返回
防火墙与访问控制列表.ppt

防火墙与访问控制列表.ppt

ID:53571211

大小:1.08 MB

页数:44页

时间:2020-04-20

防火墙与访问控制列表.ppt_第1页
防火墙与访问控制列表.ppt_第2页
防火墙与访问控制列表.ppt_第3页
防火墙与访问控制列表.ppt_第4页
防火墙与访问控制列表.ppt_第5页
资源描述:

《防火墙与访问控制列表.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、防火墙与访问控制列表学习目标理解ACL/包过滤防火墙的工作原理掌握防火墙的配置方法理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法学习完本课程,您应该能够:2ACL/包过滤防火墙简介ACL/包过滤概述ACL/包过滤应用在路由器中,就为路由器增加了对数据包的过滤功能。ACL/包过滤实现对IP数据包的过滤,对路由器需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。3防火墙示意图I

2、nternet公司总部内部网络未授权用户办事处对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。4路由器实现防火墙功能IP报文转发机制IPPacketIPPacket网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作:丢弃或转发由规则决定报文转发动作:丢弃或转发5访问控制列表概述路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是

3、通过访问控制列表ACL(AccessControlList)定义的。访问控制列表是由permit

4、deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。6访问控制列表是什么?一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控

5、制列表就是利用这些元素定义的规则7访问控制列表的作用访问控制列表可以用于防火墙;访问控制列表可以用于Qos(QualityofService),对数据流量进行控制;在DCC中,访问控制列表还可用来规定触发拨号的条件;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。8访问控制列表的分类按照访问控制列表的用途,可以分为四类:?基本的访问控制列表(basicacl)?高级的访问控制列表(advancedacl)?基于接口的访问控制列表(interface-basedacl)?基于MAC的访问控制列表(

6、mac-basedacl)访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。9访问控制列表的匹配顺序一个访问控制列表可以由多条“permit

7、deny”语句组成,每一条语句描述的规则是不相同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行匹配的时候,到底采用哪些规则呢?就需

8、要确定规则的匹配顺序。有两种匹配顺序:?配置顺序?自动排序配置顺序,是指按照用户配置ACL的规则的先后进行匹配。自动排序使用“深度优先”的原则。10“深度优先”规则“深度优先”规则是把指定数据包范围最小的语句排在最前面。可以通过比较地址的通配符来实现,通配符越小,指定的主机的范围就越小。例:129.102.1.10.0.0.0指定了一台主机:129.102.1.1,而129.102.1.10.0.255.255指定了网段:129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。具体标准:对于基本访问控制

9、规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口的访问控制规则,配置了“any”的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。使用displayacl命令就可以看出是哪条规则首先生效。显示时,列在前面的规则首先生效。11访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。规则冲突时,若匹配顺序为auto(深度优先),描述的地址

10、范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledeny202.38.0.00.0.255.255rulepermit202.38.160.00.0.0.255两条规则结合

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。