❶ 路由器上用ACL和用防火墙有什么区别
两种设备产生和存在的背景不同
1、两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2、根本目的不同
路由器的根本目的是:保持网络和数据的“通”。
防火墙根本的的目的是:保证任何非允许的数据包“不通”。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
❷ 交换机中ACL有哪些种类根据数据包的哪些类型来定义规则,进行数据包的过滤
1.只要是tcp或者udp或者ip报文中有的都可以设置acl访问控制列表。
2.常见的是ip和端口号。
3. ip数据包. tcp数据包,udp数据包。
❸ ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包...
你好。
前半句:其他地方来的途经路由器的数据包,路由器会根据ACL过滤。版
后半句:路由权器自己会产生很多数据包(比如icmp数据包,链路状态通告,路由表通告等等),自己发出的数据包,就直接按目标地址发送出去了。
❹ ACL过滤和MAC过滤有什么不一样
ACL过滤:访问控制列来表(源Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
MAC过滤:MAC地址过滤功能通过MAC地址允许或拒绝无线网络中的计算机访问广域网,有效控制无线网络内用户的上网权限。
❺ ACL通过哪几个参数过滤数据包
ip
mac
头部数据报文
协议类型
❻ 使用什么类型的acl 过滤到一台路由器控制平面的数据
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
❼ acl 主要用于过滤流量.acl 有哪两项额外用途
访问控制列表的作用 访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。 建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。 IP访问控制列表的分类 标准IP访问控制列表 当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问控制列表 扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。 命名访问控制列表 在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。 通配符掩码 通配符掩码是一个32比特位的数字字符串,它被用点号分成4个8位组,每组包含8比特位。在通配符掩码位中,0表示“检查相应的位”,1表示“不检查相应的位”。通配符掩码与IP地址是成对出现的,通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中,数字1和0用来决定是网络、子网,还是相应的主机的IP地址。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。 在通配符掩码中,可以用255.255.255.255表示所有IP地址,因为全为1说明所有32位都不检查相应的位,这是可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。所以在访问控制列表中,可以选择其中一种表示方法来说明网络、子网或主机。 实现方法 首先在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理,它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配,则继续检测列表中的下一个语句。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。 标准IP访问控制列表 在实现过程中应给每一条访问控制列表加上相应的编号。标准IP访问控制列表的编号为1至99,作用是阻止某一网络的所有通信流量,或允许某一网络的所有通信流量。语法为: Router(config)#access-list access-list-number(1~99) {denypermit} source [source-wildcard] 如果没有写通配符掩码,则默认值会根据源地址自动进行匹配。下面举例来说明:要阻止源主机为 192.168.0.45的一台主机通过E0,而允许其他的通讯流量通过E0端口。Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0或Router(config)#access-list 1 deny host 192.168.0.45或Router(config)#access-list 1 deny 192.168.0.45Router(config)#access-list 1 permit anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 1 in 首先我们在全局配置模式下定义一条拒绝192.168.0.45主机通过的语句,通配符掩码可以使用0.0.0.0或host,或使用缺省值来表示一台主机,然后将其访问列表应用到接口中。如果现在又修改了计算机的IP地址,那么这条访问控制列表将对您不起作用。 扩展IP访问控制列表 扩展IP访问控制列表的编号为100至199,并且功能更加灵活。例如,要阻止192.168.0.45主机Telnet流量,而允许Ping流量。 Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 anyRouter(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 in 因为Ping命令使用网络层的ICMP协议,所以让ICMP协议通过。而Telnet使用端口23,所以将端口号为23的数据包拒绝了,最终应用到某一接口,这样就可以达到目的。 命名访问控制列表 对于某一给定的协议,在同一路由器上有超过99条的标准ACL,或有超过100条的扩展ACL。想要通过一个字母数字串组成的名字来直观地表示特定的ACL时,并且路由器的IOS版本在11.2及以上时,可以使用命名访问控制列表,也就是用某些字符串来取代标准与扩展ACL的访问列表号。命名访问控制列表的语法格式为: Router(config)#ip access-list {standardextended} name 在ACL配置模式下,通过指定一个或多个允许或拒绝条件,来决定一个数据包是允许通过还是被丢弃。语法格式如下: Router(config{std-ext-}nacl)#{permitdeny} {source [source-wildcad]any} 下面是一个配置实例: ip access-list extended nyistpermit tcp 172.16.0.0 0.0.255.255 any eq 23deny tcp any anydeny udp 172.16.0.0 0.0.255.255 any lt 1024interface Ethernet 0ip access-group nyist in 基于时间访问列表的应用 随着网络的发展和用户要求的变化,从IOS12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。 基于时间访问列表的设计中,用time-range 命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围。IOS命令格式为: time-range time-range-name absolute[start time date] [end time date]periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下面分别来介绍一下每个命令和参数的详细情况: time-range 用来定义时间范围的命令。 time-range-name 时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用。 absolute该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm表示,日期要按照日/月/年来表示。如果省略start及其后面的时间,则表示与之相联系的permit或deny语句立即生效,并一直作用到end处的时间为止。如果省略end及其后面的时间,则表示与之相联系的permit或deny语句在start处表示的时间开始生效,并且一直进行下去。 periodic主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。 下面我们来看一个实例:在一个网络中,路由器的以太网接口E0连接着202.102.240.0网络,还有一个串口S0连入Internet。为了让202.102.240.0网络内的公司员工在工作时间内不能进行WEB浏览,从2003年5月1日1时到2003年5月31日晚24时这一个月中,只有在周六早7时到周日晚10时才可以通过公司的网络访问Internet。 我们通过基于时间的扩展访问控制列表来实现这一功能: Router# config tRouter(config)# interface Ethernet 0Router(config-if)#ip access-group 101 inRouter(config-if)#time-range httpRouter(config-if)#absolute start 1:00 1 may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 我们是在一个扩展访问列表的基础上,再加上时间控制就达到了目的。因为是控制WEB访问的协议,所以必须要用扩展列表,那么编号需在100至199之间。我们定义了这个时间范围的名称是http,这样,我们就在列表中的最后一句方便地引用了。 合理有效地利用基于时间的访问控制列表,可以更有效、更安全、更方便地保护我们的内部网络,这样您的网络才会更安全,网络管理人员也会更加轻松。 检验 在路由器中用show running-config命令检查当前正在运行的配置文件,用show ip access-list命令来查看访问控制列表,并在计算机的命令提示符下用Ping/Telnet命令进行测试。
❽ 关于ACL审计软件
我在找到了 acl的技术支持邮箱,发了信问,但她们把我的咨询邮件退了回来,看来要电话联络才行。:)
❾ 使用标准的ACL过滤所有源IP地址为私有地址的数据的命令怎么写
标准访问列表只能写地址或默认的子网,你这个需求需要用扩展访问列表
access-list
111
deny
ip
192.168.0.0
0.0.0.255
any
access-list
111
deny
ip
10.0.0.0
0.255.255.255
any
access-list
111
deny
ip
172.16.0.0
0.15.255.255
any
access-list
111
permit
ip
any
any
❿ Cisco 标准 ACL 是如何过滤流量的
ACL是用来匹配流量的 如果要过滤需要用其他策略 比如route-map