包过滤技术和实现.pptVIP

包过滤技术的实现 第4单元 如何实现 包过滤技术由在过滤型路由器或防火墙中设置访问控制列表（ACL）来实现。 什么叫ACL 访问控制列表简称为ACL（Access Control List），在路由器或防火墙上读取第三层和第四层包头中的信息，如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 翻转掩码 翻转掩码：在访问控制列表中，网络地址的辨别和匹配并不是通过子网掩码，而是通过翻转掩码，也称为反掩码。与子网掩码类似，翻转掩码是由0和1组成的32位二进制数字，分成4段。看下面一个实例： 翻转掩码 翻转掩码 翻转掩码是将相应的子网掩码按位取反得到。 在cisco的路由器和防火墙中，一些IP地址结合翻转掩码可以使用缩略语替代，如 55可以用any代替； 可以在IP地址前使用“host“代表相同的意义，即host 。 访问控制列表的类型 根据对数据包检查的粒度不同，分为： 标准访问控制列表 扩展访问控制列表； 根据功能和特点的不同，分为： 静态访问控制列表 动态访问控制列表 反射控制列表 访问控制列表的类型 配置访问控制列表一般来说需要遵循两个步骤： 创建访问控制列表，即向访问控制列表中添加命令，一个访问控制列表中可以包含多条命令。 将访问控制列表绑定到某个网络接口 注意：如果要删除某个访问控制列表，则该访问控制列表中的所有命令都被删除了 标准访问控制列表及其案例 标准访问控制列表是通过使用IP包中的源IP地址进行过滤，允许或禁止来自于某个网络的所有数据流，或者禁止某一套协议的数据流，使用的访问控制列表号为1到99。其访问控制粒度较粗。 每一个网络接口在每个数据流方向上针对每一个协议只允许存在一个访问控制列表 标准访问控制列表及其案例 标准访问控制列表及其案例 标准访问控制列表及其案例 ??? 路由器配置命令 ??? access-list 1 permit host 3??? 设置ACL，容许3的数据包通过。 ??? access-list 1 deny any?设置ACL，阻止其他一切IP地址进行通讯传输。 ??? int e 1??? 进入E1端口。 ??? ip access-group 1 in??? 将ACL 1绑定于E1端口。 扩展访问控制列表及其案例 扩展访问控制列表对数据包的控制比标准访问控制列表粒度更细，它不仅可以检查数据包中源IP地址，还可以检查目标地址、特定的协议、端口号，以及其它的参数，这些特性使得扩展访问控制列表可以更加灵活地描述数据过滤任务。如可以允许WEB数据流而禁止FTP或telnet数据流。 扩展访问控制列表使用的ACL号为100到199。 扩展访问控制列表及其案例 扩展访问控制列表及其案例 扩展访问控制列表及其案例 路由器配置命令： ??? access-list 101 permit tcp any 3 eq www??? 设置ACL101，容许源地址为任意IP，目的地址为3主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。 ??? int e1??? 进入E1端口 ??? ip access-group 101 out???? 将ACL101绑定到该接口 扩展访问控制列表及其案例 设置完毕后的计算机就无法访问的计算机了，就算是服务器3开启了FTP服务也无法访问，惟独可以访问的就是3的WWW服务了。 学习教材113页中的实例。 扩展访问控制列表及其案例 扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。 ??? 总结 扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过它存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。 * *0000000000000000 二进制翻转掩码1111111111111111 二进制子网掩码0000100111000000 二进制IP地址