论文范文网-权威专业免费论文范文资源下载门户!
当前位置:毕业论文格式范文>研究生论文>范文阅读
快捷分类:

关于自反论文范文 自反ACL和ACLestablished参数项的流量控制相关论文写作参考文献

分类:研究生论文 原创主题:自反论文 更新时间:2023-12-21

自反ACL和ACLestablished参数项的流量控制是关于对不知道怎么写自反论文范文课题研究的大学硕士、相关本科毕业论文自反论文开题报告范文和文献综述及职称论文的作为参考文献资料下载。

[摘 要]在网络管理中,一方面要做好日常的维护工作保持网络时刻畅通,另一方面还要确保网络的安全,并需要对网络中的流量进行控制.Cisco的访问控制列表(access control list,ACL)就提供了这一安全机制,标准ACL根据数据包中的源地址过滤数据包,扩展ACL可以基于源地址、目标地址、协议及其端口号等信息过滤数据包,更准确的把握过滤内容即实现流量控制.本文通过对路由器访问控制列表基本原理,配置原则及实现功能的介绍,探讨了命名访问控制列表中特有自反列表技术,实现流量控制,以提高网络资源安全性.

[关键词]ACL;established;自反ACL;网络安全

在网络日益开放的今天,各类网络病毒及网络攻击大量出现,内部网络的数据及其安全性也亟待解决,但如何保证数据资源的安全性已经成为公司的战略问题.网络安全采用的技术手段有很多,而通过访问控制列表对数据包进行过滤,是实现网络安全的基本手段之一.

一、访问控制列表及基本原理

ACL(access control list)是指应用到路由器或者三层交换机接口上的指令列表,通常称为访问控制列表.ACL根据定义的一系列规则过滤数据包,即允许或者拒绝数据包通过接口.ACL使得网络资源允许合法授权用户使用,避免非法用户访问.它通常用于局域网部门之间控制网络流量.

ACL一般分为最基本的两大类标准ACL和扩展ACL,另外还有命名ACL、基于时间ACL、动态ACL和自反ACL几种,这些ACL都是在两大基本列表发展而来,不同场合应用不同种类的ACL.标准ACL根据数据包中的源地址过滤数据包,扩展ACL可以基于源地址、目标地址、协议及其端口号等信息过滤数据包,更准确的把握过滤内容,提高网络安全性能.

二、自反ACL功能及应用场景

自反ACL允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址.这样您可以更加严格地控制哪些流量能进入您的网络,并提升了扩展访问列表的能力.网络管理员使用自反ACL允许从内部网络发起的会话的IP流量,同时拒绝外部网络发起的IP流量.此类ACL使路由器能动态管理会话流量.路由器检查出站流量,当发现新的连接时,便会在临时ACL中添加条目以允许应答流量进入.自反ACL仅包含临时条目.当新的IP会话开始时(例如,数据包出站),这些条目会自动创建,并在会话结束时自动删除.

在实现网络安全的策略中,当在出口网关路由上配置了ACL,拒绝INTERNET的数据访问LAN时,会导致LAN访问外部INIERNET的回包没办法通过网关进入LAN,导致LAN无法访问外网,如图2-1.这种情况下为了识别内部网络发起的IP流量,同时拒绝外部网络发起的IP流量就必须使用自反访问控制列表实现.

三、扩展访问控制列表的established参数的局限性

带established参数的扩展ACL相比,自反ACL能够提供更为强大的会话过滤.尽管在概念上与established 参数相似,但自反ACL还可用于不含ACK或RST位的UDP和ICMP.established选项还不能用于会动态修改会话流量源端口的应用程序.Permit established 语句仅检查ACK和RST位,而不检查源和目的地址.

Established参数只有当这个会话是TCP建立连接之后才进行匹配,通俗的讲内部网络发起的TCP会话出去,established初始会话初始值假设为0,外部应答包的返回值应该加1返回,应当以返回的标志比特位进行验证,凡是返回值为1的就认为是内部发出去回来的允许进入内网.相反外部网络发起的会话初始值是0,就拒绝掉该数据包进入内网,从而达到防治外部网络主动攻击内网的行为.如:

permit tcp host 23.0.0.3 eq telnet host 23.0.0.2 established 这条语句表示允许23.0.0.3用自己的23号端口对23.0.0.2的TCP请求进行回复.这条语句也可以换一种写法: permit tcp host 23.0.0.3 eq telnet host 23.0.0.2 ack rst (如图3-1TCP包首部)

理论上可以实现我们的控制效果,但是在实际应用中我们的TCP等报文头部信息特别容易伪装,目前有很多的修改头部信息的软件,快速修改报文信息可以通过Permit established 语句的检查,还有一个重要特点是非TCP报文是没有established,比如ICMP报文的回包是没办法控制的,因此扩展访问控制列表的established存在很大的局限性,所以这种方法还是没根本解决我们控制危险流量的目的.

四、自反ACL应用

如何应用自反ACL实现控制外部流量的目的呢?下面我们分析自反ACL的用法.自反ACL本质是由三个ACL组成:一内网允许出去的ACL,二外网拒绝所有的ACL ,三外部自动生成的返回ACL组成.

1)建立一个命名的访问控制列表R2(config)#ip access-list extended R1-R3

2)嵌入命名的ACL中的自反列表R2(config-ext-nacl)#permit ip any any reflect network

3)在接口e0/0的in方向应用列表R2(config-if)#ip access-group R1-R3 in

4)创建一个命名的列表R2(config)#ip access-list extended deny-all

5)设置自反列表对应项R2(config-ext-nacl)#evaluate network

6)设置列表规则R2(config-ext-nacl)#deny ip any any

总结:这是一篇与自反论文范文相关的免费优秀学术论文范文资料,为你的论文写作提供参考。

参考文献:

1、 基于工程项期造价控制 摘 要:我国工程造价管理方式一直在不断发展和完善,计价模式也得到改善,但整个工程造价行业发展水平与当前经济社会发展水平仍然存在一定差距,还存在一。

2、 建筑工程项期成本控制策略 【摘要】结合建筑工程的特点来讲,工程效益主要取决于项目成本。所以,站在提升效益的角度考虑,建筑工程中非常重视对于成本的管控,但由于具体采用的方法。

3、 八项重点任务深化泛珠三角区域合作 推动泛珠三角区域合作向更高层次、更深领域、更广范围发展国务院日前印发《关于深化泛珠三角区域合作的指导意见》(以下简称《意见》),推动泛珠三角区。

4、 关于港口企业应收款项管理 摘要:随着我国经济的快速发展,港口企业也得到了更好的发展,逐渐变成了以提供码头服务为主业、其他产业并进的多元化经营主体。随着港口企业的快速发展,。

5、 风云四号卫星发射成功突破20多项核心技术 12月11日凌晨0点11分,西昌卫星发射中心使用长征三号乙运载火箭成功将风云四号卫星送上太空。据了解,本次发射成功的风云四号卫星成功突破了代表国。

6、 陇县审计局五项举措强化干部培训工作 陇县审计局积极有效地开展了形式多样的干部培训工作。一是以审代训。打破股室界线,各行业交叉审计,培养一专多能的审计人才。二是集中学习。年初制定学习。