当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 用ACL构建防火墙体系

安全产品
防火墙常见问题十问十答
谈防火墙固有的安全与效率的矛盾
2005年防火墙发展趋势漫谈
对高端防火墙未来发展趋势的探讨
五步学用WinXP个人防火墙
防火墙应具备的17个特性
防火墙的技术与应用-相关知识(1)
防火墙的技术与应用-相关知识(2)
防火墙的技术与应用-相关知识(3)
防火墙的技术与应用-相关知识(4)
防火墙的技术与应用-相关知识(5)
防火墙的技术与应用-相关知识(6)
防火墙的技术与应用-相关知识(7)
防火墙的技术与应用-相关知识(8)
防火墙的技术与应用-相关知识(9)
防火墙的技术与应用-相关知识(10)
防火墙的技术与应用-相关知识(11)
防火墙的技术与应用-相关知识(12)
防火墙的技术与应用-相关知识(13)
防火墙的技术与应用-相关知识(14)

安全产品 中的 用ACL构建防火墙体系


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 37 ::
收藏到网摘: n/a

络防火墙安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务,以及这些服务的使用规则。而且,网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现。下面我们就路由器下通过访问控制列表实现安全策略,以达到防火墙的功能,并对其实现及应用进行详细的叙述。

  访问控制列表的作用

  访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。

  建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。

  IP访问控制列表的分类

  标准IP访问控制列表

  当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

  扩展IP访问控制列表

  扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。

  命名访问控制列表

  在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。

  在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。