第12章访问控制列表配置第12章访问控制列表配置.docxVIP

知识要点：使用防火墙是保护网络安全的主要措施之一，Cisco路由器的访问控制列表配置功能使其可作为包过滤防火墙使用。访问列表分为基本访问列表和扩展访问列表，前者基于源IP地址对数据包进行过滤，后者基于源、目标IP地址和协议等对数据包进行过滤。访问列表要绑定在路由器的接口上才能生效，在一个端口的一个方向上，只能绑定一条访问列表。基于代理的防火墙能提供比包过滤更高的安全性，它能够隐藏内部网络的IP地址。 PIX防火墙也是基于代理的防火墙，且它使用自己的操作系统PIX，其安全防护能力较强。配合路由器的包过滤与PIX的代理功能，设计两层或三层防火墙系统，是一种较为典型的Intranet防火墙安全系统构架。12.1路由器对网络的安全保护计算机网络提供了本地或远程共享和传输数据的能力。也正因为如此，网络又面临安全风险，因为数据可能被窃取、篡改或删除。对于一个Intranet，安全风险可能来自Intranet内部，也可能来自外部。对来自外部的风险，首选防火墙技术进行防范。12.1.1防火墙防火墙的名字非常形象，在网络中的地位如它的名字所示，它是一道安全之墙。根据网络安全等级和可信任关系，将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的数据包通过，同时把安全策略不允许的数据包隔离开来。1.防火墙在网络中的位置与作用根据防火墙的物理位置，可把其分为外部防火墙和内部防火墙。外部防火墙位于Intranet与Internet之间或Intranet与Intranet之间，内部防火墙则位于Intranet内部各个子网之间。防火墙无法防止来自防火墙内侧的攻击。防火墙对各种已知类型攻击的防御有赖于防火墙的正确的配置；对各种必威体育精装版的攻击类型的防御则取决于防火墙软件更新的速度和相应的配置更新的速度。防火墙一方面阻止来自Internet的对Intranet的未授权或未验证的访问，另一方面允许内部网络的用户对Internet进行访问，还可作为访问的权限控制关口，如只允许Intranet内的特定的人可以出访。防火墙同时还具有一些其他功能，如进行身份鉴别，对信息进行加密处理等。防火墙不仅可用于对Internet的连接防护，也可以用来在Intranet之间和Intranet内部保护重要的设备和数据。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自Intranet内部。防火墙保护的最小单元可以是单台主机，这时在该机上安装防火墙软件。当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙就起到了一个“滤网”的作用，可以将需要禁止的数据包在这里过滤掉。2. 网络层防火墙与应用层防火墙通常可把防火墙分为两大类：网络层防火墙和应用层防火墙。1）网络层防火墙网络层防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者直接获取包头的一段数据，经过与既定策略比较后确定数据包的取舍。网络层防火墙主要的功能如下：包过滤(Packet Filter)对每个数据包按照用户所定义规则进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是80或者大于等于1 024的数据包通过，则只要在端口符合该条件，数据包便可以通过此防火墙。代理(Proxy)通常情况下指的是地址代理，一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。例如，一个公司内部网络的地址是网段，而公司对外的合法IP地址是～，则内部的主机0通过浏览器以WWW方式访问Internet上的某一WWW服务器时，在通过代理服务器后，IP地址和端口可能为：4001。在代理服务器中维护着一张地址对应表，当外部网络的WWW服务器返回结果时，代理服务器会将此IP地址和端口转化为内部网络的IP地址和端口80。代理服务器阻止了所有的外部网络的主机与内部网络之间的直接访问，所有的通信都必须通过它来“代理”实现。这样就可起到对特定资源的保护作用。网络地址转换（NAT）基于端口的NAT的原理和安全性与代理服务器类似。2）应用层防火墙应用层防火墙则对整个信息流进行分析，然后按既定策略确定数据包的取舍。常见的应用层防火墙按作用机制大致有以下两种：应用网关(ApplicationGateway)检验通过此网关的所有数据包中的应用层的数据。如FTP应用网关，对于连接的Client端来说是一个FTP Server，对于Server端来说是一个FTP Client。连接中传输的所有FTP数据包都必须经过此FTP应用网关。电路级网关(Circuit-LevelGateway)此电路指虚电路。在TCP发起一个连接之前，验证该会话的可靠性。