精华内容
下载资源
问答
  • 在防火墙的访问控制应用中
    千次阅读
    2019-02-26 18:31:05

    一 概述
      访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
      访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
      访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
      访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。
      因此,访问控制的内容包括认证、控制策略实现和安全审计。
      (1)认证。包括主体对客体的识别及客体对主体的检验确认。
      (2)控制策略。通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。同时对合法用户,也不能越权行使权限以外的功能及访问范围。
      (3)安全审计。系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。
    1.1 原理简介
      访问控制的处理过程是获取转发数据包的报文头信息,与访问控制规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
      访问控制可以是基于 IP 地址、安全域、服务、应用、用户等条件控制流量是否可以通过防火墙。在访问策略中, 策略源定义了报文的来源, 策略源可以是地址(主机、 范围、 子网、MAC 地址)、 区域、 用户对象。 当报文的源地址属于策略源的范围, 则被认为满足策略源约束条件。
       策略目的定义了报文的目的地址范围, 可以包括一个或多个主机、 子网、或范围,也可以包括多个区域(或 VLAN) 。 策略服务定义了报文采用的网络协议或特定端口号。 策略应用定义了报文包含的应用程序。同时支持用户定义访问策略有效的时段,即访问时间,即在哪一天或哪一时段访问策略有效;支持IPv6 扩展头的访问控制(逐跳扩展头|分段扩展头|目的扩展头|认证扩展头|路由扩展头|ESP扩展头)。 访问控制定义了对满足策略的报文所采取的处理方式,包括允许(该报文被允许通过) 、禁止(丢弃该包)和认证 。
      一个报文和某一条访问策略匹配指的是:报文的源地址包含于策略源定义、报文目的地址包含于策略目的,以及报文端口包含于策略服务,如果定义了访问时间,则报文的接收时间也必须满足策略访问时间约束。 只有当一个报文完全符合策略中所规定的所有条件时,这条策略才匹配该报文。
    1.2 规则配置
      通过访问控制规则的设置对设备各个接口之间的数据转发进行控制。访问控制规则分为两部分:过滤条件和行为,过滤条件由安全域间流量的源安全域/源地址、 目的安全域/目的地址、服务类型、 时间等构成。 策略规则都有其独有的 ID 号, 策略规则 ID 会在定义规则时自动生成。 所有策略规则有特定的排列顺序,也可以设置策略规则的排列位置。
      在数据包进入系统时,系统会对数据包按照找到的第一条与过滤条件相匹配的策略规则进行处理。 同时,对于定义的策略规则,提供了对规则的分组管理功能,不同组之间的前后顺序和组内规则的排列顺序共同决定访问控制规则的匹配顺序。
    1.3 访问控制列表(Access Control List,ACL)
      访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表,表中记载了该文件的访问用户名和权隶属关系。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。当将该客体的ACL置为空,可撤消特定客体的授权访问。

    更多相关内容
  • 防火墙在网络安全访问控制中应用选择借鉴.pdf
  • 防火墙在网络安全访问控制中应用选择.pdf
  • 防火墙在网络安全访问控制中应用选择参照.pdf
  • 防火墙在网络安全访问控制中应用选择[收集].pdf
  • 基于访问控制列表的路由器防火墙在网络安全应用研究.pdf
  • 应用背景:  网络信息化已席卷全球,计算机技术应用广泛,各企业、...防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定
  • 访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址等特定指示条件来决定。通过灵活地...
  • 目前防火墙大都具有:访问控制、网络地址翻译、透明接入、用户认证、内容过滤、VPN、高可用、流量管理、计费、入侵监测、直通代理等功能,以及多种命令行、WEB界面、Windows GUI管理器的管理方法。
  • 防火墙技术原理,访问控制访问控制列表,图文并茂。
  • 网络安全中防火墙应用技术(练习题)含答案
  • 访问控制列表(ACL,Access Control List),它是由一组permit与deny语句组成的,它的作用绝不止网络上说的控制数据包进出接口这么简单,它的功能是很强大的,不然它也不会是最早的静态包过滤防火墙了。ASA防火墙只...

    目录

    一、访问控制列表基本概念

    二、实验拓扑

    三、实验步骤

    四、实验过程

    总结


    实验难度3
    实验复杂度3

     

     

    一、访问控制列表基本概念

    访问控制列表(ACL,Access Control List),它是由一组permit与deny语句组成的,它的作用绝不止网络上说的控制数据包进出接口这么简单,它的功能是很强大的,不然它也不会是最早的静态包过滤防火墙了。ASA防火墙只对进入或出接口的穿越流量进行控制,若是非穿越防火墙的流量,它是不会控制的,比如,防火墙自身流量出某个接口。ACL它是可以基于三层的源、目标IP地址,四层的源、目标端口号进行控制的。对于接口访问控制列表,它只能控制穿越流量,切记切记。所有由防火墙本身发起的流量都会被允许的。ACL的作用有很多,除大家熟知的控制数据包进出接口外,还外就是匹配网络范围,那么这个匹配网络范围有什么作用呢?有很多的用途,比如匹配相应的网络范围应用到NAT中、路由策略中、IPSec中等。相对于ASA而言,它有以下的相关特性:

    1.状态化的访问规则:

    对所有能够状态化处理的协议与应用,防火墙接口规则就会放行首个包,后面的都是放行的。

    2.接口规则与接口安全级别:

    若不应用接口访问规则到接口,那么outbound连接被允许(高安全级别流向低安全级别),反之,inbound连接都会被拒绝(低安全级别到高安全级别)

    若是存在以下连接,那么需要写ACL来明确允许:

    1.相同的安全级别之间的流量

    2.相同一个接口进出的流量

    3.在相关接口,被ACL规则控制的所有流量

    3.接口访问规则的应用方向

    1.可以在防火墙的接口上启用input与output方向的ACL,这个是可以同时启用的

    2.一般地,我们在多数情况下,都是使用input方向,这样可以确保设定的ACL可以起到作用

    3.在一些特殊的环境,output的应用规则更加容易被应用

    4.ACL的接口访问规则的相关注意事项

    1.在配置多条ACL时,建议把最精细的ACL条目(明细路由)配置在最上方,这个是最小权限分配原则

    2.建议把ACL应用在防火墙接口的入方向上

    3.不要在ACL后面放行所有流量

     

    二、实验拓扑

    三、实验步骤

    1.搭建如图所示的网络拓扑;

    2.初始化路由器,配置相应的IP地址;

    3.配置ASA的初始相关参数:

    防火墙的名称为ASA

    接口接口名称安全级别IP地址
    G0inside100192.168.100.254/24
    G1dmz50192.168.200.254/24
    G2outside050.100.200.254/24

     

     

     

     

    4.配置dmz路由器的telnet信息:

    用户名/密码,dmz/ccie,

    特权密码,ccie

    5.配置三个路由器的默认路由,下一跳都指向防火墙;

    6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;

    7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;

    8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。

    四、实验过程

    1.搭建如图所示的网络拓扑;

    这里我们只需要用于防火墙与路由器而已,过程略。

    2.初始化路由器,配置相应的IP地址;

    inside:

    dmz:

    outside:

    3.配置ASA的初始相关参数:

    防火墙的名称为ASA

    接口接口名称安全级别IP地址
    G0inside100192.168.100.254/24
    G1dmz50192.168.200.254/24
    G2outside050.100.200.254/24

     

     

     

     

    测试ASA防火墙直连网络的连通性:

    4.配置dmz路由器的telnet信息:

    用户名/密码,dmz/ccie,

    特权密码,ccie

    5.配置三个路由器的默认路由,下一跳都指向防火墙;

    6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;

    测试:

    7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;

    测试:

    这里的结果为Open,表示已经成功了,HTTP的流量已经穿越防火墙。

    8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。

    (1)配置时间范围

    (2)查看之前的ACL

    (3)应用time-range到ACL上

    (4)查看ACL的状态

    这里我们发现,这条ACL是失效了,因为它已经超过我们定义的时间范围了。

    代码解析:

    ASA(config)# access-list out-dmz extended permit tcp host 50.100.200.1  host 192.168.200.1 eq 23  //out-dmz表示这条ACL的名称,extended表示这条ACL为扩展ACL类型,permit tcp表示允许TCP协议流量类型,后面表示允许IP地址为50.100.200.1的主机远程telnet IP地址为192.168.200.1的主机

    ASA(config)# access-group out-dmz in interface outside  //调用out-dmz这条ACL语句到outside接口的入方向上

    inside(config)#ip http server   //启用路由器的http功能

    access-list out-dmz extended permit tcp host 50.100.200.1 host 192.168.200.1 eq telnet time-range time  //后面添加了一个ACL的生效时间

    ASA(config)# time-range time    //配置一条time-range的名称
    ASA(config-time-range)# periodic weekdays 9:00 to 17:00   //定义一个时间范围,这里表示周一至周五的9:00到17:00生效

    总结

    本章节的内容,中等难度吧,其实若对路由交换内容的ACL熟悉的话,这个章节的内容是很好理解的。好了,今天的内容就到了这里,我们在下一个章节再见,加油!

    展开全文
  • 主机防火墙访问控制

    千次阅读 2020-08-14 08:58:34
    防火墙有两种,一种是网络防火墙,主要部署网络的出口处,另外就是主机防火墙,是运行主机上的,主机防火墙可以阻止未授权用户通过网络访问计算机来保护您的计算机,Windows和Linux都有自带的防火墙。通过防火墙...

    一、防火墙原理

    1. 防火墙功能

    防火墙firewall:将内网区域与外部不安全网络区域隔离开来。内部网络和外部网络之间的所有网络数据流都必须经过防火墙。

    防火墙示意图

    防火墙设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的,是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙作用:
    1.强化内部网络的安全性
    防火墙可以限制非法用户,比如防止黑客、网络破坏者等进入内部网络,禁止存在安全脆弱性的服务和未授权的通信进出网络,并抗击来自各种路线的攻击。对网络存取和访问进行记录、监控作为单一的网络接入点,所有进出信息都必须通过防火墙  。
    2. 限定内部用户访问特殊站点
    防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务或网站。
    3. 限制暴露用户点,防止内部攻击
    利用防火墙对内部网络的划分,可实现网络中网段的隔离,防止影响一个网段的问题通过整个网络传播,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,同时,保护一个网段不受来自网络内部其它网段的攻击 [6]  。
    4. 网络地址转换(NAT,Network Address Translation)
    防火墙可以作为部署NAT的逻辑地址。
    5. 虚拟专用网(VPN,Virtual Private Network)
    防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。

    2. 防火墙类型

    保护对象上的分类:

        主机防火墙:针对于单个主机进行防护,是运行在主机上的,主机防火墙可以阻止未授权用户通过网络访问计算机来保护您的计算机Windows和Linux都有自带的防火墙。
        网络防火墙:往往部署于网络边界,对流入以及流出的流量进行过滤

    网络防火墙从产品形态来说可以分为软件防火墙和硬件防火墙:

        硬件防火墙:拥有经过特别设计的硬件及芯片,性能高、成本高
        软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低、成本低

    防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务等。

    3. 防火墙规则与配置

    防火墙的作用是防止不希望的、 未授权的通信进出被保护的网络。

    用一个防守城堡的比方:

    入城检查:入侵者想要进入一座城,它有多种方式,打扮成各种方式入城,例如,假口令、假令牌,伪装等。所以要防止这种可疑的人员入城的,另外对于城内百姓,也是禁止百姓靠近城内的主要防御设施。

    出城监视:同时为了更好保护城内百姓,守城队当然还需要打探城外的动向,了解到那些地方安全,那些地方有危险,然后规定普通百姓想要出城,有一些地方能去,有些地方有危险不能去。

    防火墙有以下两种之一的默认配置:
    (一)拒绝所有的通信。在这种情况下,内外的通信完全被阻断,是最安全但也最不适用的形式。
    (二)允许所有的通信。在这种情况下,内外可以进行无限制的通信,防火墙好象不存在。
    对于安全性要求比较高的防火墙,一般采用拒绝所有通信作为默认设置。一旦安装了防火墙,为了授予防火墙内的用户访问他们的被授权的系统,则需要打根据公司的安全策略只打开某些特定的端口以允许特定的内外通信,这就是需要进行相应的访问规则的配置。

    防火墙的规则
    访问规则定义了允许或拒绝网络之间的通信的条件。访问规则中运用的元素是防火墙中可用于创建特定访问规则的配置对象。规则元素一般可分为以下五种类型:                  

    1. 协议。此规则元素包含一些协议,可用于定义要用在访问规则中的协议。例如,您可能想要创建只允许 HTTP 通信的访问规则,则在配置时对于协议的选择则只选用HTTP即可。
    2. 用户集。用户集包含许多单独的用户或用户组。您可以使用 Active Directory 域用户或用户组、远程身份验证拨入用户服务 (RADIUS) 服务器组或 SecureID 组等创建用户集。在规则配置时则可以针对不同的用户集对网络资源的访问分别采用不同的规则进行访问控制。
    3. 内容类型。此规则元素提供您可能想要应用规则的公共内容类型。例如,您可以使用内容类型规则元素来阻止包含 .exe 或 .vbs 扩展名的所有内容下载。
    4. 计划。此规则元素允许您指定一个星期内要应用规则的小时时段。如果需要定义只允许在指定的小时时段内访问 Internet 的访问规则,则可以创建定义小时时段的计划规则元素,然后在创建访问规则时使用该计划规则元素。
    5. 网络对象。此规则元素允许您创建要应用规则的计算机集,或者将不再应用规则的计算机集。您还可以配置 URL 集和域名集,用来允许或拒绝对特定 URL 或域的访问。
    防火墙规则定义

    二、中标麒麟系统防火墙

    主机防火墙可以阻止未授权用户通过网络访问计算机来保护您的计算机Windows和Linux都有自带的防火墙。通过防火墙可以阻止大量的攻击。

    |提示|:为降低来自网络的攻击风险,按照最小化原则,应关闭不需要的系统服务、默认共享和高危端口。

    1. Linux防火墙体系

    Netfilter是位于Linux内核中的包过滤功能体系,称为Linux防火墙“内核态”。

    firewalld/iptables是Centos7默认的管理防火墙规则的工具,称为Linux防火墙的“用户态”。其角色主要为对于防火墙策略的管理,真正的防火墙执行者是位于内核中的 Netfilter。
    firewalld就是iptables的封装是为了简化操作,firewall更加灵活,提供了命令行配置工具firewall-cmd,GUI配置工具firewall-config(中标麒麟内置firewall-config图形化配置工具)。

    Linux防火墙

    防火墙的核心处理机制是过滤,而说到过滤,就必须具有“条件 & 动作”这两个关键要素,而在 iptables 中,这两种要素分别叫做“rule & target”,可以理解成符合 rule 的流量将会去往 target。
    防火墙的处理对象是网络流量,而对于网络流量来讲,标识流量的最重要的信息便是五元组,包括:S_IP, S_PORT, D_IP, DI_PORT, TCP/UDP,iptables 常用的也往往是根据五元组中的某个或某些要素进行过滤.

    iptables里有4张表(优先级递增):
    Filter(过滤器),进入Linux本机的数据包有关,是默认的表。
    NAT(地址转换),与Linux本机无关,主要与Linux主机后的局域网内计算机相关。
    Mangle(破坏者),这个表格主要是与特殊的数据包的路由标志有关(通常不用涉及到这个表的修改,慎改)。
    raw, 用于决定数据包是否被跟踪机制处理

    每张表里有多条链:
    Filter:INPUT, OUTPUT, FORWARD
    NAT:PREROUTING, POSTROUTING, OUTPUT
    Mangle:PREROUTING, OUTPUT, INPUT, FORWARD
    raw:PREROUTING, OUTPUT

    iptables的基本语法格式:
    iptables [-t 表名] 命令选项 [链名] [条件匹配] [-] 目标动作或跳转

    iptables配置可以参考相关文档。

    1. Linux中的防火墙(Netfilter、Iptables、Firewalld) https://www.pianshen.com/article/1075540693
    2. 防火墙规则 https://blog.csdn.net/Carelessly_Profound/article/details/83095679
    3. 防火墙的四表五链:https://www.pianshen.com/article/97341319016/,https://www.pianshen.com/article/6735834399/
    4. 25个常用的防火墙规则 https://blog.csdn.net/weixin_42123737/article/details/80542910

    Rhel7/centos7中默认将防火墙从iptables升级为 firewalld。firewalld相对于iptables主要的优点有:
        firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得重启服务才可以生效;
        firewalld在使用上要比iptables人性化很多,即使不明白“四张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。

    firewall-cmd 命令:启动、停止、查看 firewalld 服务
    [root@localhost /]# systemctl start firewalld ##启动防火墙
    [root@localhost /]# systemctl enable firewalld ##设置为开机自启
    [root@localhost /]# systemctl status firewalld.service ##查看防火墙运行状态

     firewalld 默认有 9 个 zone(zone是firewalld的单位,相当于安全域)。一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。默认情况下,pubilc区域是默认区域,包含所有接口(网卡)。

    见下一部分中标麒麟防火墙管理。

    2. 中标麒麟操作系统的防火墙管理

    中标麒麟操作系统中,【控制面板】→【服务】,弹出【服务配置窗口】,可以看到大量的Linux服务,和windows service类似,很多系统服务都是本地使用的,如网络、日志、dns解析等。如下图:

    中标麒麟终端中的服务列表
    中标麒麟操作系统V7服务列表

    对于终端而言,不像服务器那样提供对外的很多服务,但并不意味着什么服务都不提供,比如在局域网上的文件共享、打印共享、远程桌面服务等,这就需要开放部分端口,但是作为一项安全策略,开放的端口越少越好。中标麒麟系统中提供的服务及端口号可以通过命令“netstat -ntlp”查看。下图是中标麒麟桌面版中提供的服务,其中22是SSH服务,631是CUSP网络打印服务,445和139是用于samba服务,5900是VNC服务端口。

    查看中标麒麟终端后台网络服务

    中标麒麟内置firewall-config图形化配置工具,配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP 过滤器等。从开始菜单→系统工具→防火墙,界面如图所示。点击“关闭(不推荐)”或  “启用(推荐)”时,关闭/启动防火墙服务有一定延时,该程序会弹出“正在关闭/启动服务,请等待 X秒”提示窗,计时结束,该窗口会自动消失。选择“启用(推荐)”,“高级设置”按钮高亮,点击“高级设置”按钮,弹出下图窗口。在高级设置界面中可对具体服务权限进行设置。

    中标麒麟防火墙配置程序

    图中左边定义很多区域,基于用户对网络中设备和流量所给予的信任程度,防火墙可以用来将网络分割成不同的区域,可以理解为模板,一般每个网卡配置一个区域,默认区域为public,可根据终端所处的环境进行切换区域(模板)。

    public(公共)

    在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。

    drop(丢弃)

    任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。

    block(限制)

    任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。

    external(外部)

     

    特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。

    dmz(非军事区)

    用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。

    work(工作)

    用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。

    home(家庭)

    用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。

    internal(内部)

    用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。

    trusted(信任)

    可接受所有的网络连接。

    在public模式下,可以看到,前面提到的22(SSH服务)、631(CUSP网络打印服务)、445和139(samba)、5900(VNC服务)端口是允许外部访问的,还有一些多余的端口如数据库缺省也是开放的,为了安全起见,可以关闭这些不必要的端口。修改防火墙规则一种是运行时模式:表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时将失效;第二种是永久模式:表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。永久配置修改后要从菜单栏【选项】→【重载防火墙】,当前永久配置将变成新的运行时配置。

    三、windows防火墙

    windows自带的防火墙,从windows7开始已经很成熟和完善,基本概念和功能也和Linux类似。

    1. 启动

    1. 控制面板\系统和安全\Windows Defender 防火墙
    2. 开始-》firewall.cpl,直接输入firewall会自动匹配

    windows防火墙管理

    2. 打开和关闭Windows防火墙

    点击左侧的打开和关闭Windows防火墙,私有网络和公用网络的配置是完全分开的,有两个选项:

    1、“阻止所有传入连接,包括位于允许程序列表中的程序”,这个默认即可,否则可能会影响允许程序列表里的一些程序使用。
    2、“Windows防火墙阻止新程序时通知我”,对于个人日常使用需要选中的,方便自己随时作出判断响应。

    启用windows防火墙

     3. 基本服务(程序)配置

    允许程序规则配置,点击图上侧的“允许程序或功能通过Windows防火墙”,以开放"文件和打印机共享"为例,如下图:

    防火墙开放某服务访问(文件和打印共享)

    1、常规配置没有端口配置,所以不需要手动指定端口TCP、UDP协议了。
    2、应用程序的许可规则可以区分网络类型,并支持独立配置。

    勾选文件和打印机共享右侧的“专用”,即表示允许在专用网络中可以访问文件和打印共享。

    如果是添加自己的应用程序许可规则,“允许其他应用”按钮进行添加。

    4. 防火墙高级设置

    如果还想对增加的允许规则进行详细定制,比如端口、协议、安全连接及作用域等等,则需要到高级设置。从防火墙左侧主菜单中选择高级设置,出现下图配置界面。

    windows防火墙高级设置

    防火墙的入站规则和出站规则:出站就是你访问外网,入站就是外网访问你。

    例如,在入站规则中可以找到与刚才专用区域开启“文件和打印共享对应”的入站规则。

    与刚才专用区域开启“文件和打印共享对应”


    用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接; 可以使用预先设置的规则,也可以创建自定义规则。
    右键点击入站规则或者出站规则,点击“新建规则”菜单项出现“新建规则向导”,向导指导用户逐步完成创建规则的步骤;用户可以将规则应用于一组程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接、允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据 的安全性; 可以为入站和出站流量配置源IP地址及目的地IP地址,同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

    展开全文
  • 路由器上同样也有一种“防火墙”,被称为——访问控制列表。该列表应用于路由器接口,通过该列表来告诉路由哪些数据包需要过滤,哪些可以通过。下面我将详细为大家进行讲解。 ACL(access control l...

    路由器接口上的“防火墙”——访问控制列表

    众所周知,无论在哪个系统上都有防火墙的存在,帮助计算机/服务器网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。

    而在路由器上同样也有一种“防火墙”,被称为——访问控制列表。该列表应用于路由器接口,通过该列表来告诉路由哪些数据包需要过滤,哪些可以通过。下面我将详细为大家进行讲解。

    ACL(access control list):访问控制列表

    主要用于在路由、三层交换中建立包过滤防火墙。访问控制列表基于TCP/IP协议中的三层(依靠IP地址)、四层(依靠端口与协议)进行过滤。同时还有一种专业的应用防火墙,基于七层进行过滤。

    过滤的策略则是根据人为定义好的规则对数据包进行过滤,主要依靠 :源地址、目的地址、源端口、目的端口,这四个元素。

    主要分为以下几个大类

    标准型访问控制列表

    只能基于源IP 地址过滤
    该种列表的访问控制列表号为1~99

    扩展访问控制列表

    基于源IP、目的IP、指定协议、端口、标志过滤数据
    该种列表的访问控制列表号为100~199

    命名访问控制列表——包含标准访问和扩展访问

    该种列表允许在标准和扩展列表中使用“名称代替表号”

    标准IPX访问

    扩展IPX访问

    命名的IPX访问

    PS:本次博客将对前三个类型进行详细的解释。

    ACL(访问控制列表)的处理过程

    在这里插入图片描述

    对上面流程的具体解释:

    白名单黑名单
    允许(假设允许192.168.1.2)拒绝(假设拒绝192.168.1.2)
    允许(假设允许192.168.1.3)拒绝(假设拒绝192.168.1.3)
    。。。。。。
    拒绝所有(可以不写)默认为拒绝所有允许所有(必须写)默认隐含为拒绝所有

    **匹配规则: ** 自上而下、逐条匹配。最后一条默认隐含拒绝所有。

    以上就是有关ACL(访问控制列表)的理论相关,下面开始进行相关的配置命令的讲解。

    标准访问控制列表配置命令

    创建ACL

    Router(config)#access-list access-list-number {permit | deny} source [source-wildcard]
    

    access-list-number: 访问控制列表表号

    permit | deny:允许数据包通过 | 拒绝数据包通过

    source [source-wildcard]:源IP + 子网掩码反码(any表示所有IP、host表示某个特定主机)

    删除ACL

    Router(config)#no access-list access-list-number
    

    将ACL应用于/取消应用接口

    Router(config-if)#ip access-group access-list-number {in|out}   //应用于接口
    Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的应用
    

    { in | out }:表示ACL应用于限制方的数据流向在路由器的进口还是出口(通常放在里限制方近的一端 in口)

    扩展访问控制列表配置命令

    创建ACL

    Router(config)#access-list access-list-number {permit | deny} protocol { source source-wildcard destination destination-wildcard } [operator operan]
    

    protocol:协议名称(TCP、UDP、ICMP、IP…)

    source source-wildcard:源IP + 子网掩码反码(any表示所有IP、host表示某个特定主机)

    destination destination-wildcard:目标IP + 子网掩码反码

    operator operan:端口号

    删除ACL

    Router(config)#no access-list access-list-number
    

    将ACL应用于/取消应用接口

    Router(config-if)#ip access-group access-list-number {in|out}   //应用于接口
    Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的应用
    

    命名访问控制列表配置命令

    创建ACL

    Router(config)#ip access-list {standard|extended} access-list-name
    

    配置标准命名ACL

    Router(config-std-nacl)#[Sequence-Number]{permit|deny} source [source-wildcard]
    

    配置扩展命名ACL

    Router(config-std-nacl)#[Sequence-Number]{permit|deny} protocol {source source-wildcard destination destation-wildcard} [operator operan]
    

    sequence-number:序列号

    standard:标准命名ACL

    extended:扩展命名ACL

    删除整组ACL

    Router(config)#no ip access-list {standard|extended} access-list-name
    

    删除组中单一ACL语句

    Router(config-std-nacl)#no Sequence-Number        //通过序列号删除
    Router(config-std-nacl)#no ACL语句                //通过整段ACL语句
    

    将ACL应用于/取消应用接口

    Router(config-if)#ip access-group access-list-number {in|out}   //应用于接口
    Router(config-if)#no ip access-group access-list-number {in|out}     //取消在接口上的应用
    

    以上,就是全部的有关ACL的理论以及配置相关命令的详解。未完待续。。。。。。

    展开全文
  • 访问控制列表: 1)标准访问控制列表。(1-99) Router(config)#access-list 1 permit 1.1.1.1 2.2.2.2 2)扩展访问控制列表。(100-199) Router(config)#access-list 100 permit tcp 1.1.1.1 0.0.0.0 2.2.2.2...
  • Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application ...(深度检测防火墙通常工作的网络的第三层以及更高的层次,而Web应用防火墙第七层处理HTTP服务并且更好地支持它。)  传统网络防
  • 众多的网络防火墙产品,Linux操作系统上的防火墙软件特点显著。它们和 Linux一样,具有强大的功能,大多是开放软件,不仅可免费使用而且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是...
  • 防火墙按照访问控制方式分类

    千次阅读 2019-01-09 15:21:26
    包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 优点:设计简单,易于实现,...
  • 防火墙这个神奇的“玩意”我的电脑上基本属于名存死亡,因为做网络软件开发的缘故,经常需要别人连接我的电脑来进行测试,打开Windows的防火墙常常出现网络无法联通的情况,所以我的电脑上防火墙基本处于关闭...
  • 浅析防火墙技术计算机安全构建应用.docx
  • 高职院校校园网防火墙技术的应用_徐健.pdf
  • 本文是H3C Secpath1800F系列防火墙产品应用方案介绍。文中详细介绍了SecPath F1800-A 防火墙应用典型部署图,介绍了虚拟防火墙应用方案。
  • 根据中软HuaTech-2000型防火墙具有非常好的包过滤功能、代理功能、地址转换功能、地址绑定功能、时间段控制访问功 能、防止IP地址欺骗功能、DMZ功能、VPN功能等,以及高速稳定、安全可靠、兼容性好等特点,完全可以...
  • 铱迅网站应用防火墙 国内首款真正意义上的专业网站防黑软件,全面解决网站遭到黑客攻击的问题 ★铱迅Web应用防火墙 支持Web平台:Windows驱动技术(非ISAPI),全面支持IIS、Apache、Nginx、Websphere等 ★...
  • 目前防火墙大都具有:访问控制、网络地址翻译、透明接入、用户认证、内容过滤、VPN、高可用、流量管理、计费、入侵监测、直通代理等功能,以及多种命令行、WEB界面、Windows GUI管理器的管理方法。  [系统要求] ...
  • 信息安全原理与应用第十二章 防火墙技术及应用本章由王昭主写 讨论议题防火墙的基本概念防火墙的体系结构防火墙相关技术 防火墙定义 防火墙是位于两个或多个网络之间执行访问控制策略的一个或一组系统是一类防范措施...
  • 客观的讲,防火墙并不是解决网络安全问题的万能药方,而只是网络安全政策和策略的一个组成部分,但了解防火墙技术并学会实际操作中应用防火墙技术,相信会新世纪的网络生活让每一位网友都受益菲浅。...
  • 本文是H3C SecPath F100系列防火墙应用方案,文中分别介绍了防火墙应用方案和防火墙结合VPN应用方案。
  • HUAWEI防火墙在校园网应用

    千次阅读 2021-05-10 21:28:51
    HUAWEI 防火墙 综合配置案例防火墙在校园出口安全方案应用简介方案简介方案一:基于IP地址的策略控制典型组网负载分担地址转换安全防护带宽管控溯源审计业务规划网络基础及访问控制配置入侵防御DNS透明代理智能...
  • 防火墙2.2 目的 这是一个“软防火墙”软件包。 其目的是帮助人们防止通过IP地址未经授权访问路由。 它能够跟踪IP,国家和主机(动态IP),并将未经授权的用户... 攻击事件发送Slack通知。 允许列入白名单的人员访

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 118,340
精华内容 47,336
关键字:

在防火墙的访问控制应用中