《网络安全与管理实验教程》课件第4章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全与管理实验教程 网络安全 管理 实验 教程 课件
- 资源描述:
-
1、第 4 章 网络系统安全4.1 ACL概述4.2 标准ACL4.3 扩展ACL4.4 RACL4.5 防火墙概述4.6 PIX防火墙的基本配置4.7 PIX防火墙的NAT与PAT配置4.8 PIX防火墙的管理配置4.9 PIX防火墙的ACL配置4.10 PIX防火墙的对象分组配置4.11 PIX防火墙的DHCP服务器配置4.12 PIX防火墙的DHCP中断代理配置第 4 章 网络系统安全ACL可以为流过网络的流量提供一个基本级别的安全保护。默认情况下,路由器不过滤任何流量,可以通过为路由器配置和应用ACL来过滤通过路由器的流量。ACL通常用来阻止不同设备访问特定的服务、特定的设备或者特定的网络
2、部分。ACL是应用于路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以进入或离开、哪些数据包要被拒绝。所以,ACL往往被看做是一种流量过滤工具。4.1 ACL概述概述第 4 章 网络系统安全4.1.1 ACL的工作原理的工作原理要实现流量过滤,必须通过ACL语句,在路由器上定义条件,根据这些条件来决定是否允许流量通过。ACL语句有两个组件:条件和操作。条件基本上是一组规则,用于匹配数据包内容,如在数据包源地址中查找匹配,或者在源地址、目的地址、协议类型和协议信息中查找匹配。当ACL语句条件与比较的数据包内容相匹配时,则会采取一个操作:允许或拒绝数据包。第 4 章 网络系统安全每条A
3、CL语句只能列出一个条件和一个操作,如果需要多个条件或多个操作,则必须设置多条ACL语句。ACL语句组合在一起形成一个列表或策略,一个列表中包含的语句数量是没有限制的,零条、一条或多条都是允许的,当然列表越长,管理越复杂。ACL的基本工作过程是:路由器自上而下地处理列表,从第一条语句开始,如果数据包内容与当前语句条件不匹配,则处理列表中的下一条语句,以此类推;如果数据包内容与当前语句条件匹配,则不再处理后面的语句;如果数据包内容与列表中任何显式语句条件都不匹配,则丢弃该数据包,这是因为在每个访问控制列表的最后都跟随着一条看不见的语句,称为“隐式的拒绝”语句,致使所有没有找到显式匹配的数据包都被
4、拒绝。第 4 章 网络系统安全所以,在ACL中应至少包含一条允许操作的语句,否则数据包即使没有与带有拒绝操作的语句条件匹配,也会因隐式的拒绝语句而被丢弃。但是,如果路由器激活了一个不包含任何语句的ACL,即空的ACL,它将允许所有的数据包通过,这意味着一个空的ACL是不包含隐式拒绝语句的,隐式拒绝语句只在非空的ACL(至少包含一条允许或拒绝语句)中起作用。ACL语句的排列顺序很重要,下面举例说明语句的顺序可能带来的问题。如图4-1所示,路由器分隔了两个网段,一个网段由用户使用,另一个网段放置服务器,过滤流量的目的是允许所有用户到达Web服务器,但只允许用户C到达FTP服务器。假设按照以下顺序将
5、ACL过滤规则配置在路由器上:允许所有用户访问服务器网段;拒绝用户A访问FTP服务器;拒绝用户B访问FTP服务器。第 4 章 网络系统安全图4-1 ACL语句的排列顺序第 4 章 网络系统安全语句是自上而下处理的,当某一时刻用户A试图访问FTP服务器时,会因与第一条语句匹配而得到允许。因此,这样的排列顺序会造成每个用户都可以访问FTP服务器。为达到过滤流量的目的,ACL应该按照以下顺序配置:拒绝用户A访问FTP服务器;拒绝用户B访问FTP服务器;允许所有用户访问服务器网段。第 4 章 网络系统安全当新的ACL语句被添加到列表中时,默认会被添加到列表的最后,所以设置ACL前应先理清ACL语句顺序
6、,一般规则是:按照条件约束由强到弱的顺序排列语句,将“条件约束最强的语句”放在列表的顶部,“条件约束最弱的语句”放在列表的底部。两种常用的配置方式是:如果想允许每个用户都能够访问大多数服务,只拒绝少数特定用户,则在设置ACL时,首先拒绝特定的连接,然后允许所有其他连接;反之,如果只允许少数用户的访问,而拒绝所有其他的访问,则在设置ACL时,首先指定允许语句,而隐式拒绝所有其他访问。第 4 章 网络系统安全4.1.2 ACL的类型的类型路由器接口可能支持多种网络层协议(如IP、IPX、AppleTalk),则对每种协议必须定义单独的ACL,如IP ACL用于匹配IP数据报内容,过滤IP数据流;而
7、IPX ACL用于匹配IPX 数据包内容,过滤IPX数据流。实际应用时,只能在每个接口、每个协议、每个方向上应用一个ACL。例如,在某个接口的输入方向,不能有两个IP ACL,但是可以在该接口的输入和输出方向分别应用一个IP ACL,或者将一个IP ACL和IPX ACL同时应用到该接口的输入方向上。以下只讨论IP ACL的类型。第 4 章 网络系统安全依据过滤方式的差异,ACL大致可分为4种类型:标准ACL、扩展ACL、反射ACL(Reflexive ACL,RACL)和基于上下文的访问控制(Context-Based Access Control,CBAC)。其中,标准ACL和扩展ACL可
8、以实现包过滤功能,RACL和CBAC可以实现有状态的过滤功能。标准ACL基于数据包的源地址过滤数据包,只能过滤网络层信息。标准ACL通常和VTY(Virtual TeletYpe)、HTTP一起使用,限制到路由器本身的访问。第 4 章 网络系统安全扩展ACL基于源IP地址和目的IP地址、协议类型(如ICMP、IP、OSPF、TCP、UDP等)及协议信息(如ICMP消息类型、TCP或UDP端口号、TCP标志代码)来过滤流量,可以过滤网络层和传输层信息。扩展ACL通常过滤通过路由器的流量。标准ACL和扩展ACL不跟踪连接的状态,当内部网络中有用户向外部网络发送流量时,对于返回流量的处理将是个问题。
展开阅读全文