acl包過濾技術實驗原理

A. 包過濾防火牆的過濾規則

包過濾防火牆檢查每一個傳入包，查看包中的源地址、目的地址、TCP/IP埠號、傳回輸協議等，然後將這些信答息與設立的規則相比較。在包過濾防火牆中，定義數據包過濾規則的一般是ACL（AccessControlList，訪問控制列表）。包過濾防火牆檢查每一個傳入包，查看包中的源地址、目的地址、TCP/IP埠號、傳輸協議等，然後將這些信息與設立的規則相比較。

B. 防火牆的起源

第一代防火牆——包過濾防火牆
包過濾指在網路層對每一個數據包進行檢查，根據配置的安全策略來轉發或拒絕數據包。

包過濾防火牆的基本原理是：通過配置ACL（Access Control List，訪問控制列表）實施數據包的過濾。實施過濾主要是基於數據包中的源/目的IP地址、源/目的埠號、IP標識和報文傳遞的方向等信息。

第一代防火牆的設計簡單，非常易於實現，而且價格便宜，但其缺點不容忽視，主要表現在：

l 隨著ACL復雜度和長度的增加，其過濾性能成指數下降趨勢；

l 靜態的ACL規則難以適應動態的安全要求；

l 包過濾不檢查會話狀態也不分析數據，即不能對用戶級別進行過濾，這容易讓黑客矇混過關。例如，攻擊者可以使用假冒地址進行欺騙，通過把自己主機IP地址設成一個合法主機IP地址，就能很輕易地通過報文過濾器。

2. 第二代防火牆——代理防火牆
代理服務作用於網路的應用層，其實質是把內部網路和外部網路用戶之間直接進行的業務由代理接管。代理檢查來自用戶的請求，認證通過後，該防火牆將代表客戶與真正的伺服器建立連接，轉發客戶請求，並將真正伺服器返回的響應回送給客戶。

代理防火牆能夠完全控制網路信息的交換，控制會話過程，具有較高的安全性，但其缺點同樣突出，主要表現在：

l 軟體實現限制了處理速度，易於遭受拒絕服務攻擊；

l 需要針對每一種協議開發應用層代理，升級很困難。

3. 第三代防火牆——狀態防火牆
狀態分析技術是包過濾技術的擴展（非正式的也可稱為「動態包過濾」）。基於連接狀態的包過濾在進行數據包的檢查時，將每個數據包看成是獨立單元的同時，還要考慮前後報文的歷史關聯性。

基本原理簡述如下：

l 狀態防火牆使用各種狀態表來追蹤激活的TCP（Transmission Control Protocol）會話和UDP（User Datagram Protocol）偽會話（在處理基於UDP協議包時為UDP建立虛擬連接，以對UDP連接過程進行狀態監控的會話過程），由ACL表來決定哪些會話允許建立，只有與被允許會話相關聯的數據包才被轉發。

l 狀態防火牆在網路層截獲數據包，然後從各應用層提取出安全策略所需要的狀態信息，並保存到動態狀態表中，通過分析這些狀態表和與該數據包有關的後續連接請求來做出恰當決定。

從外部網路向內看，狀態防火牆更像一個代理系統（任何外部服務請求都來自於同一主機），而由內部網路向外看，狀態防火牆則像一個包過濾系統（內部用戶認為他們直接與外部網交互）。

狀態防火牆具有以下優點：

l 速度快。狀態防火牆對數據包進行ACL檢查的同時，可以將包連接狀態記錄下來，後續包則無需再通過ACL檢查，只需根據狀態表對新收到的報文進行連接記錄檢查即可。檢查通過後，該連接狀態記錄將被刷新，從而避免重復檢查具有相同連接狀態的包。連接狀態表裡的記錄可以隨意排列，這點與記錄固定排列的ACL不同，於是狀態防火牆可採用諸如二叉樹或哈希（hash）等演算法進行快速搜索，提高了系統的傳輸效率。

l 安全性較高。連接狀態清單是動態管理的，會話完成時防火牆上所創建的臨時返回報文入口隨即關閉，這保障了內部網路的實時安全。同時，狀態防火牆採用實時連接狀態監控技術，通過在狀態表中識別諸如應答響應等連接狀態因素，增強了系統的安全性。

C. 實現包過濾的核心技術是A.acl B.dhcp C.udp D.ip

A
ACL：訪問控製表
DHCP：動態主機配置協議
UDP和IP我就不解釋了吧

D. 請分析訪問控制列表（ACL）與包過濾防火牆的區別

ACL一般用在交換機和路由器上，應用的時候是有方向的（入方向或者出方向），我們知道數據包是有來有回的，acl只能做到單向訪問限制。比如交換機上配了2個vlan，vlan10和vlan20，vlan10的192.168.10.1訪問vlan20的192.168.20.1，如果在vlan10上啟用acl應用在inbound方向，策略為允許192.168.10.1訪問192.168.20.1，然後又在vlan20上啟用acl應用在inbound方向，策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應為從192.168.10.1ping192.168.20.1去的時候是可以到達的，但是回來的時候就讓vlan20上的acl給阻止了。
但是如果交換機換成防火牆就不一樣了，防火牆是基於5元組的包過濾的方式實現的訪問控制，如果是上面同樣的配置，那麼結果就是192.168.10.1能訪問192.168.20.1，反過來就不通了。
因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標記，能去就能會，這是跟acl的本質區別，能記錄數據的來回，而acl做不到。
手打，謝謝。

E. 企業級交換機acl數據包過濾靠協議嗎

不是，是靠 ip地址 埠號來過濾的。

F. 請分析訪問控制列表（ACL）與包過濾防火牆的區別

包過濾防火牆是個概念，通過ACL來實現的，後來包過濾防火牆集成到包括路由器啊，交換機上，包括現在的防火牆中。

G. 配置訪問控制列表必須作的配置是什麼

配置抄訪問控制列表必須作的配置是：定義訪問控制列表；在介面上應用訪問控制列表；啟動防火牆對數據包過濾。

訪問控制列表(ACL)是一種基於包過濾的訪問控制技術，它可以根據設定的條件對介面上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機，藉助於訪問控制列表，可以有效地控制用戶對網路的訪問，從而最大程度地保障網路安全。

(7)acl包過濾技術實驗原理擴展閱讀：

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段；在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等。

ARG3系列路由器支持兩種匹配順序：配置順序和自動排序。配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。通過設置步長，使規則之間留有一定的空間。默認步長是5。路由器匹配規則時默認採用配置順序。自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序。

H. 包過濾技術的基本規則和原理是什麼

摘要
隨著網路技術的不斷發展，出現了大量的基於網路的服務，網路安全問題也就變得越來越重要。ACL即訪問控制列表，它是工作在OSI參考模型三層以上設備，通過對數據包中的第三、四層中的包頭信息按照給定的規則進行分析，判斷是否轉發該數據包。基於ACL的網路病毒的過濾技術在一定程度上可以比較好的保護區域網用戶免遭外界病毒的干擾，是一種比較好的中小型區域網網路安全控制技術。
本設計重點從計算機網路病毒的出現、基本特徵以及發展現狀的角度出發，比較深入的研究了相關網路安全技術，深入分析了當前幾種嚴重影響網路性能的網路病毒，結合ACL的工作原理，制定了相應的訪問控制規則列表，並且通過模擬實驗，對ACL的可行性進行了相應的測試。

關鍵詞：ACL 訪問控制列表 網路安全 路由器 防火牆
目錄
中文摘要 2
ABSTRACT 3
1． 緒言 4
1.1 計算機病毒的出現 4
1.2 反病毒的發展 4
1.2.1 病毒製造者的心態分析 4
1.2.2 反病毒行動 5
2． ACL的發展，現狀，將來 8
2.1 什麼是ACL 8
2.1.1 ACL的工作流程及分類 8
2.1.2 ACL應用舉例 10
2.2 當前的網路安全技術 10
2.3 ACL的未來 14
3． 基於ACL的網路病毒過濾的研究 16
3.1 "計算機病毒"的分類 16
3.2 部分病毒檔案 16
3.2.1 示例一：Worm.Msblast 17
3.2.2 示例二：Worm.Sasser 18
3.2.3 示例三：Worm.SQLexp.376 19
3.2.4 示例四：Worm_Bagle.BE 20
3.2.5 示例五：Worm.MyDoom 21
3.2.6 示例六：Code Red & Code Red II 23
3.2.7 示例七：Worm.Nimda 24
4． 基於網路病毒過濾的ACL規則的制定與測試 27
4.1 制定基於網路病毒過濾的ACL規則 27
4.2 ACL規則實驗室測試 27
結束語 30
致謝 32
參考文獻 33
附錄 1 34
附錄 2 35