acl包过滤技术实验原理

A. 包过滤防火墙的过滤规则

包过滤防火墙检查每一个传入包，查看包中的源地址、目的地址、TCP/IP端口号、传回输协议等，然后将这些信答息与设立的规则相比较。在包过滤防火墙中，定义数据包过滤规则的一般是ACL（AccessControlList，访问控制列表）。包过滤防火墙检查每一个传入包，查看包中的源地址、目的地址、TCP/IP端口号、传输协议等，然后将这些信息与设立的规则相比较。

B. 防火墙的起源

第一代防火墙——包过滤防火墙
包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数据包。

包过滤防火墙的基本原理是：通过配置ACL（Access Control List，访问控制列表）实施数据包的过滤。实施过滤主要是基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。

第一代防火墙的设计简单，非常易于实现，而且价格便宜，但其缺点不容忽视，主要表现在：

l 随着ACL复杂度和长度的增加，其过滤性能成指数下降趋势；

l 静态的ACL规则难以适应动态的安全要求；

l 包过滤不检查会话状态也不分析数据，即不能对用户级别进行过滤，这容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。

2. 第二代防火墙——代理防火墙
代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，认证通过后，该防火墙将代表客户与真正的服务器建立连接，转发客户请求，并将真正服务器返回的响应回送给客户。

代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性，但其缺点同样突出，主要表现在：

l 软件实现限制了处理速度，易于遭受拒绝服务攻击；

l 需要针对每一种协议开发应用层代理，升级很困难。

3. 第三代防火墙——状态防火墙
状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）。基于连接状态的包过滤在进行数据包的检查时，将每个数据包看成是独立单元的同时，还要考虑前后报文的历史关联性。

基本原理简述如下：

l 状态防火墙使用各种状态表来追踪激活的TCP（Transmission Control Protocol）会话和UDP（User Datagram Protocol）伪会话（在处理基于UDP协议包时为UDP建立虚拟连接，以对UDP连接过程进行状态监控的会话过程），由ACL表来决定哪些会话允许建立，只有与被允许会话相关联的数据包才被转发。

l 状态防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到动态状态表中，通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。

从外部网络向内看，状态防火墙更像一个代理系统（任何外部服务请求都来自于同一主机），而由内部网络向外看，状态防火墙则像一个包过滤系统（内部用户认为他们直接与外部网交互）。

状态防火墙具有以下优点：

l 速度快。状态防火墙对数据包进行ACL检查的同时，可以将包连接状态记录下来，后续包则无需再通过ACL检查，只需根据状态表对新收到的报文进行连接记录检查即可。检查通过后，该连接状态记录将被刷新，从而避免重复检查具有相同连接状态的包。连接状态表里的记录可以随意排列，这点与记录固定排列的ACL不同，于是状态防火墙可采用诸如二叉树或哈希（hash）等算法进行快速搜索，提高了系统的传输效率。

l 安全性较高。连接状态清单是动态管理的，会话完成时防火墙上所创建的临时返回报文入口随即关闭，这保障了内部网络的实时安全。同时，状态防火墙采用实时连接状态监控技术，通过在状态表中识别诸如应答响应等连接状态因素，增强了系统的安全性。

C. 实现包过滤的核心技术是A.acl B.dhcp C.udp D.ip

A
ACL：访问控制表
DHCP：动态主机配置协议
UDP和IP我就不解释了吧

D. 请分析访问控制列表（ACL）与包过滤防火墙的区别

ACL一般用在交换机和路由器上，应用的时候是有方向的（入方向或者出方向），我们知道数据包是有来有回的，acl只能做到单向访问限制。比如交换机上配了2个vlan，vlan10和vlan20，vlan10的192.168.10.1访问vlan20的192.168.20.1，如果在vlan10上启用acl应用在inbound方向，策略为允许192.168.10.1访问192.168.20.1，然后又在vlan20上启用acl应用在inbound方向，策略为192.168.20.1拒绝访问192.168.10.1。这种情况下其实两边都是不通的。应为从192.168.10.1ping192.168.20.1去的时候是可以到达的，但是回来的时候就让vlan20上的acl给阻止了。
但是如果交换机换成防火墙就不一样了，防火墙是基于5元组的包过滤的方式实现的访问控制，如果是上面同样的配置，那么结果就是192.168.10.1能访问192.168.20.1，反过来就不通了。
因为192.168.10.1去访问192.168.20.1的时候这条会话会别标记，能去就能会，这是跟acl的本质区别，能记录数据的来回，而acl做不到。
手打，谢谢。

E. 企业级交换机acl数据包过滤靠协议吗

不是，是靠 ip地址 端口号来过滤的。

F. 请分析访问控制列表（ACL）与包过滤防火墙的区别

包过滤防火墙是个概念，通过ACL来实现的，后来包过滤防火墙集成到包括路由器啊，交换机上，包括现在的防火墙中。

G. 配置访问控制列表必须作的配置是什么

配置抄访问控制列表必须作的配置是：定义访问控制列表；在接口上应用访问控制列表；启动防火墙对数据包过滤。

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

(7)acl包过滤技术实验原理扩展阅读：

访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段；在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

ARG3系列路由器支持两种匹配顺序：配置顺序和自动排序。配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。通过设置步长，使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。

H. 包过滤技术的基本规则和原理是什么

摘要
随着网络技术的不断发展，出现了大量的基于网络的服务，网络安全问题也就变得越来越重要。ACL即访问控制列表，它是工作在OSI参考模型三层以上设备，通过对数据包中的第三、四层中的包头信息按照给定的规则进行分析，判断是否转发该数据包。基于ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰，是一种比较好的中小型局域网网络安全控制技术。
本设计重点从计算机网络病毒的出现、基本特征以及发展现状的角度出发，比较深入的研究了相关网络安全技术，深入分析了当前几种严重影响网络性能的网络病毒，结合ACL的工作原理，制定了相应的访问控制规则列表，并且通过模拟实验，对ACL的可行性进行了相应的测试。

关键词：ACL 访问控制列表 网络安全 路由器 防火墙
目录
中文摘要 2
ABSTRACT 3
1． 绪言 4
1.1 计算机病毒的出现 4
1.2 反病毒的发展 4
1.2.1 病毒制造者的心态分析 4
1.2.2 反病毒行动 5
2． ACL的发展，现状，将来 8
2.1 什么是ACL 8
2.1.1 ACL的工作流程及分类 8
2.1.2 ACL应用举例 10
2.2 当前的网络安全技术 10
2.3 ACL的未来 14
3． 基于ACL的网络病毒过滤的研究 16
3.1 "计算机病毒"的分类 16
3.2 部分病毒档案 16
3.2.1 示例一：Worm.Msblast 17
3.2.2 示例二：Worm.Sasser 18
3.2.3 示例三：Worm.SQLexp.376 19
3.2.4 示例四：Worm_Bagle.BE 20
3.2.5 示例五：Worm.MyDoom 21
3.2.6 示例六：Code Red & Code Red II 23
3.2.7 示例七：Worm.Nimda 24
4． 基于网络病毒过滤的ACL规则的制定与测试 27
4.1 制定基于网络病毒过滤的ACL规则 27
4.2 ACL规则实验室测试 27
结束语 30
致谢 32
参考文献 33
附录 1 34
附录 2 35