返回
访问控制列表在包过滤防火墙上应用及探究

访问控制列表在包过滤防火墙上应用及探究

ID:32955337

大小:57.10 KB

页数:6页

时间:2019-02-18

访问控制列表在包过滤防火墙上应用及探究_第1页
访问控制列表在包过滤防火墙上应用及探究_第2页
访问控制列表在包过滤防火墙上应用及探究_第3页
访问控制列表在包过滤防火墙上应用及探究_第4页
访问控制列表在包过滤防火墙上应用及探究_第5页
资源描述:

《访问控制列表在包过滤防火墙上应用及探究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、访问控制列表在包过滤防火墙上应用及探究摘要:Internet对于信息的保密和系统的安全考虑得并不完备,因此网络安全问题已引起高度重视。本文介绍了包过滤技术和访问控制列表ACL的工作原理,并结合实际用例,提出了访问控制列表的配置方法。关键词:包过滤;访问控制列表;防火墙中图分类号:TN915.08文献标识码:A文章编号:1007-9599(2012)19-0000-02随着网络的迅速发展,各种各样的网络软件也随之出现,人们的生活和学习对网络的依赖也越来越多,但网络安全问题也接踵而来。防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域和安全区域的连接,同时不会妨碍人们对风险区域的访问

2、,因此防火墙已经成为世界上用的最多的网络安全产品之一。包过滤技术是防火墙最基本的实现技术,它具有通用、廉价、有效等特点。在不增加软、硬件投资的情况下,利用路由器的访问控制列表来设置包过滤放火墙,可以实现防火墙的大部分功能,是一种增强网络安全的行之有效的方法。1包过滤技术基本原理在网络中,所有的信息传输都是以包的方式来实现的。包过滤是指对通过网络的数据包进行过滤操作,只有满足条件的数据包才能通过网络,包过滤设备可以是路由器、网桥或计算机,通常是包过滤路由器。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(NetworkLevFirewall)或IP过滤器(IPfilters)o

3、数据包过滤(PacketFiltering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则。在包过滤防火墙中,广泛使用ACL(AccessControlList,访问控制列表)来实现数据识别,流经包过滤防火墙的数据与ACL定义的规则进行匹配,并决定是转发还是丢弃这些数据包。2ACL访问控制列表访问控制列表是为了对路由器或者防火墙处理的流量进行过滤而建立的规则,它在改善网络

4、性能和加强网络安全等方面已经发挥出越来越重要的作用。以Cisco路由器为例,access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。2.1标准访问控制列表标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表是最简单

5、的ACL。它的具体格式如下:access-listACL号permit

6、denyhostip地址例如:access-list10denyhost192.16&1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。access-list10deny192.168.1.00.0.0.255是对192.168.1.0/24这个网段进行过滤。2.2扩展访问控制列表扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,也可以拒绝使用其他协议的流量通过。扩展

7、访问列表的具体格式如下:access-listACL号permit

8、denyprotocoloperanestablishedlog例女口:access-list101denytcpanyhost192.168.1.1eqwww这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。3访问控制列表的应用访问控制列表的应用领域很广,包括流量控制、病毒过滤、设备管理和时间控制等方面,下面是应用ACL保护企业内部网络安全的两个案例。3.1禁止外部ICMP攻击ICMP协议是传输层的重要协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主

9、机是否可达、路由是否可用等网络本身的消息。在企业网络中,我们希望保证正常的网络通信的同时屏蔽恶意的ICMP消息,可以通过设置如下的访问控制列表来实现:(1)access-list100permiticmpany路由器E0接口地址echo。允许外网主机可以PING通我方路由器广域口地址,便于外网进行网络测试。(2)access-list100denyicmpanyanyechoo禁止外网主机发起的任何ICMPECHO报文到达我方网络主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。