防火墙入门核心基本访问控制列表ACL配置详解与实战教程前言一、ACL访问控制列表核心定义1.1 标准定义1.2 核心作用1.3 ACL工作流程必看ACL工作流程图二、ACL的两大基本分类2.1 标准ACLStandard ACL2.2 扩展ACLExtended ACL【生产环境最常用】三、ACL配置三大核心原则四、防火墙基本ACL配置命令Cisco ASA/路由器4.1 配置扩展ACL最常用4.2 关键概念反掩码Wildcard4.3 常用协议五、实战配置步骤序号化一步一操作实验环境步骤1进入防火墙全局配置模式步骤2创建扩展ACL允许内网拒绝其他步骤3将ACL绑定到防火墙接口最关键步骤4查看并保存配置六、ACL常用经典规则示例6.1 允许单台主机访问所有6.2 允许pingICMP6.3 允许访问Web服务80端口6.4 拒绝某一台主机七、ACL查看与验证命令7.1 查看ACL规则7.2 查看ACL应用接口7.3 测试连通性八、ACL常见错误与排错错误1配置后全部无法访问错误2反掩码写错错误3ACL没有应用到接口错误4规则顺序错误九、总结关键点回顾The Begin点点关注收藏不迷路前言访问控制列表ACLAccess Control List是防火墙最核心的基础功能相当于网络的**“门禁系统”。它能精确控制谁能访问、谁不能访问、允许什么流量、拒绝什么流量**是企业网络安全的第一道防线。本文以Cisco防火墙ASA/路由器防火墙为例从ACL原理、分类、配置步骤、实战案例、验证排错五大维度结合流程图、序号化操作、可直接复制命令带你从零学会防火墙基本ACL配置。一、ACL访问控制列表核心定义1.1 标准定义ACL 是一组允许/拒绝permit/deny的规则集合防火墙根据ACL规则对数据包进行过滤、匹配、放行或丢弃实现流量访问控制。1.2 核心作用限制访问禁止非法IP访问内网流量管控允许办公网段上网禁止访客网段安全防护防止外部攻击、非法入侵权限划分不同部门不同访问权限1.3 ACL工作流程必看防火墙收到数据包 → 匹配ACL规则从上到下依次匹配→ 匹配到规则立即执行允许/拒绝→ 所有规则不匹配 →执行隐含拒绝deny anyACL工作流程图是否防火墙接收数据包从上到下匹配ACL规则匹配到规则?执行动作允许permit/拒绝deny默认隐含规则deny any 全部拒绝流量转发/丢弃二、ACL的两大基本分类2.1 标准ACLStandard ACL仅匹配源IP地址编号1–99配置简单控制粗糙2.2 扩展ACLExtended ACL【生产环境最常用】匹配源IP、目标IP、协议TCP/UDP/ICMP、端口号编号100–199控制精准功能强大防火墙主流使用三、ACL配置三大核心原则自上而下匹配一旦匹配立即执行不再向下检查隐含拒绝规则ACL末尾默认拒绝所有流量标准ACL靠近目标扩展ACL靠近源最佳实践四、防火墙基本ACL配置命令Cisco ASA/路由器4.1 配置扩展ACL最常用access-list ACL名称 extended permit/deny 协议 源IP 反掩码 目标IP 反掩码 端口4.2 关键概念反掩码Wildcard0 精确匹配255 忽略匹配host 192.168.1.10 单台主机any 所有IP4.3 常用协议ip 所有IP协议tcp TCP协议udp UDP协议icmp ping检测五、实战配置步骤序号化一步一操作实验环境内网192.168.1.0/24外网/服务器192.168.2.0/24需求允许192.168.1.0ping、访问服务器拒绝其他所有IP访问将ACL应用到inside接口入方向步骤1进入防火墙全局配置模式enableconfigure terminal步骤2创建扩展ACL允许内网拒绝其他!允许192.168.1.0网段所有IP访问 access-list INSIDE-ACL extended permitip192.168.1.00.0.0.255 any!禁止所有其他流量可省略默认隐含deny access-list INSIDE-ACL extended denyipany any步骤3将ACL绑定到防火墙接口最关键!应用到 inside 接口 入方向in access-group INSIDE-ACLininterface inside步骤4查看并保存配置show access-listwrite六、ACL常用经典规则示例6.1 允许单台主机访问所有access-list TEST permitiphost192.168.1.10 any6.2 允许pingICMPaccess-list TEST permit icmp any any echo-reply6.3 允许访问Web服务80端口access-list TEST permit tcp192.168.1.00.0.0.255host192.168.2.10 eq806.4 拒绝某一台主机access-list TEST denyhost192.168.1.100 any七、ACL查看与验证命令7.1 查看ACL规则show access-list7.2 查看ACL应用接口show access-group7.3 测试连通性ping192.168.2.10八、ACL常见错误与排错错误1配置后全部无法访问原因末尾隐含deny any必须写permit规则错误2反掩码写错解决255.255.255.0反掩码 0.0.0.255错误3ACL没有应用到接口解决必须用access-group绑定接口才生效错误4规则顺序错误解决精细规则放上面粗略规则放下面九、总结ACL 防火墙门禁规则允许/拒绝流量执行顺序从上到下匹配即停止默认规则隐含拒绝所有扩展ACL生产环境首选精准控制生效关键创建ACL后必须应用到接口核心命令access-listaccess-group本文原创防火墙ACL入门必备搞懂ACL才算真正入门网络安全建议收藏备用关键点回顾ACL工作机制自上而下匹配默认拒绝所有扩展ACL源IP目标IP协议端口最常用配置两步创建ACL → 应用到接口反掩码0匹配255忽略生效命令access-group acl名称 in interface 接口The End点点关注收藏不迷路