第6章2ACL NAT.pptVIP

6 ACL概述 防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 一般应将防火墙置于被保护网络的入口点来执行访问控制。例如，将防火墙设置在内部网和外部网的连接处，以保护内部网络或数据免于为未认证或未授权的用户访问，防止来自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来，对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。 6 ACL概述 防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。现在的许多防火墙同时还具有一些其它特点，如进行用户身份鉴别，对信息进行安全（加密）处理等等。在路由器上配置了防火墙特性后，路由器就成了一个健壮而有效的防火墙。 6 ACL概述 2. 防火墙的分类 一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数据，而应用层的防火墙则对整个信息流进行分析。 6 ACL概述 常见的防火墙有以下几类： 应用网关：检验通过网关的所有数据包中的应用层数据。 包过滤：对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是21或者大于等于1024的数据包通过，则只要端口符合该条件，数据包便可以通过此防火墙。若配置的规则比较符合实际应用的话，在这一层能过滤掉很多有安全隐患的数据包。 代理：一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须通过它来实现，这样可以控制对内部网络中具有重要资源的机器的访问。 IP包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。(华3的VRP【通用路由平台】可以支持静态包过滤也可以支持动态ASPF,相当于思科的CBAC) 访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。（例如对不同级别用户） 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 思科配置标准ACL 第一步：定义访问控制列表 Router(config)#access-list access-list-number { permit | deny } {source|any} [ source- wildcard ] [log] access-list-number： ACL标识号码，十进制。可选范围为1~99； deny | permit ： deny拒绝转发（丢弃），permit允许转发； source | any ： 数据包的源地址（主机地址或网络号）， any表示所有地址； source- wildcard ： 通配符掩码。 Router(config-if)#ip access-group a 第二步：把访问控制列表应用到某一接口上 ACL就好象门卫一样对进出“大门”（端口）的数据进行过滤，如果这个门卫没有设置在门口（端口），那么就不能起到应有的作用，所以ACL一定要放置在端口上才能生效。此外ACL还有方向性，有in和out两个方向 第三步：查看访问控制列表 通配符掩码 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 思科扩展访问控制列表 Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log] access-