資源描述:
《路由器的高級功能訪問控制列表配置課件.ppt》由會員上傳分享�����,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、第七章路由器的高級功能-訪問控制列表配置路由器的高級功能訪問控制列表配置主講:唐中劍1ACL配置路由器的高級功能-訪問控制列表配置本課目錄ACL概述27.1.1ACL概述ACL概述防火墻作為Internet訪問控制的基本技術(shù)��,其主要作用是監(jiān)視和過濾通過它的數(shù)據(jù)包�����,根據(jù)自身所配置的訪問控制策略決定該包應(yīng)當(dāng)被轉(zhuǎn)發(fā)還是應(yīng)當(dāng)被拋棄�,以拒絕非法用戶訪問網(wǎng)絡(luò)并保障合法用戶正常工作����。一般應(yīng)將防火墻置于被保護(hù)網(wǎng)絡(luò)的入口點來執(zhí)行訪問控制。例如��,將防火墻設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)的連接處����,以保護(hù)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)免于為未認(rèn)證或未授權(quán)的用戶訪問�����,防止來自外網(wǎng)
2���、的惡意攻擊�。也可以用防火墻將企業(yè)網(wǎng)中比較敏感的網(wǎng)段與相對開放的網(wǎng)段隔離開來�����,對受保護(hù)數(shù)據(jù)的訪問都必須經(jīng)過防火墻的過濾����,即使該訪問是來自組織內(nèi)部�。37.1.1ACL概述ACL概述防火墻可通過監(jiān)測����、限制、更改跨越防火墻的數(shù)據(jù)流��,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況�,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)?��,F(xiàn)在的許多防火墻同時還具有一些其它特點�����,如進(jìn)行用戶身份鑒別,對信息進(jìn)行安全(加密)處理等等。在路由器上配置了防火墻特性后��,路由器就成了一個健壯而有效的防火墻�����。47.1.1ACL概述ACL概述2.防火墻的分類一般把防火墻分為兩類:網(wǎng)絡(luò)
3��、層防火墻��、應(yīng)用層防火墻。網(wǎng)絡(luò)層的防火墻主要獲取數(shù)據(jù)包的包頭信息����,如協(xié)議號��、源地址、目的地址和目的端口等或者直接獲取包頭的一段數(shù)據(jù)�����,而應(yīng)用層的防火墻則對整個信息流進(jìn)行分析���。57.1.1ACL概述ACL概述常見的防火墻有以下幾類:應(yīng)用網(wǎng)關(guān):檢驗通過網(wǎng)關(guān)的所有數(shù)據(jù)包中的應(yīng)用層數(shù)據(jù)���。包過濾:對每個數(shù)據(jù)包按照用戶所定義的項目進(jìn)行過濾����,如比較數(shù)據(jù)包的源地址、目的地址是否符合規(guī)則等��。包過濾不管會話的狀態(tài)���,也不分析數(shù)據(jù)。如用戶規(guī)定允許端口是21或者大于等于1024的數(shù)據(jù)包通過�,則只要端口符合該條件,數(shù)據(jù)包便可以通過此防火墻�。若配置的規(guī)則比較符
4����、合實際應(yīng)用的話���,在這一層能過濾掉很多有安全隱患的數(shù)據(jù)包。代理:一般位于一臺代理服務(wù)器或路由器上��。它的機(jī)制是將網(wǎng)內(nèi)主機(jī)的IP地址和端口替換為服務(wù)器或路由器的IP地址和端口。使用代理服務(wù)器可以讓所有的外部網(wǎng)絡(luò)的主機(jī)與內(nèi)部網(wǎng)絡(luò)之間的訪問都必須通過它來實現(xiàn)����,這樣可以控制對內(nèi)部網(wǎng)絡(luò)中具有重要資源的機(jī)器的訪問����。6IP包過濾技術(shù)介紹對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包�,先獲取包頭信息����,然后和設(shè)定的規(guī)則進(jìn)行比較����,根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表�����。Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處ACL概述7訪問控
5、制列表的作用訪問控制列表可以用于防火墻����;訪問控制列表可以用于Qos(QualityofService)����,對數(shù)據(jù)流量進(jìn)行控制�����;在DCC中�����,訪問控制列表還可用來規(guī)定觸發(fā)撥號的條件����;訪問控制列表還可以用于地址轉(zhuǎn)換��;在配置路由策略時,可以利用訪問控制列表來作路由信息的過濾��。ACL概述8訪問控制列表是什么�?一個IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為TCP/UDP):IP報頭TCP/UDP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP/UDP來說,這5個元素組成了一個TCP/UDP相關(guān)����,訪問控制列表就是利用這些元素定義的規(guī)
6�����、則ACL概述9如何標(biāo)識訪問控制列表�?利用數(shù)字標(biāo)識訪問控制列表利用數(shù)字范圍標(biāo)識訪問控制列表的種類列表的種類數(shù)字標(biāo)識的范圍IPstandardlist1-99IPextendedlist100-199ACL概述10標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù),表明是允許還是拒絕�����。從202.110.10.0/24來的數(shù)據(jù)包可以通過���!從192.110.10.0/24來的數(shù)據(jù)包不能通過���!路由器ACL概述11標(biāo)準(zhǔn)訪問控制列表的配置配置標(biāo)準(zhǔn)訪問列表的命令格式如下:aclacl-number[match-orderauto
7、confi
8、g]rule{normal
9��、special}{permit
10��、deny}[sourcesource-addrsource-wildcard
11����、any]怎樣利用IP地址和反掩碼wildcard-mask來表示一個網(wǎng)段?ACL配置12如何使用反掩碼反掩碼和子網(wǎng)掩碼相似��,但寫法不同:0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用��,可以描述一個地址范圍�。000255只比較前24位003255只比較前22位0255255255只比較前8位ACL配置13擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包���,表明是允許還是拒
12、絕。從202.110.10.0/24來的,到179.100.17.10的���,使用TCP協(xié)議,利用HTTP訪問的數(shù)據(jù)包可以通過!路由器ACL配置14擴(kuò)展訪問控制列表的配置命令配置TCP/UDP協(xié)議的擴(kuò)展訪問列表:rule{normal
13��、special}{permit
14�����、deny}{
