游客您好
免注册登录

[教程/攻略] Cisco安全基础,外围路由器、防火墙和内部路由器及访问控...

0
回复
857
查看
[复制链接]
发表于 2018-7-21 16:12 | 显示全部楼层 |阅读模式

4bd6-hfqtahh4756632.jpg

如果你是系统管理员,则确保重要的敏感数据及网络资源免受威胁将是你的首要任务。思科提供了一些有效的安全解决方案,可帮助你完成这项任务。

访问控制列表(ACL) 是思科安全解决方案的基本组成部分,笔者将介绍简单和高级访问控制列表的要点,让你能够确保网络安全,还将演示如何缓解网络面临的大部分安全威胁。

访问控制列表是一种"多才多艺"的网络工具,因此在路由器配置中正确使用和配置访问列表至关重要。访问控制列表让网络管理员能够很好地控制数据流在整个企业网络中的传输,从而极大地改善网络的运行效率。通过使用访问控制列表,管理员可收集分组传输方面的基本统计数据,确定要实现的安全策略;还可保护敏感设备,防范未经授权的访问。

在此,笔者将讨论TCP/IP 访问控制列表,并介绍一些可用于测试和监视访问控制列表效果的工具。

外围路由器、防火墙和内部路由器

在大中型企业网络中,通常采用外围路由器、内部路由器和防火墙的配置来实现各种安全策略。内部路由器对前往企业网络中受保护部分的数据流进行过滤,以进一步提高安全,这是通过使用访问控制列表实现的。图A说明了这些设备所处的位置。

在此,我将频繁地使用术语可信网络( trusted network )和不可信网络( untrusted network ),因此必须知道它们位于典型的安全网络的什么地方,这很重要。非军事区(DMZ) 可能是全局因特网地址,也可能是私有地址,这取决于如何配置防火墙,非军事区通常包含HTTP、DNS 、电子邮件和其他与因特网相关的企业服务器。

891c-hfqtahh4761054.jpg

典型的安全网络设计

我们知道,在可信网络内部,可不使用路由器,而结合使用虚拟局域网(VLAN) 和交换机。多层交换机内置了安全功能,可替代内部路由器在VLAN 架构中提供较高的性能。

访问控制列表简介

从本质上说,访问控制列表是一系列对分组进行分类的条件,它在需要控制网络数据流时很有用。在这些情况下,可将访问控制列表用作决策工具。访问控制列表最常见也是最容易理解的用途之一是,将有害的分组过滤掉以实现安全策略。例如,可使用访问控制列表来作出非常具体的数据流控制决策,只允许某些主机访问因特网上的Web 资源。通过正确地组合使用多个访问控制列表,网络管理员几乎能够实施任何能想到的安全策略。创建访问控制列表相当于编写一系列if-then 语句一一如果满足给定的条件,就采取给定的措施;如果不满足,则不采取任何措施,而继续评估下一条语句。访问控制列表语句相当于分组过滤器,根据它对分组进行比较、分类,并采取相应的措施。创建访问控制列表后,就可将其应用于任何接口的人站或出站数据流。访问控制列表被应用于接口后,路由器将对沿指定方向穿越该接口的每个分组进行分析,并采取相应的措施。

将分组同访问控制列表进行比较时,需要遵守一些重要规则。


  • 总是按顺序将分组与访问控制列表的每一行进行比较,即总是首先与访问控制列表的第一行进行比较,然后是第二行和第三行,以此类推。

  • 不断比较,直到满足条件为止。在访问控制列表中,找到分组满足的条件后,对分组采取相应的措施,且不再进行比较。

  • 每个访问控制列表末尾都有一条隐式的deny 语句,这意味着如果不满足访问控制列表中任何行的条件,分组将被丢弃。



使用访问控制列表过滤IP分组时,上述每条规则都将带来深远的影响;要创建出有效的访问控制列表,必须经过一段时间的练习。

访问控制列表分两大类:


  • 标准访问控制列表它们只将分组的源IP 地址用作测试条件,所有的决策都是根据源IP 地址作出的。这意味着标准访问控制列表要么允许要么拒绝整个协议族,它们不区分IP 数据流类型(如Web 、Telnet 、UDP 等)。

  • 扩展访问控制列表它们能够检查IP 分组第3 层和第4 层报头中的众多其他字段。它们能够检查源IP 地址、目标EIP地址、网络层报头的协议( Protocol )字段、传输层报头中的端口号。这让扩展访问列表能够做出更细致的数据流控制决策。

  • 命名访问控制列表且慢!前面不是说只有两类吗?怎么这里列出了三类呢?从技术上说,确实只有两类,因为命名访问控制列表要么是标准的,要么是扩展的,并非一种新类型。这里之所以专门列出它,是因为这种访问控制列表的创建和引用方式不同于标准和扩展访问控制列表,但功能是相同的。




您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

电视直播

智能电视家庭网是一个提供热门电视软件下载安装,电视台频道信息整理,智能电视机顶盒评测,热门剧集推荐的综合泛电视资讯平台。 智能电视家庭网部分内容从搜索引擎搜索整理获得,版权归原创者所有,如果侵犯了您的权益,我们会及时删除侵权内容。
Powered by Discuz!X3.4 ©2001-2013 Comsenz Inc.