第四章_访问控制列表(ACL)
- 格式:ppt
- 大小:868.50 KB
- 文档页数:23


第四章防火墙访问控制列表v1.0 幻灯片 1包过滤指在网络层对每一个数据包进行检查,根据配置的安全策略来转发或拒绝数据包。
包过滤防火墙的基本原理是:通过配置ACL(Access Control List,访问控制列表)实施数据包的过滤。
实施过滤主要是基于数据包中的源/目的IP 地址、源/目的端口号、IP 标识和报文传递的方向等信息。
访问控制列表定义的数据流在防火墙上的处理规则,防火墙根据规则对数据流进行处理。
因此,访问控制列表的核心作用是:根据定义的规则对经过防火墙的流量进行筛选,由关键字确定筛选出的流量如何进行下一步操作。
在防火墙应用中,访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段,决定了后续的应用数据流是否被处理。
访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。
ACL 能够通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流,是包过滤、NAT、IPSec、QoS、策略路由等应用的基础。
访问控制列表的使用:1、访问控制列表可以用于防火墙2、访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制3、在DCC中,访问控制列表还可用来规定触发拨号的条件4、访问控制列表还可以用于地址转换5、在配置路由策略时,可以利用访问控制列表来作路由信息的过滤包过滤包过滤作为一种网络安全保护机制,用于控制在两个不同安全级别的网络之间流入和流出网络的数据。
在防火墙转发数据包时,先检查包头信息(例如包的源地址/目的地址、源端口/目的端口和上层协议等),然后与设定的规则进行比较,根据比较的结果决定对该数据包进行转发还是丢弃处理。
地址转换NAT(Network Address Translation)是将数据报报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。