文档介绍:LOGO项目项目88:保护不同子网络安全:保护不同子网络安全《《计算机网络安全计算机网络安全》》核心技术实施访问控制列表安全目录目录学****目标?访问控制列表技术?基于编号标准访问控制列表?基于编号扩展访问控制列表?基于时间访问控制列表技术访问控制列表ACL(Access Control List)技术通过对网络中所有的输入和输出访问的数据流进行控制,过滤掉网络中非法的、未授权的数据服务包。通过限制网络中的非法数据流,实现对通信流量起到控制的作用,提高网络安全性能。ACL安全技术是一种应用在交换机与路由器上的三层安全技术,其主要目的是对网络数据通信进行过滤,从而实现各种安全访问控制需求。ACL技术通过数据包中的五元组(源IP地址、目标IP地址、协议号、源端口号、目标端口号)来区分网络中特定的数据流,并对匹配预设规则成功的数据采取相应的措施,允许(permit)或拒绝(deny)数据通过,从而实现对网络的安全控制。 (ACL)技术访问控制列表ACL安全技术简单的说法便是数据包过滤。网络管理人员通过对网络互联设备的配置管理,来实施对网络中通过的数据包的过滤,从而实现对网络中的资源进行访问输入和输出的访问控制。配置在网络互联设备中的访问控制列表ACL检查规则,实际上是一张规则检查表,这些表中包含了很多简单的指令规则,告诉交换机或者路由器设备,哪些数据包可以接收,哪些数据包需要被拒绝。 ,可以控制和过滤通过网络互联设备上接口信息流,对该接口上进入、流出的数据进行安全检测。其主要的安全功能有:提供网络安全访问控制手段。如允许主机A访问FTP网络,而拒绝主机B访问。过滤数据流。ACL应用在网络设备的输入、输出接口处,决定不同类型的通信流被转发或阻塞。如允许E-mail访问,服务。限制网络访问流量,从而提高网络性能。ACL可以根据数据包中标识的协议信息,指定数据包的优先级。提供对通信流量的控制手段。ACL可以限定或简化路由更新信息的长度,从而限制通过某一网段的通信流…… ,然后将定义好的规则应用到检查的接口上。该接口一旦激活以后,就自动按照ACL中配置的命令,针对进出的每一个数据包特征进行匹配,决定该数据包被允许通过还是拒绝。在数据包匹配检查的过程中,指令的执行顺序自上向下匹配数据包,逻辑地进行检查和处理。 访问控制列表概述常见ACL有两类:标准访问控制列表(Standard IP ACL)和扩展访问控制列表(Extended IP ACL),在规则中使用不同的编号区别,其中标准访问控制列表的编号取值范围为1~99;扩展访问控制列表的编号取值范围为100~199。两种编号的ACL区别是,标准的编号ACL只匹配、检查数据包中携带的源地址信息;扩展编号ACL不仅仅匹配数据包中源地址信息,还检查数据包的目的地址,以及数据包的特定协议类型、端口号等。扩展访问控制列表规则大大扩展了网络互联设备对三层数据流的检查细节,为网络的安全访问提供了更多的访问控制功能。 访问控制列表分类标准访问控制列表(Standard IP ACL)检查数据包的源地址信息,数据包在通过网络设备时,设备解析IP数据包中的源地址信息,对匹配成功的数据包采取拒绝或允许操作。在编制标准的访问控制列表规则时,使用编号1到99值来区别同一设备上配置的不同标准访问控制列表条数。部署ACL技术的顺序是:?分析需求?编写规则?根据需求与网络结构将规则应用于交换机或路由的特定接口为帮助理解标准访问控制列表应用规则,下面以一个标准访问控制列表为例,说明应用ACL时的步骤及注意事项。 基于编号标准访问控制列表配置编号标准访问控制列表在网络互联设备上配置标准访问控制列表规则,以下的语法格式:Access-list list-number {permit | deny} source--address [ wildcard–mask ]其中:access-list-number:所创建的ACL的编号,区别不同ACL规则序号,标准的IP ACL的编号范围是1~99。permit | deny:对匹配此规则的数据包需要采取的措施,permit表示允许数据包通过,deny表示拒绝数据包通过。source:需要检测的源IP地址或网段。source-wildcard为需检测的源IP地址的反向子网掩码,是源IP地址通配符比较位,也称反掩码,限定匹配网络范围。