路由器如何设置ACL?
如何在路由器上实现ACL?了解路由器中的入口和出口流量(或入站和出站)对于正确实施ACL至关重要。在为ACL设置规则时,所有流量都基于路由器接口(而不是其他网络)的视点。
在计算机的世界中,ACL是安全性的最基本组成部分之一。访问控制列表“ ACL ”监视传入和传出的流量,并将其与一组定义的语句进行比较。
在本文中,笔者将深入研究ACL的功能,并回答以下有关ACL的常见问题?
访问控制列表“ ACL”是可以控制传入或传出流量的网络流量过滤器。
ACL 遵循一组规则,这些规则定义了如何在路由器接口上转发或阻止数据包。ACL与无状态防火墙相同,后者仅限制,阻止或允许从源流向目标的数据包。
当您在路由设备上为特定接口定义ACL时,所有流过的流量都将与ACL语句进行比较,该语句将阻止或允许它。
定义ACL规则的标准可以是源,目的地,特定协议或更多信息。
ACL在路由器或防火墙中很常见,但是它们也可以在主机,网络设备,服务器等网络中运行的任何设备中配置它们。
一、为什么要使用ACL?
使用ACL的主要思想是为您的网络提供安全性。没有它,任何流量都将被允许进入或退出,使其更容易受到有害和危险流量的攻击。
为了提高ACL的安全性,您可以例如拒绝特定的路由更新或提供流量控制。
如在下面的图所示,路由设备具有被拒绝访问主机的ACL Ç到金融网络,并在同一时间,它被允许访问主机d。
使用ACL,您可以过滤单个或一组IP地址或不同协议(例如TCP或UDP)的数据包。
因此,例如,您可以拒绝访问整个网络而只允许一个主机,而不是只阻止工程团队中的一台主机。或者,您也可以限制对主机C的访问。
如果主机C的工程师需要访问金融网络中的Web服务器,则只能允许端口80,并阻止其他所有端口。
您可以在哪里放置ACL?
面向未知外部网络(例如Internet)的设备需要一种方法来过滤流量。因此,配置ACL的最佳位置之一是在边缘路由器上。
可以将具有ACL的路由设备面向Internet并连接DMZ(非军事区),该区是划分公用Internet和专用网络的缓冲区。
DMZ保留给需要外部访问的服务器,例如Web服务器,应用程序服务器,DNS服务器,VPN等。
如下图所示,该设计显示了一个由两个设备划分的DMZ,一个将受信任的区域与DMZ分开,另一个将其与Internet(公用网络)分开。
二、ACL类型是什么?
您可以将四种类型的ACL用于不同目的,它们是标准,扩展,动态,自反和基于时间的ACL。
1.标准ACL
标准ACL旨在仅使用源地址来保护网络。
它是最基本的类型,可以用于简单的部署,但是不幸的是,它不能提供强大的安全性。思科路由器上的标准ACL的配置如下:
2.扩展ACL
使用扩展的ACL,您还可以阻止单个主机或整个网络的源和目标。
您还可以使用扩展的ACL根据协议信息(IP,ICMP,TCP,UDP)过滤流量。
思科路由器中用于TCP 的扩展ACL的配置如下:
3.动态ACL
动态ACL依赖于扩展ACL,Telnet和身份验证。这种类型的ACL通常称为“锁定和钥匙”,可用于特定的时间范围。
仅当用户通过Telnet对设备进行身份验证时,这些列表才允许用户访问源或目标。
以下是Cisco路由器中动态ACL的配置。
4.自反ACL
自反ACL也称为IP会话ACL。这些类型的ACL会根据上层会话信息过滤流量。
它们对路由器内部发起的会话做出反应,以允许出站流量还是限制入站流量。路由器识别出站ACL通信,并为入站创建新的ACL条目。
会话结束后,该条目将被删除。
思科路由器中自反ACL的配置如下:
转载请注明:小猪云服务器租用推荐 » acl是什么?其原理是什么?