❶ 路由器上用ACL和用防火牆有什麼區別
兩種設備產生和存在的背景不同
1、兩種設備產生的根源不同
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。
2、根本目的不同
路由器的根本目的是:保持網路和數據的「通」。
防火牆根本的的目的是:保證任何非允許的數據包「不通」。
二、核心技術的不同
Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。
一個最為簡單的應用:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-》內 只允許client訪問 server的tcp 1455埠,其他拒絕。
針對現在的配置,存在的安全脆弱性如下:
1、IP地址欺騙(使連接非正常復位)
2、TCP欺騙(會話重放和劫持)
存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火牆,由於NetEye防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP的序列號,則可以徹底消除這樣的脆弱性。同時,NetEye 防火牆的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證資料庫,可以完全與第三方的認證伺服器進行互操作,並能夠實現角色的劃分。
雖然,路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。
三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye 防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。
四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。
由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。
五、審計功能的強弱差異巨大
路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。
NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye 防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye 防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye 防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。
六、防範攻擊的能力不同
對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出:
·具有防火牆特性的路由器成本 > 防火牆 + 路由器
·具有防火牆特性的路由器功能 < 防火牆 + 路由器
·具有防火牆特性的路由器可擴展性 < 防火牆 + 路由器
綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求!
即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
❷ 交換機中ACL有哪些種類根據數據包的哪些類型來定義規則,進行數據包的過濾
1.只要是tcp或者udp或者ip報文中有的都可以設置acl訪問控制列表。
2.常見的是ip和埠號。
3. ip數據包. tcp數據包,udp數據包。
❸ ACL只能過濾穿過路由器的數據流量,不能過濾由本路由器上發出的數據包...
你好。
前半句:其他地方來的途經路由器的數據包,路由器會根據ACL過濾。版
後半句:路由權器自己會產生很多數據包(比如icmp數據包,鏈路狀態通告,路由表通告等等),自己發出的數據包,就直接按目標地址發送出去了。
❹ ACL過濾和MAC過濾有什麼不一樣
ACL過濾:訪問控制列來表(源Access Control List,ACL) 是路由器和交換機介面的指令列表,用來控制埠進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
MAC過濾:MAC地址過濾功能通過MAC地址允許或拒絕無線網路中的計算機訪問廣域網,有效控制無線網路內用戶的上網許可權。
❺ ACL通過哪幾個參數過濾數據包
ip
mac
頭部數據報文
協議類型
❻ 使用什麼類型的acl 過濾到一台路由器控制平面的數據
訪問控制列表(Access Control List,ACL) 是路由器和交換機介面的指令列表,用來控制埠進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
信息點間通信和內外網路的通信都是企業網路中必不可少的業務需求,為了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網路資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網路中的流量,是控制訪問的一種網路技術手段。
❼ acl 主要用於過濾流量.acl 有哪兩項額外用途
訪問控制列表的作用 訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕,可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表,ACL可以當作一種網路控制的有力工具,用來過濾流入和流出路由器介面的數據包。 建立訪問控制列表後,可以限制網路流量,提高網路性能,對通信流量起到控制的手段,這也是對網路訪問的基本安全手段。在路由器的介面上配置訪問控制列表後,可以對入站介面、出站介面及通過路由器中繼的數據包進行安全檢測。 IP訪問控制列表的分類 標准IP訪問控制列表 當我們要想阻止來自某一網路的所有通信流量,或者充許來自某一特定網路的所有通信流量,或者想要拒絕某一協議簇的所有通信流量時,可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址,從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。 擴展IP訪問控制列表 擴展訪問控制列表既檢查數據包的源地址,也檢查數據包的目的地址,還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址允許使用某些協議通信流量通過,而拒絕使用其他協議的流量通過。 命名訪問控制列表 在標准與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,並且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。 通配符掩碼 通配符掩碼是一個32比特位的數字字元串,它被用點號分成4個8位組,每組包含8比特位。在通配符掩碼位中,0表示「檢查相應的位」,1表示「不檢查相應的位」。通配符掩碼與IP地址是成對出現的,通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中,數字1和0用來決定是網路、子網,還是相應的主機的IP地址。如表示172.16.0.0這個網段,使用通配符掩碼應為0.0.255.255。 在通配符掩碼中,可以用255.255.255.255表示所有IP地址,因為全為1說明所有32位都不檢查相應的位,這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配,這樣只表示一個IP地址,可以用host表示。所以在訪問控制列表中,可以選擇其中一種表示方法來說明網路、子網或主機。 實現方法 首先在全局配置模式下定義訪問列表,然後將其應用到介面中,使通過該介面的數據包需要進行相應的匹配,然後決定被通過還是拒絕。並且訪問列表語句按順序、邏輯地處理,它們在列表中自上向下開始匹配數據包。如果一個數據包頭與訪問許可權表的某一語句不匹配,則繼續檢測列表中的下一個語句。在執行到訪問列表的最後,還沒有與其相匹配的語句,數據包將被隱含的「拒絕」語句所拒絕。 標准IP訪問控制列表 在實現過程中應給每一條訪問控制列表加上相應的編號。標准IP訪問控制列表的編號為1至99,作用是阻止某一網路的所有通信流量,或允許某一網路的所有通信流量。語法為: Router(config)#access-list access-list-number(1~99) {denypermit} source [source-wildcard] 如果沒有寫通配符掩碼,則默認值會根據源地址自動進行匹配。下面舉例來說明:要阻止源主機為 192.168.0.45的一台主機通過E0,而允許其他的通訊流量通過E0埠。Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0或Router(config)#access-list 1 deny host 192.168.0.45或Router(config)#access-list 1 deny 192.168.0.45Router(config)#access-list 1 permit anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 1 in 首先我們在全局配置模式下定義一條拒絕192.168.0.45主機通過的語句,通配符掩碼可以使用0.0.0.0或host,或使用預設值來表示一台主機,然後將其訪問列表應用到介面中。如果現在又修改了計算機的IP地址,那麼這條訪問控制列表將對您不起作用。 擴展IP訪問控制列表 擴展IP訪問控制列表的編號為100至199,並且功能更加靈活。例如,要阻止192.168.0.45主機Telnet流量,而允許Ping流量。 Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 anyRouter(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 in 因為Ping命令使用網路層的ICMP協議,所以讓ICMP協議通過。而Telnet使用埠23,所以將埠號為23的數據包拒絕了,最終應用到某一介面,這樣就可以達到目的。 命名訪問控制列表 對於某一給定的協議,在同一路由器上有超過99條的標准ACL,或有超過100條的擴展ACL。想要通過一個字母數字串組成的名字來直觀地表示特定的ACL時,並且路由器的IOS版本在11.2及以上時,可以使用命名訪問控制列表,也就是用某些字元串來取代標准與擴展ACL的訪問列表號。命名訪問控制列表的語法格式為: Router(config)#ip access-list {standardextended} name 在ACL配置模式下,通過指定一個或多個允許或拒絕條件,來決定一個數據包是允許通過還是被丟棄。語法格式如下: Router(config{std-ext-}nacl)#{permitdeny} {source [source-wildcad]any} 下面是一個配置實例: ip access-list extended nyistpermit tcp 172.16.0.0 0.0.255.255 any eq 23deny tcp any anydeny udp 172.16.0.0 0.0.255.255 any lt 1024interface Ethernet 0ip access-group nyist in 基於時間訪問列表的應用 隨著網路的發展和用戶要求的變化,從IOS12.0開始,思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,或二者相結合來控制網路數據包的轉發。這種基於時間的訪問列表,就是在原來的標准訪問列表和擴展訪問列表中,加入有效的時間范圍來更合理有效地控制網路。首先定義一個時間范圍,然後在原來的各種訪問列表的基礎上應用它。 基於時間訪問列表的設計中,用time-range 命令來指定時間范圍的名稱,然後用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。IOS命令格式為: time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下面分別來介紹一下每個命令和參數的詳細情況: time-range 用來定義時間范圍的命令。 time-range-name 時間范圍名稱,用來標識時間范圍,以便於在後面的訪問列表中引用。 absolute該命令用來指定絕對時間范圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其後面的時間,則表示與之相聯系的permit或deny語句立即生效,並一直作用到end處的時間為止。如果省略end及其後面的時間,則表示與之相聯系的permit或deny語句在start處表示的時間開始生效,並且一直進行下去。 periodic主要是以星期為參數來定義時間范圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。 下面我們來看一個實例:在一個網路中,路由器的乙太網介面E0連接著202.102.240.0網路,還有一個串口S0連入Internet。為了讓202.102.240.0網路內的公司員工在工作時間內不能進行WEB瀏覽,從2003年5月1日1時到2003年5月31日晚24時這一個月中,只有在周六早7時到周日晚10時才可以通過公司的網路訪問Internet。 我們通過基於時間的擴展訪問控制列表來實現這一功能: Router# config tRouter(config)# interface Ethernet 0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1:00 1 may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 我們是在一個擴展訪問列表的基礎上,再加上時間控制就達到了目的。因為是控制WEB訪問的協議,所以必須要用擴展列表,那麼編號需在100至199之間。我們定義了這個時間范圍的名稱是http,這樣,我們就在列表中的最後一句方便地引用了。 合理有效地利用基於時間的訪問控制列表,可以更有效、更安全、更方便地保護我們的內部網路,這樣您的網路才會更安全,網路管理人員也會更加輕松。 檢驗 在路由器中用show running-config命令檢查當前正在運行的配置文件,用show ip access-list命令來查看訪問控制列表,並在計算機的命令提示符下用Ping/Telnet命令進行測試。
❽ 關於ACL審計軟體
我在找到了 acl的技術支持郵箱,發了信問,但她們把我的咨詢郵件退了回來,看來要電話聯絡才行。:)
❾ 使用標準的ACL過濾所有源IP地址為私有地址的數據的命令怎麼寫
標准訪問列表只能寫地址或默認的子網,你這個需求需要用擴展訪問列表
access-list
111
deny
ip
192.168.0.0
0.0.0.255
any
access-list
111
deny
ip
10.0.0.0
0.255.255.255
any
access-list
111
deny
ip
172.16.0.0
0.15.255.255
any
access-list
111
permit
ip
any
any
❿ Cisco 標准 ACL 是如何過濾流量的
ACL是用來匹配流量的 如果要過濾需要用其他策略 比如route-map