允许|拒绝
ACL默认步长为5,可在ACL视图下通过step step进行调整。
//实现云讯源IP为172.16.10.3的主机报文通过,拒绝源IP为172.16.10.0/24网段的其他报文通过,并配置表述信息为permit only 172.16.10.3 through
[HUAWEI]acl 2020
[HUAWEI-acl-basic-2020]rule permit 172.16.10.3 0.0.0.0
[HUAWEI-acl-basic-2020]rule deny 172.16.10.0 0.0.0.255
[HUAWEI-acl-basic-2020]description permit only 172.16.10.3 through
//描述信息
最后再把这个ACL应用在路由器的某个接口上
[接口视图]traffic-filter outbound acl 2020
二、ACL在接口上的应用
访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包:outbound
入:已经到达路由器接口的数据包,将被路由器处理:inbound
注意:设备自身产生的流量不会检测ACL
三、高级ACL配置(华为)
1、acl [number] acl-number(3000~3999) [match-order] {auto|config}
//设置访问控制列表号
2、rule [rule-id] permit|deny {protocol} source 源IP地址 反掩码 destination 目的IP地址 反掩码 destination-port eq 端口号
说明:
protocol:制定对应的协议如,TCP、UDP、ICMP、IP等
destination-port:目的端口,若是源端口source-port
eq 等于 gt 大于 lt小于 neg 不等于 range 指定范围
端口号:可直接写端口好或协议对应的关键字,如telnet/WWW/dns
例:
配置允许源IP是172.16.10.3到目的IP是172.16.20.0/24网段的ICMP报文通过。
[HUAWEI]acl 3000
[HUAWEI-acl-adv-3000]rule permit icmp source 172.16.10.3 0.0.0.0 destination 172.16.20.0 0.0.0.255
在路由器接口上应用这个ACL
[接口视图]traffic-filter inbound acl 3000
四、基于时间的ACL
例:
[HUAWEI]time-range mytime 09:00 to 12:00 working-day
[HUAWEI]time-range mytime 14:00 to 17:00 workting-day
[HUAWEI]acl 2000
[HUAWEI-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[HUAWEI-acl-basic-2000]rule permit source 192.168.20.1 0 time-range mytime
[HUAWEI-acl-basic-2000]rule deny source any
[HUAWEI-acl-basic-2000]quit
[HUAWEI]interface g0/0/2
[HUAWEI-Gigabitethernet 0/0/2]traffic-filter outbound acl 2000
五、命名的ACL
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替标号
1、基本命名ACL:
acl name acl-name {basic acl-numble} [match-order{auto|config}]
例如:
acl name csai 2000
2、高级命令ACL:
acl name acl-name {advance acl-numble} [match-order{auto|config}]
例如:
acl name csai advance
六、ACL部署的位置(考点)
- 高级ACL应该尽量放置在接近数据流的源的地方;
- 基本ACL应该尽量放置在接近数据流的目的的地方,以免引起错误。
七、流分类、流行为、流策略(考一次)
一些华为的三层交换机(S系列)ACL无法直接应用在接口上
- 配置ACL
[HUAWEI]acl 3000
[HUAWEI-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
- 基于ACL的流分类
[HUAWEI]traffic classifilter c_xs//名称
[HUAWEI-classifilter-c_xs]if-match acl 3000
- 配置流行为,动作为拒绝报文通过
[HUAWEI]traffic behavior b_xs
[HUAWEI-behavior-b_xs]deny
- 配置流策略,将流分类与流行为进行关联
[HUAWEI]traffic policy p_xs
[HUAWEI-trafficpolicy-p_xs]classifilter c_xs behavior b_xs
- 应用流策略,实现相应的访问控制
[HUAWEI]interface e0/0/1
[接口视图]traffice-policy p_xs inbound
八、自反ACL(思科时代考过)
概念:设备根据一个方向的ACL,自动创建一个反方向的ACL。只能根据高级ACL来进行自反,并且只能根据TCP/UDP/ICMP报文来生成ACL规则。
特点:
内网发起的流量,设备会根据流量的第三层和第四层信息,生成一个临时性的反向ACL,并且保持一段的时间,此临时性的ACL中,协议类型不变,而源IP和目的IP、源端口和目的端口与初始的ACL进行对调,而且可以设置老化周期,如果老化周期内没有相对应的流量返回,则自反的ACL会被删除,增加老化的安全性。
(也就是配置了自反ACL后,主机发送给服务器流量后,服务器才能返回流量给主机,而服务器主动发起的流量则会被ACL丢弃。)
配置:
- 创建高级ACL3000并配置ACL规则,允许UDP报文通过
[HUWEI]acl 3000
[HUAWIE-acl-adv-3000]rule permit udp
[HUAWIE-acl-adv-3000]quit
- 由于来自Internet的报恩从接口g2/0/1进入路由器,所以可以在接口g2/0/1的出方向配置自反ACL功能,对UDP报文进行自反。
[HUWEI]interface gigabitethernet 2/0/1
[接口视图]traffic-reflect outbound acl 3000
//自反ACL应用在接口出方向
九、扩展-防火墙上应用ACL(华为)
- 华为防火墙默认分为3个安全区域
trust区(85):本区域内的网络受信程度高,通常用来定义内网
DMZ区(50):本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
untrust区(5):本区域代表的是不受信的网络,通常来定义外网
防火墙自身的local区域优先级为100
- 安全域间的数据流动具有方向性,包括inbound和outbound
入方向:数据由低优先级的区域向高优先级区域传输
出方向:数据由高优先级区域向低优先级区域传输
- 其中安全区域的配置命令主要是:
[FW]firewall zone name test //创建安全区域TEST
[FW-zone-test]set priority 10 //安全级别设置为10
[FW-zone-test]add interface g0/0/1 //把接口g0/0/1加入安全区域
配置举例:
要求在安全区域到非安全区域的方向上,拒绝源地址为192.168.0.100的主机报文,允许源网段为192.168.0.0/24到网段172.16.0.0/24的报文通过。
[FW]acl 3000
[FW-acl-adv-3000]rule deny ip source 192.168.0.100 0
[FW-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[FW-acl-adv-3000]quit
[FW]firewall interzone trust untrust
[FW-interzone-trust-untrust]packet-filter 3000 outbound
十、NAT地址转换技术
- 静态NAT:固定的一对一IP地址映射
[R1]interface e0/0/1
[接口视图]ip address 192.1.1.1 30
[接口视图]nat static global 192.1.1.2 inside 10.1.1.2
- 动态NAT:basic NAT (也是一对第一做转换)
[R1]nat address-group 1 192.1.1.2 192.1.1.4 //定义公网地址池
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
//该ACL并不是对数据报进行过滤,而且标注哪些地址需要做NAT转换
[R1-acl-basic-2000]quit
[R1]interface e0/0/1
[接口视图]nat outbound 2000 address-group 1 no-pat
//实现ACL2000中定义的IP可以与地址池中的地址进行一对一转换
- 动态NAT-PT(华为)
PAT基于端口的地址转换
[R1]nat address-group 1 192.1.1.2 192.1.1.4
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface e0/0/1
[接口视图]nat outbound 2000 address-group 1
//在出接口上做PAT
相关文章:
软考网络工程师防火墙配置考点总结
(考试重点) 一、访问控制列表 管理网络当中的数据流量,实现数据过滤的重要手段。可以在路由器、三层交换、二层交换和防火墙上实现。 隐藏规则:当前面的规则都匹配不上,华为默认允许,思科默认拒绝。 分…...
【IDEA】idea恢复pom.xml文件显示灰色并带有删除线
通过idea打开spring boot项目后,发现每个服务中的pom.xml文件显示灰色并带有删除线,下面为解决方案 问题截图 解决方案 打开file——settings——build,execution,deployment——Ignored Files,把pom.xml前面的复选框去掉,去掉之…...
Python数据分析之Excel
Openpyxl库 1、Openpyxl模块2、Excel写入2.1、新建2.2、添加数据2.3、单元格格式 3、Excel读取4、Excel的CRUD4.1、查4.2、改4.3、删 1、Openpyxl模块 Openpyxl是一个用于处理xlsx格式Excel表格文件的第三方python库,几乎支持Excel表格的所有操作 基本概念&#x…...
NISP证书是什么?NISP含金量如何呢?
一、NISP是什么 NISP证书是国家信息安全水平考试(National Information Security Test Program,简称NISP),是由中国信息安全测评中心实施培养国家网络空间安全人才的项目。由国家网络空间安全人才培养基地运营/管理,并…...
操作系统备考学习 day6(2.3.2 - 2.3.4)
操作系统备考学习 day6 第二章 进程与线程2.3 同步与互斥2.3.2 实现临界区互斥的基本方法单标记法双标志先检查法双标志后检查法Peterson算法 进程互斥的硬件实现方法中断屏蔽方法TestAndSet指令Swap指令 2.3.3 互斥锁2.3.4 信号量整型信号量记录型信号量 第二章 进程与线程 2…...
家电行业 EDI:Miele EDI 需求分析
Miele是一家创立于1899年的德国公司,以其卓越的工程技术和不懈的创新精神而闻名于世。作为全球领先的家电制造商,Miele的经营范围覆盖了厨房、洗衣和清洁领域,致力于提供高品质、可持续和智能化的家电产品。公司的使命是为全球消费者创造更美…...
Android ConstraintLayout app:layout_constraintHorizontal_weight
Android ConstraintLayout app:layout_constraintHorizontal_weight <?xml version"1.0" encoding"utf-8"?> <androidx.constraintlayout.widget.ConstraintLayout xmlns:android"http://schemas.android.com/apk/res/android"xmlns:…...
FPGA行业应用一:LED控制器
什么是LED控制器 LED控制器已经有很多年头了,应该是上世纪90年代就开始有了。它的主要构成是: 1:视频信号源——如 电脑,机机,DVD,U盘等 2:视频处理器——通过 HDMI/DVI/网口接收来自视频源的…...
Pyspark读写csv,txt,json,xlsx,xml,avro等文件
1. Spark读写txt文件 读: df spark.read.text("/home/test/testTxt.txt").show() ------------- | value| ------------- | a,b,c,d| |123,345,789,5| |34,45,90,9878| -------------2. Spark读写csv文件 读: # 文件在hdfs上…...
LeetCode 接雨水 双指针
原题链接: 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 题面: 给定 n 个非负整数表示每个宽度为 1 的柱子的高度图,计算按此排列的柱子,下雨之后能接多少雨水。 示例 1: 输入:…...
【Linux】【网络】传输层协议:UDP
文章目录 UDP 协议1. 面向数据报2. UDP 协议端格式3. UDP 的封装和解包4. UDP 的缓冲区 UDP 协议 UDP传输的过程类似于寄信。 无连接:知道对端的IP和端口号就直接进行传输,不需要建立连接。不可靠:没有确认机制,没有重传机制&am…...
数字音频工作站FL Studio 21中文版下载及电音编曲要用乐理吗 电音编曲步骤
FL Studio 21是一款强大的数字音频工作站(DAW)软件,为您提供一个完整的软件音乐制作环境。它是制作高质量的音乐、乐器、录音等的完整解决方案。该程序配备了各种工具和插件,帮助你创建专业的虚拟乐器,如贝斯、吉他、钢…...
金蝶云星空与旺店通·企业奇门对接集成其他出库查询打通创建其他出库单
金蝶云星空与旺店通企业奇门对接集成其他出库查询打通创建其他出库单 源系统:金蝶云星空 金蝶K/3Cloud(金蝶云星空)是移动互联网时代的新型ERP,是基于WEB2.0与云技术的新时代企业管理服务平台。金蝶K/3Cloud围绕着“生态、人人、体验”&#…...
Visual Studio 如何删除多余的空行,仅保留一行空行
1.CtrlH 打开替换窗口(注意选择合适的查找范围) VS2010: VS2017、VS2022: 2.复制下面正则表达式到上面的选择窗口: VS2010: ^(\s*)$\n\n VS2017: ^(\s*)$\n\n VS2022:^(\s*)$\n 3.下面的替换窗口皆写入 \n VS2010: \n VS2017: \n VS2022: \n …...
java spring cloud 企业电子招标采购系统源码:营造全面规范安全的电子招投标环境,促进招投标市场健康可持续发展
功能描述 1、门户管理:所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含:招标公告、非招标公告、系统通知、政策法规。 2、立项管理:企业用户可对需要采购的项目进行立项申请,并提交审批,查看所…...
112. 路径总和
力扣题目链接(opens new window) 给定一个二叉树和一个目标和,判断该树中是否存在根节点到叶子节点的路径,这条路径上所有节点值相加等于目标和。 说明: 叶子节点是指没有子节点的节点。 示例: 给定如下二叉树,以及目标和 sum 22…...
国货疯抢流量,B站接连爆发800万播放实现破圈
近日,“79元商战”的消息洗刷全平台,众多国货品牌的“不容易”开始被越来越多的消费者注意到,消费者们自发性地开始重新审视真正做产品的国货品牌们,并为之全力支持。有网友笑称:这“泼天的富贵”终于落到了国货品牌的…...
(高阶) Redis 7 第14讲 数据统计分析 实战篇
面试题 存得进,取得出,反应快抖音电商商品评论:排序+展现+取前10条用户使用手机APP签到打卡:1天对应一系列用户签到记录,新浪微博/钉钉打卡,如何进行统计页面访问点击量:一个网页对应一系列的访问点击,淘宝网首页,多少人浏览首页公司系统上线后,UV、PV、DUV是什么亿级…...
SpringCloud nacos1.x.x版本升级到2.2.3版本并开启鉴权踩坑
近期由于服务器漏洞扫描,检测出nacos存在绕过登录鉴权漏洞,如图 需要进行升级并开启鉴权,就此次升级做下记录。 1.首先备份原来的nacos,导出配置文件作为备份; 2,从官网下载nacos-server-2.2.3.zip&#x…...
软件测试/测试开发丨探索AI与测试报告的完美结合,提升工作效率
简介 测试报告的主要目的是提供与测试结果相关的数据信息,以便项目团队、开发人员、管理层和其他相关方可以了解测试的结果,并做出基于这些结果的明确下一步的决策,以及下一个版本的改进方向。 通常一个测试报告会包含 测试执行情况问题汇…...
Ubuntu 设置开机自动执行脚本
1. 建立service文件 sudo vim /etc/systemd/system/redis-server.service2. redis service文件 [Unit] DescriptionAdvanced key-value store Afternetwork.target Documentationhttp://redis.io/documentation, man:redis-server(1)[Service] Typenotify ExecStart/usr/bin/…...
【笔记】Splay
【笔记】Splay 目录 简介右旋左旋 核心思想操作a. Splayb. 插入c. 删除 信息的维护例题AcWing 2437. SplayP3369 【模板】普通平衡树 简介 Splay 是一种平衡树,并且是一棵二叉搜索树(BST)。 它满足对于任意节点,都有左子树上任意…...
opencv英文识别tesseract-orc安装
文章目录 一、安装并保存所在路径二、配置环境变量1、打开高级设置2、配置环境变量三、修改tesseract.py文件中的路径,否则运行报错1、进入python所在的文件夹,找到Lib,site-packages2、搜索pytesseract3、打开py文件修改路径一、安装并保存所在路径 特别注意路径名中不能有…...
JNA封装C/C++动态库在flink内使用记录
概述 因为公司业务需求,需要将一部分原本已经用C/C写好的程序封装到flink内部使用。 操作系统 CentOS 7使用的技术和工具 flink 1.17.1 JDK 19.0.2 JNA 5.12.1 maven 3.9.4技术实现 利用JNA将C/C的程序封装到JAR包里面,然后结合flink依赖࿰…...
Android gradle dependency tree change(依赖树变化)监控实现
文章目录 前言基本原理执行流程diff 报告不同分支 merge 过来的 diff 报告同个分支产生的 merge 报告同个分支提交的 diff 报告 具体实现原理我们需要监控怎样的 Dendenpency 变化怎样获取 dependency Treeproject.configurations 方式./gradlew dependenciesAsciiDependencyRe…...
5个流程图模板网站,帮你轻松绘制专业流程图
在复杂的项目管理和团队协作中,流程图成为了一个必不可少的工具。从零开始创建流程图可能会很耗时,同时也需要一定的技能。使用模板可以让流程图方便制作又保持高颜值,降低制作的成本,一款模板众多、功能强大、具有丰富编辑工具的…...
【AI视野·今日Robot 机器人论文速览 第四十二期】Wed, 27 Sep 2023
AI视野今日CS.Robotics 机器人学论文速览 Wed, 27 Sep 2023 Totally 48 papers 👉上期速览✈更多精彩请移步主页 Interesting: 📚***Tactile Estimation of Extrinsic Contact,基于触觉的外部接触估计与稳定放置 (from 三菱电机) Daily Robotics Pape…...
后端面试关键问题大总结
一、Java基础 1.HashMap的底层原理 2.说一下List的特点 3.介绍一下Java的基本数据类型 (问到这个问题说明你触碰到面试官的技术能力水平底线了) 二、线程 1.说一下线程的4种创建方式 2.线程池的两种创建方式,包括jdk方式和spring方式 …...
uni-app:实现图片周围的图片按照圆进行展示
效果 代码 <template><view class"position"><view class"circle"><img src"/static/item1.png" class"center-image"><view v-for"(item, index) in itemList" :key"index" class&q…...
Django之视图
一)文件与文件夹 当我们设定好一个Djiango项目时,里面会有着view.py等文件,也就是文件的方式: 那么我们在后续增加app等时,view.py等文件会显得较为臃肿,当然也根据个人习惯,这时我们可以使用…...