路由器访问控制列表(ACL)及其实现技术研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
件 判 断语 句相 匹 配 , 么后 面 的 语 句 就 将 被 忽 略 , 再 那 不
进 行检 查 。
路 由器工作 在网络层 , 是信息 出入 的必经 之路 , 能
有效 的防止外部用 户对局域 网的安全访 问。同时可 以
限制 网络 流 量 , 可 以 限 制 局 域 网 内 的 用 户 或 设 备 使 也
数据包只有在 跟第 一个 判 断条件 不匹 配时 , 它才
被交 给访 问控制列表 中的下一个 条件判断语句进行 比 较 。如果匹配 , 假设为允许 发送 , 则不 管是第 一条还是
最后一条语句 , 数据都 会 立 即发送 到 目的接 口。如果
又能限制内部用 户对外 部 的非法访 问 , 在很 大程 度上 提高 了网络的安 全性 。因此 , 可以说访 问控 制列表 是 网络防御外来攻击 的第一道关卡。 本文 以某企业 真 实拓 扑 图为例 , 讨论 如何 利用 路 由器的访 问控制列表技术提高网络的安全性 。
是财务部 子网、l 3 v n0是商务 部子 网、l 4 a v n 0是服 务器 a
绝, 可以由类似于源地 址 、 目的地址 、 口号 、 端 协议 等特 定指示条件来 决定 。通过 灵活地 增加访 问控 制列 表 ,
A L可 以 当作 一 种 网 络 控 制 的 有 力 工 具 , 来 过 滤 流 C 用 人 和流 出路 由 器 接 口的 数据 包 。 路 由器 应 用 访 问 控 制 列 表 时 , 把 访 问 控 制 列 表 会
作 者 简 介 : 小 霞 (9 8一) 女 , 海人 , 雄 职 业 技 术 学 院 副 教 授 , 究 方 向 : 汪 16 , 上 健 研 网络 安 全 。
8
商相连 。
R c ni) ac s i e y 12 1 . 0 3 A( o f # ces—lt d n 7 . 6 1 . g s2
Ma. 0 r2 1 1
路 由器 访 问控 制列 表 ( C ) A L 及其 实 现 技 术研 究
汪 小 霞
( 健雄职 业技 术学 院 江 苏太仓
摘
25 1 ) 1 4 1
要 : 由器访 问控制列表 是 实现 网络 安全 的基 本 手段 之 一。本 文介 绍 了访 问控 制 列表 的概念 及其 功 路
中的每一条规则 中所定 义的地址和 收到 的数据包 中的
2 相连 。在路 由器 R B以太网 口 F / 11与 IP服务 提供 S
收稿 日期 :0 1— 1— 0 2 1 0 2 基 金项 目 : 仓 市 工 业 支撑 项 目: 域 网 网络 安全 与 A P攻 击研 发 , 号 :C C 1 太 局 R 编 T Z09
能, 并以某企 业真 实拓 扑 图为例 , 详细探 讨 了网络 实践 应用 中, 如何利 用路 由器的访 问控 制列表技 术提 高网络 的
安全性 。
关键词 : 由器 ; 问控制列表 ; 路 访 网络安全
1 引言
地址分别 同通配符进行 逻辑 “ 或” 的操作 , 如果这 个两 者 的操作结果一致 的话 , 则应用此条 规则 , 许或拒绝 允 数据包的通过 。通常路 由器按 照列表 中的条件语句执 行顺序来判断 。如果一个数 据包 的报 头跟表 中某个 条
第2 3卷
第 1期
郑 州 铁 路 职业 技 术 学 院 学 报
V 12 N . o. 3 o1
2 1 年 3月 0 1
J u a o h n z o a w yV c t n l T c nc o e e o r l f e gh u R i a o ai a & e h iM C U g n Z l o
2 访 问控 制 列 表 ( L) AC 访问控制列表 是应 用在 路 由器接 口的指令 列表 ,
所有的访问控制列 表判 断语 句都 检测完毕 , 仍没 有 匹
配 的语 句 出 口, 该 数 据 包 将 视 为 被拒 绝 而 被丢 弃 。 则
3 访 问控 制 列 表 实 现 实 例
背景 : 下图为某 企业 网络拓 扑结构简 图, 是基 于层 次性 网络结 构 的设计 , 入 层 设备 采 用 ¥ 16 接 2 2 G交换
用 网络资源。因此 , 网络路 由过 滤对 网络 的安 全具 有
举 足 轻重 的作 用 。
目前 大部分 的路 由器都是通过访 问控制列表 技术
来允许或拒绝报文通过 。当路 由器的访问控制列表 的 安全特性被充分 利用 时 , 由器将 变成 一个 有效 的、 路 稳
定 的、 全的、 固的防御体 系, 安 坚 既能 抵 御 外 部 的 攻 击 ,
机 , 聚 层 设 备采 用 ¥ 50三 层 交 换 机 。企 业 中有 四个 [ 35
大 的子 网。分 别 为工 程 部 、 务 部、 务 部和服 务器 财 商
群 , 交换 机 上 划 分 v n v n0是 工 程 部 子 网 、l 2 在 l ,器哪些 数据包 可 以接收 , 哪些数据包需要拒绝 。至于数据包是被接收还是 被拒
R c ni) a cs —l t emi i n n A( o f # c es i p r t pa ya y g s2 R e ri) it l0 A( odg #n / f
R cn g—i) i c es ru n A( o f i f #pa cs —go p2 i R cni A( o f g—i) e i f # xt
群网络。为了保证 网络 的高可 用性 和稳定 性 , 接人 层
交换机与汇聚层 交换 机通过 两 条链路 相连 , 汇聚层交 换机通过 F / 与 R 01 A路 由器接 口 F/ 1O相连 , 汇聚层交 换机通过 接 口 F / 0 8与服 务 器 群 网络 相 连接 , 由器 路
R A通 过广 域 网接 口 S / 12和 路 由 器 R B广 域 网接 口 S/ 1
进 行检 查 。
路 由器工作 在网络层 , 是信息 出入 的必经 之路 , 能
有效 的防止外部用 户对局域 网的安全访 问。同时可 以
限制 网络 流 量 , 可 以 限 制 局 域 网 内 的 用 户 或 设 备 使 也
数据包只有在 跟第 一个 判 断条件 不匹 配时 , 它才
被交 给访 问控制列表 中的下一个 条件判断语句进行 比 较 。如果匹配 , 假设为允许 发送 , 则不 管是第 一条还是
最后一条语句 , 数据都 会 立 即发送 到 目的接 口。如果
又能限制内部用 户对外 部 的非法访 问 , 在很 大程 度上 提高 了网络的安 全性 。因此 , 可以说访 问控 制列表 是 网络防御外来攻击 的第一道关卡。 本文 以某企业 真 实拓 扑 图为例 , 讨论 如何 利用 路 由器的访 问控制列表技术提高网络的安全性 。
是财务部 子网、l 3 v n0是商务 部子 网、l 4 a v n 0是服 务器 a
绝, 可以由类似于源地 址 、 目的地址 、 口号 、 端 协议 等特 定指示条件来 决定 。通过 灵活地 增加访 问控 制列 表 ,
A L可 以 当作 一 种 网 络 控 制 的 有 力 工 具 , 来 过 滤 流 C 用 人 和流 出路 由 器 接 口的 数据 包 。 路 由器 应 用 访 问 控 制 列 表 时 , 把 访 问 控 制 列 表 会
作 者 简 介 : 小 霞 (9 8一) 女 , 海人 , 雄 职 业 技 术 学 院 副 教 授 , 究 方 向 : 汪 16 , 上 健 研 网络 安 全 。
8
商相连 。
R c ni) ac s i e y 12 1 . 0 3 A( o f # ces—lt d n 7 . 6 1 . g s2
Ma. 0 r2 1 1
路 由器 访 问控 制列 表 ( C ) A L 及其 实 现 技 术研 究
汪 小 霞
( 健雄职 业技 术学 院 江 苏太仓
摘
25 1 ) 1 4 1
要 : 由器访 问控制列表 是 实现 网络 安全 的基 本 手段 之 一。本 文介 绍 了访 问控 制 列表 的概念 及其 功 路
中的每一条规则 中所定 义的地址和 收到 的数据包 中的
2 相连 。在路 由器 R B以太网 口 F / 11与 IP服务 提供 S
收稿 日期 :0 1— 1— 0 2 1 0 2 基 金项 目 : 仓 市 工 业 支撑 项 目: 域 网 网络 安全 与 A P攻 击研 发 , 号 :C C 1 太 局 R 编 T Z09
能, 并以某企 业真 实拓 扑 图为例 , 详细探 讨 了网络 实践 应用 中, 如何利 用路 由器的访 问控 制列表技 术提 高网络 的
安全性 。
关键词 : 由器 ; 问控制列表 ; 路 访 网络安全
1 引言
地址分别 同通配符进行 逻辑 “ 或” 的操作 , 如果这 个两 者 的操作结果一致 的话 , 则应用此条 规则 , 许或拒绝 允 数据包的通过 。通常路 由器按 照列表 中的条件语句执 行顺序来判断 。如果一个数 据包 的报 头跟表 中某个 条
第2 3卷
第 1期
郑 州 铁 路 职业 技 术 学 院 学 报
V 12 N . o. 3 o1
2 1 年 3月 0 1
J u a o h n z o a w yV c t n l T c nc o e e o r l f e gh u R i a o ai a & e h iM C U g n Z l o
2 访 问控 制 列 表 ( L) AC 访问控制列表 是应 用在 路 由器接 口的指令 列表 ,
所有的访问控制列 表判 断语 句都 检测完毕 , 仍没 有 匹
配 的语 句 出 口, 该 数 据 包 将 视 为 被拒 绝 而 被丢 弃 。 则
3 访 问控 制 列 表 实 现 实 例
背景 : 下图为某 企业 网络拓 扑结构简 图, 是基 于层 次性 网络结 构 的设计 , 入 层 设备 采 用 ¥ 16 接 2 2 G交换
用 网络资源。因此 , 网络路 由过 滤对 网络 的安 全具 有
举 足 轻重 的作 用 。
目前 大部分 的路 由器都是通过访 问控制列表 技术
来允许或拒绝报文通过 。当路 由器的访问控制列表 的 安全特性被充分 利用 时 , 由器将 变成 一个 有效 的、 路 稳
定 的、 全的、 固的防御体 系, 安 坚 既能 抵 御 外 部 的 攻 击 ,
机 , 聚 层 设 备采 用 ¥ 50三 层 交 换 机 。企 业 中有 四个 [ 35
大 的子 网。分 别 为工 程 部 、 务 部、 务 部和服 务器 财 商
群 , 交换 机 上 划 分 v n v n0是 工 程 部 子 网 、l 2 在 l ,器哪些 数据包 可 以接收 , 哪些数据包需要拒绝 。至于数据包是被接收还是 被拒
R c ni) a cs —l t emi i n n A( o f # c es i p r t pa ya y g s2 R e ri) it l0 A( odg #n / f
R cn g—i) i c es ru n A( o f i f #pa cs —go p2 i R cni A( o f g—i) e i f # xt
群网络。为了保证 网络 的高可 用性 和稳定 性 , 接人 层
交换机与汇聚层 交换 机通过 两 条链路 相连 , 汇聚层交 换机通过 F / 与 R 01 A路 由器接 口 F/ 1O相连 , 汇聚层交 换机通过 接 口 F / 0 8与服 务 器 群 网络 相 连接 , 由器 路
R A通 过广 域 网接 口 S / 12和 路 由 器 R B广 域 网接 口 S/ 1