1.防火牆介紹
現代的防火牆體系不應該只是一個「入口的屏障」,防火牆應該是幾個網絡的接入控制點,所有經過被防火牆保護的網絡的數據流都應該首先經過防火牆,形成一個信息進入的關口。
因此防火牆不但可以保護內部網絡在 Internet 中的安全,同時還可以保護若干主機在一個內部網絡中的安全。在每一個被防火牆分割的網絡中,所有的計算機之間是被認為「可信任的」,它們之間的通信不受防火牆的干涉。而在各個被防火牆分割的網絡之間,必須按照防火牆規定的「策略」進行互相的訪問。
2.網絡安全技術
網絡安全技術介紹
IP包過濾技術介紹
包過濾技術主要是設定一定的規則,控制數據包。路由器會根據設定的規則和數據包的包頭信息比較,來決定是否允許這個數據包通過。實現包過濾技術最核心內容就是訪問控制列表。
訪問控制列表
用戶可以通過 Internet 和外部網絡進行聯繫,網絡管理員都面臨著一個問題,就是如何拒絕一些不希望的連接,同時又要保證合法用戶進行的訪問。
為了達到這樣的效果,我們需要有一定的規則來定義哪些數據包是「合法」的(或者是可以允許訪問),哪些是「非法」的(或者是禁止訪問)。這些規則就是訪問控制列表。
訪問控制列表(續)
訪問控制列表就可以提供這樣的功能,它按照數據包的特點,規定了一些規則。
這些規則描述了具有一定特點的數據包,(例如所有源地址是202.10.10.0 地址段的數據包、所有使用 Telnet 訪問的數據包等等)並且規定它們是被「允許」的還是「禁止」的。
這樣可以將訪問控制列表規則應用到路由器的接口,阻止一些非法的訪問,同時並不影響合法用戶的訪問。訪問控制列表提供了一種區分數據包種類的手段,它把各種數據包按照各自的特點區分成各種不同的種類,達到控制用戶訪問的目的。
地址列表的其他用途
由於訪問控制列表具有區分數據包的功能,因此,訪問控制列表可以控制「什麼樣的數據包」,可以做什麼樣的事情。
例如,當企業內部網通過撥號方式訪問 Internet ,如果不希望所有的用戶都可以撥號上網,就可以利用控制列表決定哪些主機可以觸發撥號,以達到訪問 Internet 的目的。
利用訪問控制列表可以控制數據包的觸發撥號,同樣在 IPSec、地址轉換等應用中,可以利用控制列表描述什麼樣的數據包可以加密,什麼樣的數據包可以地址轉換等。
訪問控制列表原理
IP 數據包具有一定的特徵,例如,對於每個 TCP 數據包,都包含有上圖所示的5個元素,利用這5個元素就可以描述出一個數據包的特徵。
訪問控制列表利用的就是這些包頭的信息來定義規則的。
訪問控制列表原理(續)
訪問控制列表原理(續)
通配比較位的意義和子網掩碼很相似,但是用法上是不一樣的。利用通配比較位可以定義一個範圍內的地址。例如定義一個 10.110.0.0/16 網段的所有主機。
訪問控制列表原理(續)
訪問控制列表原理(續)
在配置訪問控制列表時,有一個規則序列號,利用這個規則序列號來標識訪問控制列表,同時提供了引用訪問控制列表的方法。
規則序列號的範圍表示了它屬於什麼樣的訪問控制列表。例如:
access-list 1 permit 202.110.10.0 0.0.0.255
表示序號為 1 的訪問控制列表,它是標準訪問列表。
access-list 100 deny udp any any eq rip
表示序號為 100 的訪問控制列表,它是擴展訪問列表。