项 目 6 网 络 安 全 与 防 护.pptVIP

图 ６ －２３　ＡＣＬ 的 编 号 和 命 名 返回 图 ６ －２４　ＡＣＬ 的 放 置 位 置 返回 图 ６ －２５　标 准 ＡＣＬ 的 逻 辑 返回 表 ６ －１　标 准 ＡＣＬ 语 法 返回 图 ６ －２６　配 置 标 准 ＡＣＬ 返回 * 任 务 ５　 了 解 防 火 墙 技 术 每 种 协 议 一 个 ＡＣＬ——— 要 控 制 接 口 上 的 流 量 ， 必 须 为 接 口 上 启 用 的 每 种 协 议 定 义 相 应的 ＡＣＬ。 每 个 方 向 一 个 ＡＣＬ——— 一 个 ＡＣＬ 只 能 控 制 接 口 上 一 个 方 向 的 流 量 ， 要 控 制 入 站 流 量 和出 站 流 量 ， 必 须 分 别 定 义 两 个 ＡＣＬ。 每 个 接 口 一 个 ＡＣＬ——— 一 个 ＡＣＬ 只 能 控 制 一 个 接 口 （ 如 快 速 以 太 网 ０／０） 上 的 流 量 。 ４.ＡＣＬ 的 工 作 原 理 ＡＣＬ 定 义 了 一 组 规 则 ， 用 于 对 进 入 入 站 接 口 的 数 据 包 、 通 过 路 由 器 中 继 的 数 据 包 以 及 从路 由 器 出 站 接 口 输 出 的 数 据 包 施 加 额 外 的 控 制 。 ＡＣＬ 对 路 由 器 自 身 产 生 的 数 据 包 不 起 作 用 。 上一页 下一页 返回 任 务 ５　 了 解 防 火 墙 技 术 ＡＣＬ 要 么 配 置 用 于 入 站 流 量 ， 要 么 配 置 用 于 出 站 流 量 。 （ １） 入 站 ＡＣＬ 传 入 数 据 包 经 过 处 理 之 后 才 会 被 路 由 到 出 站 接 口 。 入 站 ＡＣＬ 非 常 高 效 ， 如 果 数 据 包 被 丢弃 ， 则 节 省 了 执 行 路 由 查 找 的 开 销 。 当 测 试 表 明 允 许 该 数 据 包 后 ， 路 由 器 才 会 处 理 路 由 工 作 。 图 ６ －１９ 中 显 示 了 入 站 ＡＣＬ 的 逻 辑 。 如 果 数 据 包 报 头 与 某 条 ＡＣＬ 语 句 匹 配 ， 则 会 跳 过列 表 中 的 其 他 语 句 ， 由 匹 配 的 语 句 决 定 是 允 许 还 是 拒 绝 该 数 据 包 。 如 果 数 据 包 报 头 与 ＡＣＬ语 句 不 匹 配 ， 那 么 将 使 用 列 表 中 的 下 一 条 语 句 测 试 数 据 包 。 此 匹 配 过 程 会 一 直 继 续 ， 直 到 抵达 列 表 末 尾 。 上一页 下一页 返回 任 务 ５　 了 解 防 火 墙 技 术 （ ２） 出 站 ＡＣＬ 传 入 数 据 包 路 由 到 出 站 接 口 后 ， 由 出 站 ＡＣＬ 进 行 处 理 。ＡＣＬ 语 句 按 顺 序 执 行 操 作 。 这 些 语 句 从 上 到 下 、 一 条 一 条 地 对 照 ＡＣＬ 评 估 数 据 包 。 图 ６ －２０ 中 显 示 了 出 站 ＡＣＬ 的 逻 辑 。 在 数 据 包 转 发 到 出 站 接 口 之 前 ， 路 由 器 检 查 路 由表 以 查 看 是 否 可 以 路 由 该 数 据 包 。 如 果 该 数 据 包 不 可 路 由 ， 则 丢 弃 它 。 接 下 来 ， 路 由 器 检 查出 站 接 口 是 否 配 置 有 ＡＣＬ。 如 果 出 站 接 口 没 有 配 置 ＡＣＬ， 那 么 数 据 包 可 以 发 送 到 输 出 缓 冲区 。 上一页 下一页 返回 任 务 ５　 了 解 防 火 墙 技 术 ５.ＡＣＬ 及 路 由 器 上 的 路 由 和 ＡＣＬ 过 程 图 ６ －２１ 中 显 示 了 路 由 器 上 的 路 由 和 ＡＣＬ 过 程 的 原 理 。 当 数 据 包 到 达 路 由 器 接 口 时 ，无 论 是 否 使 用 ＡＣＬ， 路 由 器 过 程 都 是 相 同 的 。 当 帧 进 入 接 口 时 ， 路 由 器 查 看 其 第 二 层 目 的 地址 是 否 与 自 身 地 址 匹 配 ， 或 查 看 该 帧 是 否 是 广 播 帧 。 ６.Ｃｉｓｃｏ ＡＣＬ 的 类 型 Ｃｉｓｃｏ ＡＣＬ 包 括 标 准 ＡＣＬ 和 扩 展 ＡＣＬ 两 种 。 （ １） 标 准 ＡＣＬ 标 准 ＡＣＬ 根 据 源 ＩＰ 地 址 允 许 或 拒 绝 流 量 。 数 据 包 中 包 含的 目 的 地 址 和 端 口 无 关 紧 要 。 上一页 下一页 返回 任 务 ５　 了 解 防 火 墙 技 术 图 ６ － ２２ 中 的 示 例 允 许 来 自 网络 １９２.１６８.３０.０／２４ 的 所 有 流 量 。 因 为 ＡＣＬ 末 尾 隐 含 了 “ ｄｅｎｙ ａｎｙ” ， 所 以 它 将 阻 止 所 有 其 他