2 路由器ACL功能.pdf

网络访问权限控制技术－ACL 网络中常说的ACL 是网络设备所提供的一种访问控制技术，初期仅在路由器上 支持，近些年来已经扩展到三层交换机，部分必威体育精装版的二层半交换机也开始提供 ACL 的支持。只不过支持的特性不是那么完善而已。这章重点介绍访问控制列表的基本 原理和特点，通过本章的学习，我们应该掌握和理解访问控制列表的原理和应用。 1 防火墙概述 1.1 什么是防火墙 防火墙作为 Internet 访问控制的基本技术，其主要作用是监视和过滤通过它的 数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以 拒绝非法用户访问网络并保障合法用户正常工作。 一般应将防火墙置于被保护网络的入口点来执行访问控制。例如，将防火墙设 置在内部网和外部网的连接处，以保护内部网络或数据免于为未认证或未授权的用 户访问，防止来自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与 相对开放的网段隔离开来，对受保护数据的访问都必须经过防火墙的过滤，即使该 访问是来自组织内部。 防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网 络内部的信息、结构和运行状况，以此来实现网络的安全保护。现在的许多防火墙 同时还具有一些其它特点，如进行用户身份鉴别，对信息进行安全（加密）处理等 等。 在路由器上配置了防火墙特性后，路由器就成了一个健壮而有效的防火墙。 - 1 - 1.2 防火墙的分类 一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要 获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取 包头的一段数据，而应用层的防火墙则对整个信息流进行分析。 常见的防火墙有以下几类： l 应用网关（Application Gateway）：检验通过此网关的所有数据包中的应用层的 数据。如 FTP 应用网关，对于连接的Client 端来说是一个 FTP Server，对于 Server 端来说是一个FTP Client。连接中传输的所有FTP 数据包都必须经过此 FTP 应用网关。 l 包过滤（Packet Filter）：对每个数据包按照用户所定义的项目进行过滤，如比 较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不 分析数据。如用户规定允许端口是21 或者大于等于1024 的数据包通过，则只 要端口符合该条件，数据包便可以通过此防火墙。若配置的规则比较符合实际 应用的话，在这一层能过滤掉很多有安全隐患的数据包。 l 代理（Proxy）：通常情况下指的是地址代理，一般位于一台代理服务器或路由 器上。它的机制是将网内主机的 IP 地址和端口替换为服务器或路由器的 IP 地 - 2 - 址和端口。举例来说，一个公司内部网络的地址是 网段，而公司对外 的正式IP 地址是～ ，则内部的主机00 以 WWW 方式访问网外的某一台服务器时，在通过代理服务器后，IP 地址和端口 可能为:6080 。在代理服务器中维护着一张地址对应表。当外部网 络的WWW 服务器返回结果时，代理服务器会将此IP 地址及端口转化为内部网 络的IP 地址和端口80。使用代理服务器可以让所有的外部网络的主机与内部网 络之间的访问都必须通过它来实现，这样可以控制对内部网络中具有重要资源 的机器的访问。 2 访问控制列表的概念 在网络应用的早期，网络的类型和网络的用户、终端都非常有限，因此对于网 络的控制相对来说比较容易。随着 Internet 网络的接入，以及通过路由器连接外部 网络的增加，网络管理者就面对一个两难的问题：如何拒绝非法的用户接入网络但 同时又不影响正常用户的使用？虽然，有一些工具例如：设置口令、回拨以及加密 设备等可以对此起到一定作用，但他们缺乏可伸缩性和适应性以满足管理员对网络 的一些特定的控制。 访问控制列表提供了另外一种有效地对网络进行控制的方法。列表的添加可以 有效地控制和过滤进入或者流出路由器端口的数据包，这样就可以帮助限制网络流 量并且保证网络为某一些确定的用户或设备所使用。 3 访问控制列表的原理 3.1 IP 包过滤技术介绍 基本原理：对路由器需要转发的数据包，先