Firewall Security.pptVIP

网络安全技术 -防火墙技术 防火墙技术 一、ACL(访问控制列表) 二、NAT (地址转换) 三、VPN (虚拟隧道网络) 一、ACL(访问控制列表)介绍 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 ACL的使用 H3C路由器、CISCO路由器 Linux操作系统 iptables Windows操作系统 ACL 1.1、访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 ?2、最靠近受控对象原则 ??? 检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 ?3、默认丢弃原则 ??? 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY。 ??? 要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 1.2 CISCO ACL类型 1、标准访问控制列表 2、扩展标准访问控制列表 1.2.1标准访问控制列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。 标准访问控制列表是最简单的ACL。 ??? 它的具体格式如下：access-list ACL号 permit|deny host ip地址 ??? 例如：access-list 10 deny host 这句命令是将所有来自地址的数据包丢弃。 ????????????????????????????? 1.2.2扩展访问控制列表 标准访问控制列表，他是基于IP地址进行过滤的。如果我们希望将过滤细到端口或者希望对数据包的目的地址进行过滤，这时候需要使用扩展访问控制列表了。扩展访问控制列表使用的ACL号为100到199。 ?扩展访问控制列表的格式： ??? 扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下： ??? access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围]? [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口] ??? 例如：access-list 101 deny tcp any host eq www这句命令是将所有主机访问这个地址网页服务（WWW）TCP连接的数据包丢弃。 　 1.3 Windows操作系统ACL NTFS文件系统 访问控制列表 (Access Control List, ACL) 是 Windows 环境下依附于对象 (如文件、文件夹、或程序) 的访问控制项目 (Access Control Entry, ACE)。ACL 中的每个项目决定了用户或群组对象的访问权限 . 语局语法 cacls filename [/t] [/e] [/c] [/g user:perm] [/r user [...]] [/p user:perm [...]] [/d user [...]]? 参数:filename——显示指定文件的 ACL。?●/t:更改当前目录和所有子目录中指定文件的ACL。?●/e:编辑 ACL 而不是替换它。?●/c:忽略错误，继续修改 ACL。?●/g user:per 授予指定用户访问权限。Perm 可以是: n:无 r:读取 c:更改(写入) f:完全控制?●/r user 吊销指定用户访问权限。?●/p user:perm 替换指定用户的访问权限。Perm 可以是： n:无 r:读取 c:更改(写入) f:完全控制?●/d user 拒绝指定的用户访问。 在一个命令中可以指定多个文件或用户。 实例 查看文件夹的访问权限 cacls D:＼student 修改文件夹的访问权限 cacls D:＼student /T /E /C /P student :F? 撤销用户的访问权限 cacls D:＼student/T /E /C /R u01 CI - 容器继承。ACE 会由目录继承。OI - 对象继承。ACE 会由文件继承。IO - 只继承。ACE 不适用于当前文件/目录 Windows ACL列表例 利用ACL列表实现对个人文件夹进行保护。 二、NAT (地址转换)介绍 ?