当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 用ACL构建防火墙体系

安全产品
防火墙的设置方案
Win 2000如何安装配置防火墙
反垃圾邮件防火墙与防火墙及防毒墙的异同
用组策略部署Windows防火墙
解读Windows XP SP2防火墙
用Windows 2003内置防火墙构筑安全防线
透过防火墙日志看系统安全
Win XP系统网络防火墙配置
Win XP SP2 ICF防火墙的特性
网管,你的防火墙上也有“洞”吗?
Win XP中的防火墙
Win XP防火墙全面应用
不可忽视:谈网络防火墙和安全问题
用ACL构建防火墙体系
如何设置防火墙实现禁用QQ、MSN等
管理员的防火墙日志向导
反垃圾邮件防火墙的核心技术
防火墙选购中要考虑的八个因素
因地制宜:谈三种防火墙配置方案
软件防火墙故障发现与排除

安全产品 中的 用ACL构建防火墙体系


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 43 ::
收藏到网摘: n/a

络防火墙安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务,以及这些服务的使用规则。而且,网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现。下面我们就路由器下通过访问控制列表实现安全策略,以达到防火墙的功能,并对其实现及应用进行详细的叙述。

  访问控制列表的作用

  访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。

  建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。

  IP访问控制列表的分类

  标准IP访问控制列表

  当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

  扩展IP访问控制列表

  扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。

  命名访问控制列表

  在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。

  在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。