返回
网络安全之-ACL(访问控制列表).doc

网络安全之-ACL(访问控制列表).doc

ID:50683302

大小:242.51 KB

页数:14页

时间:2020-03-07

网络安全之-ACL(访问控制列表).doc_第1页
网络安全之-ACL(访问控制列表).doc_第2页
网络安全之-ACL(访问控制列表).doc_第3页
网络安全之-ACL(访问控制列表).doc_第4页
网络安全之-ACL(访问控制列表).doc_第5页
资源描述:

《网络安全之-ACL(访问控制列表).doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。2、熟悉高级ACL的应用场合并灵活运用。【实验环境】H3C三层交换机1台,PC3台,标准网线3根。【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企

2、业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。网络安全采用的技术很多,通过ACL(AccessControlList,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rul

3、e)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL进行包过滤。基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。入站包过滤工作流程一个ACL可以包含多条规则,每条规则都定义了一个匹

4、配条件及其相应的动作。ACL规则的动作即允许或拒绝。(1)系统用ACL的第一条规则的条件来尝试匹配数据包的信息。(2)如果数据包的特征与规则的条件相符(称数据包命中此规则),则执行规则所设定的动作,如果是peimit,则允许数据包穿过防火墙,交由路由转发进程处理,如果是deny,则系统丢弃数据包。(3)如果数据包特征与规则的条件不符,则转下一条规则继续尝试匹配。(4)如果数据包没有命中任何一条规则的条件,则执行防火墙的默认动作。需要注意的是,流程图中最后的默认规则用来定义对ACL以外的数据包的处理方式,即在没有规则去判定数据包是否可以通过的时候,防火墙所采取的策略是允许还是拒绝。同样地,当路由

5、器准备从某端口上发出一个数据包时,如果该端口处没有ACL启动包过滤,则数据包直接发出,如果该端口处启动了ACL包过滤,则数据将交给出站防火墙进行过滤,其工作流程如图所示。出站包过滤工作流程在配置ACL的时候,需要定义一个数字序号,并利用这个序号来唯一标识一个ACL。根据应用目的,ACL可以分为以下几种类型:l基本ACL(序号为2000~2999):也称为标准访问控制列表,只根据报文的源IP地址信息制定匹配规则。l高级ACL(序号为3000~3999):也称为扩展访问控制列表,根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。其中3998与39

6、99是系统为集群管理预留的编号,用户无法配置。l二层ACL(序号为4000~4999):根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定匹配规则。l用户自定义ACL(序号为5000~5999):可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。【命令介绍】1.定义基本ACL,并进入相应的ACL视图aclnumberacl-number删除指定的ACL,或者删除全部ACL的命令:undoacl{all

7、numberacl-number}〖视图〗系统视图〖参数〗lnum

8、beracl-number:ACL序号,基本IPv4ACL的序号取值范围为2000~2999,高级IPv4ACL的序号取值范围为3000~3999。2.定义基本ACL规则(1)指定要匹配的源IP地址范围。(2)指定动作是permit或deny。rule[rule-id]{deny

9、permit}[rule-string]删除ACL规则或者规则中的某些属性信息的命令:undorulerule-id[

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。