第9讲-访问控制列表(1).ppt

武夷学院计算机系第9讲访问控制列表(1)cch内容简介本讲主要介绍以太网安全技术中的访问控制列表，讲解访问控制列表的原理与配置方法，最后讲解几个配置实例。学习目标以太网安全的基本内容访问控制列表的原理与配置配置实例以太网安全的基本内容1、该服务是否有必要运行在当前环境中；如果必要，又有哪些用户能够享用该服务。如果该服务不必要，则应当禁止该服务。因为运行一个不必要的服务，不仅会浪费网络等资源，而且会给当前的网络环境带来安全隐患。2、如果是部分用户需要，则应当为该服务规划权限，禁止无权限的用户使用该服务。3、如果某个服务仅仅在网络内部需要，则还需尽力避免该服务被网络外部访问。4、如果某个服务仅在网络外部是必须的，则管理员还应将该服务限制在网络外部。5、对于某些服务来说，即使用户能使用该服务，安全管理员也应该能监管该服务的使用情况，比如控制某服务只能在某段时间内使用，对该服务的使用量进行统计等等。例如上面的图示中，我们所看到的，在企业网内部，管理员必须清楚部门A、部门B能够访问的服务器内容，部门A和部门B相互之间能够互通的服务，各部门能够访问的企业网络外部服务，能被企业网络外部访问的服务，以及服务器的访问权限等等访问控制列表的原理与配置一、什么是访问控制列表二、流分类介绍三、访问控制列表构成一、什么是访问控制列表1、访问控制列表ACL(AccessControlList)为网络设备提供了基本的服务安全性。在使用访问控制列表之前，安全管理员必须非常清楚当前网络环境的安全规划，和潜在的安全问题。2、可用于单个接口也可用于整台交换机访问控制列表被创建后，既可以用于拒绝某些数据包经过某个交换机接口，也可用于拒绝某些数据包经过交换机的所有接口访问控制列表是否支持在单个接口上的应用要根据交换机型号而定。QuidwayS3526的访问控制列表在创建后将应用于交换机的所有端口。3、默认情况下，不使用访问控制列表交换机将允许所有的数据包经过所有接口，即不做任何转发限制。而采用访问控制列表，则交换机在转发某个数据包之前，将会参考访问控制列表中的内容以确定是否转发。4、可用于数据包分析、流量限制和流量统计最初，访问控制列表的作用仅限于决定是否转发数据包(如转发或丢弃)。管理员只能对值得怀疑的数据包做出丢弃决定，但不能监控那些存在安全隐患的数据包。QuidwayS3526提供给管理员更丰富的功能，如利用访问控制列表进行数据包分析、流量限制和流量统计。(1)包过滤(PacketFiltering)：对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不涉及会话的状态，也不分析数据，只分析数据包的包头信息。如果配置的规则合理，在这一层能够过滤掉很多有安全隐患的数据包。(2)报文监控(PacketMonitoring)一般一台设备需要一个监控端口就可以监控设备的所有端口。监控端口一般接报文／协议分析仪，用于报文／协议分析。管理员事先确定要监控的报文类型，如ICMP报文。这时进入或离开交换机的所有ICMP报文都会被拷贝到监控端口，连接到该端口的网络分析仪能同时收到该报文进行分析。(3)流量限制(CAR)：管理员可以限制某一源与目的对之间的平均报文流量。既可以是IP地址对，也可以是MAC地址对。流量限制将在两个方向上同时进行。(4)报文统计(PacketGathering)：管理员确定要统计的报文流向，即从何处而来(报文的源地址)，准备去往哪里(报文的目的地址)。这里的地址既可以是MAC地址，也可以是IP地址。而且可以统计双向的报文流量。统计结果可以是报文的字节数，也可以是报文的包数。(5)ACL在QOS等方面也有相当广泛的应用5、访问控制列表是基于报文头的，而不是基于内容。大多数访问控制列表在数据本身上不做任何事，不能基于数据流的实际内容作出操作决定。对报文过滤而言，访问控制列表只能实现：1）访问控制列表能实现：不让任何人从外界使用Telnet登录。让每个人经由SMTP向我们发送电子邮件。那台机器经由NNTP能把新闻发给我们，但是没有其它机器能这样做。2）访问控制列表不能实现如下的一些需求：某个特定用户能从外部远程登录，但是其它用户不能这样做。因为“用户”不是数据包过滤系统所能辨认的。可以发送这些文件而不是那些文件。因为“文件”也不是数据包过滤系统所能辨认的二、流分类介绍1、什么是流(flow)，即业务流。流分类，就是根据分类项将数据包划分成不同类型。对于访问控制列表ACL来说，在实现包过滤或QoS等应用之前，要做的的第一件事就是对通过网络设备的业务流进行分类。2、根据不同的流进行操作。