基于访问表技术的路由器的安全防范.pdfVIP

维普资讯 第16巷第1期 青 岛 大 学 学 报 m L．16Nn I ALoFOINGDAO UNIVERSlTY Mar．2001 文章螭号 ：1006—9798(2001)O1—0087—02 基于访问表技术的路由器的安全防范 徐 滨 (青岛大学电子乐，青岛266071) 摘要：讨论了访问表技术在网络安全方面的具体应用．及其存在的缺陷。 关键词 ：访 问表技术 ；报文过滤；管理域 中图分类号：TP309 文献标识码 ：A 合于过滤报文的设备。而且对于地理上分离的组 1 访 问表技术 的定义 织 ，路由器对网络的链接是必须的．所以不再需要其 现代网络社会 中，各种攻击形形色色．数据的安 他的附加设备和软件就可以实现报文过滤的安全功 全受到极大的威胁 ，特别是公司或单位内部 网络中 能 的数据库以及服务器成为攻击的主要对象 访问表 报文过滤并不是访问表的唯一功能，还包括以 技术是一种最直接的防范方法。 下几种功能：投入要求，排列特性，路 由变更过滤，路 所谓访问表技术是基于将规则与报文或数据进 由器访 问 由此可 以看出，访 问表不仅仅用 于网络 行匹配来允许或拒绝报文流或数据流通过 的排序 安全方面．在路由器 的许多特征中扮演着整合性的 表 访问表技术包括多种功能，其中最重要的功能 角色 是报文过滤功能 2 访问表技术的应用 保证网络的安全有多种因素 ，最重要的是要限 制报文流进^网络。所谓报文过滤技术允许用户制 2．1 访 问裹的建立和操作。 定一种标准或规则 ，只有符合这些标准或规则的报 以Cisco路由器为例 ，讨论访问表 的建立和操 文才能通过网络设备 ．那些不符合指定标准的报文 作。 将会被拒绝，而没有明确指出是允许还是拒绝 的报 访 问表的基本语法为 ： 文在缺省情况下也会被拒绝 简单地说，报文过滤 Access—list 技术让用户可以根据报文的源 IP地址．目的 IP地 Eaccesslistnumber1-l199] 址以及应用的类型限制进^网络的数据流 若某数 ~_permitordeny] 据流来 自特定地址 ，管理员可拒绝这类数据流进入 [someprotoco1] 自己的网络。而且无论所传输 的上层应用如何 ，管 [sourceaddressandmask] 理员均可限制特定 IP地址范 围的所有报文进入 自 [sourceportnumberorrange] 己网络。 [destinationaddressandmask_ 一 般情况下 ，路 由器作为管理域 (Administra— [destinationportnumberorrange] liveDomain)的边界_l一．它 的一项功能是将分离 的 [options] 管理域链接起来。在这种情况下 ，两个管理域之间 上述命令结构中，并非所有的域是必须的。 互通的报文都要经过路 由器．因此路 由器是唯一适 [accesslistnumber11199]中的号码表示所 收辅 日期