我们所处的是一个数字化的时代,随着数据量的日益増大,高防服务器对各种技巧的利用也在持续扩大,呈爆炸式增长的数据在网络中流动。在这种情况下,假如没有适当的安全机制,那么每个网络就都可以和其他网络相互访问,而无法对合法的访问行动和非法的访问行动进行任何区分。
把持网络访问的基础步骤之一,就是在网络内把持数据流量。而实现这个目标的方法之一,就是应用访问把持列表(常称作ACL)。ACL不仅简便高效,而且在所有主流 Cisco产品上都可以应用。
重要讨论如何在 Cisco IOS和其他设备上利用和配置ACL来实现流量过滤。除此之外,本章还对IP地址、IP分类、子网及掩码进行了简要的介绍。
应用ACL进行流量过滤
Cisco IOS具有限制流量流入式流出网络的功效,因为它为ACL供给了流量过滤功效。应用ACL有时也称为过滤,这是因为ACL可以通过放行和拒绝网络访问的方法,对流量进行把持。
1、ACL概述
ACL通过放行和拒绝语句把持网络访问,以此实现安全策略,它是端到端安全解决方案的必要组成部分。然而,在实行公司安全策路时,除了ACL之外,诸如防火墙、加密与认证、入侵检测与防御解决方案等产品和技巧也同样必不可少。
ACL可以利用于很多场合,其中最为常见的是以下情况。
1.过滤邻居设备间传递的路由信息。
2.把持交互访问,以此禁止非法访问设备的行动一一例如对 Console接口、 Telnet或SSH访问实行把持。
3.把持穿越设备的流量和网络访问。
4.通过限制对路由器上菜些服务的访问来掩护路由器,比如HTP(超文本传输协议)、SNMP(简略网络管理协议)及NTP(网络时间协议)等。
5.为DDR(按需拨号)路由定义感兴趣流。
6.为 Psec VPN定义感兴趣流。
7.能够以多种方法在1OS中突现Q0S(服务质量)特征
8.在其他安全技巧中的扩大利用(比如TCP拦阻和IOS防火墙)。
ACL可认为所有访问和穿越网络的流量供给基础的安全保障。如果不配置ACL,所有穿过路由器的数据包都可以进入网络的各个部分中。
比如,ACL可以容许一台主机访问 Internet,同时却禁止其他主机对Internet的访问。如图1所示,主机A可以访问 Internet上的资源,同时主机B的访问就会被拒绝。ACL也可以在路由器接口断定哪些类型的流量应当放行,哪些类型的流量则需要阻塞。比如,它可以放行所有HTP流量,同时阻塞FTP流量。当然,这些只是最简略的例子,比它们复杂得多的案例也可以通过ACL来实现。
2、何时配置ACL
那些配置在设备上的ACL可以作为网络的第一道防线。实现这道防线的方法是将ACL安排在内网(受掩护的区域)和外网(不受掩护的区域如 Internet)之间的路由器、交换机或防火墙上。另外,也可以将ACL安排在位于同一网络两部分之间的设备上,通过这种方法可以把持出入网络某个部分的流量。另一种利用ACL的场合是过滤某台设备出方向或入方向的流量,就同时对出/入的流量实行过滤。定义ACL应当针对特定的协议及特定的端口/源/目标地址,这样才干针对不同的流量实现更加准确的访问把持。
