访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
最小特权原则:只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不允许通过规则的
最靠近受控对象原则:所有的网络层访问权限控制。也就是说在检查规则是采用自上向下在访问控制列表中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的访问控制列表语句。
默认丢弃原则:在Cisco路由器交换设备中默认最后一句为访问控制列表中加入了deny any any ,也就是丢弃所有不符合条件的数据包。
由于访问控制列表是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
访问控制列表是基于接口进行规则的应用,分为入栈应用和出栈应用。入栈应用是指由外部经该接口进入路由器的数据包进行过滤;出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
NAT网络地址转换是指将网络地址从一个地址空间转换为另一个地址空间的行为。NAT将网络分为内部网络和外部网络两部分。局域网(内部网络)主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联IP地址)后转发数据包。
由于IPv4的限制,Internet面临着IP地址空间短缺的问题,申请并给局域网的每个节点分配一个合法IP地址是不现实的,NAT技术能较好解决现阶段IPv4地址短缺的问题,通过NAT技术将局域网内部自行定义的私有IP地址转换为Internet上可识别的合法地址。
NAT主要分为两种类型:NAT(网络地址转换)和NAPT(网络地址端口转换)。NAT是实现一个本地地址对应一个全局地址,NAPT是实现多个本地地址对应一个全局地址,并通过端口号进行区分。
暂无评论内容