返回
第12章访问控制列表配置

第12章访问控制列表配置

ID:9183537

大小:53.27 KB

页数:15页

时间:2018-04-20

第12章访问控制列表配置_第1页
第12章访问控制列表配置_第2页
第12章访问控制列表配置_第3页
第12章访问控制列表配置_第4页
第12章访问控制列表配置_第5页
资源描述:

《第12章访问控制列表配置》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、知识要点:使用防火墙是保护网络安全的主要措施之一,Cisco路由器的访问控制列表配置功能使其可作为包过滤防火墙使用。访问列表分为基本访问列表和扩展访问列表,前者基于源IP地址对数据包进行过滤,后者基于源、目标IP地址和协议等对数据包进行过滤。访问列表要绑定在路由器的接口上才能生效,在一个端口的一个方向上,只能绑定一条访问列表。基于代理的防火墙能提供比包过滤更高的安全性,它能够隐藏内部网络的IP地址。PIX防火墙也是基于代理的防火墙,且它使用自己的操作系统PIX,其安全防护能力较强。配合路由器的包过滤与PIX的代理功能,设计两层或三层防火墙系统,是一种较为典型的Intra

2、net防火墙安全系统构架。12.1路由器对网络的安全保护计算机网络提供了本地或远程共享和传输数据的能力。也正因为如此,网络又面临安全风险,因为数据可能被窃取、篡改或删除。对于一个Intranet,安全风险可能来自Intranet内部,也可能来自外部。对来自外部的风险,首选防火墙技术进行防范。12.1.1防火墙防火墙的名字非常形象,在网络中的地位如它的名字所示,它是一道安全之墙。根据网络安全等级和可信任关系,将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的数据包通过,同时把安全策略不允许的数据包隔离开来。1.防火墙在网络中的位置与作

3、用根据防火墙的物理位置,可把其分为外部防火墙和内部防火墙。外部防火墙位于Intranet与Internet之间或Intranet与Intranet之间,内部防火墙则位于Intranet内部各个子网之间。防火墙无法防止来自防火墙内侧的攻击。防火墙对各种已知类型攻击的防御有赖于防火墙的正确的配置;对各种最新的攻击类型的防御则取决于防火墙软件更新的速度和相应的配置更新的速度。防火墙一方面阻止来自Internet的对Intranet的未授权或未验证的访问,另一方面允许内部网络的用户对Internet进行访问,还可作为访问的权限控制关口,如只允许Intranet内的特定的人可以出访。防火墙同

4、时还具有一些其他功能,如进行身份鉴别,对信息进行加密处理等。防火墙不仅可用于对Internet的连接防护,也可以用来在Intranet之间和Intranet内部保护重要的设备和数据。对受保护数据的访问都必须经过防火墙的过滤,即使该访问是来自Intranet内部。防火墙保护的最小单元可以是单台主机,这时在该机上安装防火墙软件。当外部网络的用户访问网内资源时,要经过防火墙;而内部网络的用户访问网外资源时,也会经过防火墙。这样,防火墙就起到了一个“滤网”的作用,可以将需要禁止的数据包在这里过滤掉。2.网络层防火墙与应用层防火墙通常可把防火墙分为两大类:网络层防火墙和应用层防火墙。1)网络

5、层防火墙网络层防火墙主要获取数据包的包头信息,如协议号、源地址、目的地址和目的端口等,或者直接获取包头的一段数据,经过与既定策略比较后确定数据包的取舍。网络层防火墙主要的功能如下:包过滤(PacketFilter)对每个数据包按照用户所定义规则进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态,也不分析数据。如用户规定允许端口是80或者大于等于1024的数据包通过,则只要在端口符合该条件,数据包便可以通过此防火墙。代理(Proxy)通常情况下指的是地址代理,一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址

6、和端口。例如,一个公司内部网络的地址是192.168.33.0网段,而公司对外的合法IP地址是201.88.16.1~201.88.160.6,则内部的主机192.168.33.10通过浏览器以WWW方式访问Internet上的某一WWW服务器时,在通过代理服务器后,IP地址和端口可能为201.88.16.2:4001。在代理服务器中维护着一张地址对应表,当外部网络的WWW服务器返回结果时,代理服务器会将此IP地址和端口转化为内部网络的IP地址和端口80。代理服务器阻止了所有的外部网络的主机与内部网络之间的直接访问,所有的通信都必须通过它来“代理”实现。这样就可起到对特定资源的保护

7、作用。网络地址转换(NAT)基于端口的NAT的原理和安全性与代理服务器类似。2)应用层防火墙应用层防火墙则对整个信息流进行分析,然后按既定策略确定数据包的取舍。常见的应用层防火墙按作用机制大致有以下两种:应用网关(ApplicationGateway)检验通过此网关的所有数据包中的应用层的数据。如FTP应用网关,对于连接的Client端来说是一个FTPServer,对于Server端来说是一个FTPClient。连接中传输的所有FTP数据包都必须经过此FTP应用网关。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。