在思科(Cisco)路由器、交换机、防火墙等设备上,其ACL(Access Control List,访问控制列表)有一个默认(或隐式)的 “deny all”(拒绝所有)语句存在。这意味着,如果你在ACL中没有明确地允许(permit)任何流量,则所有的流量将被默认拒绝。这样做是为了确保除非明确允许,否则任何流量都不允许通过ACL,是非常严谨、合理的安全设计。
隐式deny all语句适用于所有ACL,无论是标准ACL还是扩展ACL。这意味着,如果你创建了一个只允许来自特定源地址流量的标准ACL,那么所有其他流量将被默认拒绝。
版权声明:如无特别说明,本站所有文章均由睿珑(Ruilong-edu.com)原创。我们欢迎少量文字引用,但请注明出处。任何网站或个人,未经授权,不得抄袭、转载、盗用本站内容,违者必究。
隐含的deny all规则可以通过permit any(允许任何)语句来覆盖或禁用。不过,在使用permit any时要特别注意,因为它有可能会带来安全隐患。
举个例子:
access-list 1 deny 192.168.1.1
access-list 1 permit any
interface Ethernet0/0
ip access-group 1 in
现在,让我们假设从ACL中删除 “permit any”语句(第2句)。在这种情况下,隐含的deny all语句将生效,来自源IP地址192.168.1.1的流量,以及其他所有的流量都将被拒绝。