『壹』 請分析訪問控制列表(ACL)與包過濾防火牆的區別
ACL一般用在交換機和路由器上,應用的時候是有方向的(入方向或者出方向),我們知道數據包是有來有回的,acl只能做到單向訪問限制。比如交換機上配了2個vlan,vlan10和vlan20,vlan10的192.168.10.1訪問vlan20的192.168.20.1,如果在vlan10上啟用acl應用在inbound方向,策略為允許192.168.10.1訪問192.168.20.1,然後又在vlan20上啟用acl應用在inbound方向,策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應為從192.168.10.1ping192.168.20.1去的時候是可以到達的,但是回來的時候就讓vlan20上的acl給阻止了。
但是如果交換機換成防火牆就不一樣了,防火牆是基於5元組的包過濾的方式實現的訪問控制,如果是上面同樣的配置,那麼結果就是192.168.10.1能訪問192.168.20.1,反過來就不通了。
因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標記,能去就能會,這是跟acl的本質區別,能記錄數據的來回,而acl做不到。
手打,謝謝。
『貳』 什麽是ACL保護
ACL(Access Control Lists,縮寫ACL),存取控制列表。ACL是一套與文件相關的用戶、組和模式項,此文件為所有可能的用戶 ID 或組 ID 組合指定了許可權
『叄』 QoS和ACL這個有什麼區別啊說的詳細一點,為什麼做限速先開啟Qos啊不懂。。
QOS 是Quality of Service即服務質量,ACL是ACCESS-LIST訪問控制列表。限速必須用QOS,你在介面上改帶寬只能影響路專由選擇而已。。屬。對介面的轉發速率沒有任何影響,而QOS卻能夠通過隊列等方式控制帶寬,也可以來保證優先順序高的流量擁有帶寬。
『肆』 ACL規則是什麼
網路中經常提到的acl規則是Cisco IOS所提供的一種訪問控制技術。 初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基於Cisco IOS的ACL進行編寫。 基本原理:ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源埠、目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。 功能:網路中的節點有資源節點和用戶節點兩大類,其中資源節點提供服務或數據,用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問許可權。 在實施ACL的過程中,應當遵循如下兩個基本原則: 1.最小特權原則:只給受控對象完成任務所必須的最小的許可權。 2.最靠近受控對象原則:所有的網路層訪問許可權控制。 3.默認丟棄原則:在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。 局限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。 acl規則要如何寫? 1、設置acl : acl number 3000 rule 0 permit ip source 伺服器端的子網 掩碼的反碼 //允許哪些子網訪問伺服器 rule 5 deny ip destination 伺服器端的子網 掩碼的反碼 //不允許哪些子網訪問伺服器 2、綁定到埠: interface gig 0/1 //進入伺服器所在的交換機埠 [GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl綁定到埠
記得採納啊
『伍』 請分析訪問控制列表(ACL)與包過濾防火牆的區別
包過濾防火牆是個概念,通過ACL來實現的,後來包過濾防火牆集成到包括路由器啊,交換機上,包括現在的防火牆中。
『陸』 防火牆配置中的acl與policy功能區別在哪
包過濾防火牆是個概念,通過ACL來實現的,後來包過濾防火牆集成到包括路由器啊,交換機上,包括現在的防火牆中。
『柒』 KQML和ACL的區別
FIPA ACL是智能物理Agent基金會(FIPA)做的Agent通信語言標准化工作。這種ACL在語法上與KQML非常類似。它定義了20種語用詞用來幫助理解消息的內容,只是它沒有像KQML那樣有一種等同於KIF的描述消息內容語言。比如其中一個FIPA ACL的例子:
(inform
:sender agent1
:receiver agent2
:content (price good2 150)
:language sl
:ontology hpl-auction
)
從這個例子可以看出KQML與FIPA ACL的消息結構是一樣的,而它們之間最重要的區別在於語用詞的集合。另外,更重要的是FIPA ACL的開發者通過一種稱為SL的形式語言給出了這種語言的形式語義。SL允許表示一個Agent的信念、願望和意圖,以及這個Agent執行的動作。簡單來說,如果要發送良定義的消息,消息發送者必須滿足一定的約束,稱為可行條件。另外,語義還用SL定義了消息的目的,也就是Agent發送一條消息意圖實現什麼,稱為動作的合理結果。消息的一致性要求發送消息的Agent滿足可行條件,但不一定要有合理結果(因為合理結果畢竟只是發送Agent一廂情願的想法罷了)。
下面是inform的語義(簡化版):
<i, inform(j, p)>
可行條件: BiP and not Bi(IjfjP or UifjP)
合理結果: BjP
BiP的含義是「Agent i相信P」; BifiP的含義是「Agent i有這樣或那樣的方法來確定判別P的真假」;UifiP意思是Agent i「不確定」P。這樣Agent i向Agent j發送內容為P的消息對於FIPA ACL的語義是,如果它相信P,並且不存在這樣的情況,即它相信j相信P為真或為假,或者j不能確定P真或假。如果Agent成功地執行了inform,那麼消息Agent j將相信P。
由於有了語義的形式語義,所以就有可能對通信過程的一致性進行測試。一致性測試問題根據Wooldridge的總結:給定一個Agent,以及有完善的語義定義的Agent通信語言,目的是確定Agent無論何時通信,是否遵循這個語言的語義。雖然問題是清晰的,但是想要構造一個外部程序測試一個Agent程序是否遵守這個語言的語義是困難的(相當於要用通信之外的方式准確知道Agent的內部狀態)。
在多Agent系統的通信需求下,20世紀90年代美國國防部的DARPA(Defense Advanced Research Projects Agency)自主了知識共享計劃(KSE),目的是解決:
「[開發]在自治的信息系統之間表達知識的交換協議。」
KSE受當時的Speech Act理論的影響,並在此基礎上建立Agent通信語言。Speech Act理論簡單來說,源於我們日常的語言交流光有語句本身還不能真正的表達出我要表達的意思。此外還需要一定的言語動作(Speech Act),比如,問、答、命令、請求、許諾等。Speech Act理論認為,盡管自然語言的所有可能使用方式是無限的,但言語所能執行的動作類型的數目是有限的. 言語行為可與語言所含的具體內容相分離,並被分類以供研究使用. 這使我們可以假定有一個標準的(或大致可確定的)Speech Act集可以用來定義組織中常用的通訊行為。KSE給予這種認識發展起來的,其發布的兩個主要文件是:
知識查詢與操縱語言KQML
知識交換格式KIF
其中KQML相當於規定了Agent通信的「信封」格式,而不管Agent之間溝通是基於什麼領域的知識或者通信內容使用什麼樣的語言。而KIF主要是用來「寫信」的一種備選語言。
KIF
KIF嚴格地基於一階謂詞邏輯,而語法上則類似於Lisp(可能是Lisp在人工智慧界實在太受歡迎了^_^)。當我們理解了一階謂詞邏輯的表達能力有多強,我們就能理解KIF的表達能力有多強。使用KIF,Agent可以表示:
某個對象有某個性質(如 「老王體型肥胖」——老王有「肥胖」的性質)
對象之間有某種關系(如 「小張和小陳是夫妻」,表示它們之間有婚姻關系)
全體對象的一般性質(如 「每個人都有母親」)
為了表示這些知識,KIF提供了一個固定的結構,以及一階謂詞邏輯的常用連接詞,如and,or,not等,全稱量詞forall和存在兩次exists以及常用的數據類型,數字、字元、字元串以及一些標准函數。
如表示汽車A停靠在x號停車位:
(= (position carA) (park_pos x))
另外,KIF還可以定義新的謂詞,如定義單身漢,也就是沒結婚的男人可以這樣:
(defrelation bachelor (?x)) :=
(and (man ?x)
(not (married ?x))))
可以看出通過這種方式可以用簡單的概念構造非常復雜的謂詞。
KQML
KQML定義的是信息的公共格式。每個消息包括一個語用詞(performative)以及多個參數。
一個KQML的例子:
(ask-one
:content (PRICE IBM ?price)
:receive stock-server
:language LPROLOG
:ontology NYSE-TICKS
)
這條語句的直觀含義是向股票伺服器詢問IBM的股票價格。其中ask-one是KQML中定義的語用詞,而帶冒號的是一些參數名字,它帶冒號的部分以及緊跟著它的那塊構成一個「屬性/值」對。這樣的一對就表示這個動作的參數。而由於參數是按照名字匹配的,所以參數出現的順序是無關緊要的。
上面由KQML定義的消息的參數有下面幾種:
:content 就是消息的內容本身
:force 消息的發送者是否會拒絕消息的內容
:reply-with 發送者是否期待回答,如果是,給出回答標識符
:in-reply-to 參考reply-with
:sender 消息的發送者
:receiver 消息的接收者
KQML或來出現了幾個不同的版本,每個版本有不同的語用詞。也有幾個多Agent系統採用KQML,並取得成功。但是,KQML還是有一些不盡人意的地方。
KQML的語用詞採用自然語言描述其含義,使得含義比較模糊(ambiguity)。
KQML的最底層的通信層沒有嚴格規定,使得即使兩個Agent都使用KQML也不能保證可以通信。
KQML語用詞也不完備,至少缺少「承諾」語用詞。
KQML的原意是希望建立與內容無關的Agent通信規范。但是,其結果僅僅是一種聊勝於無的通信語言。首先Speech Act是為了完整地表達語義而進行的研究。語用詞本身是理解語義必不可少的部分,所以使用語用詞作為通信原語是有悖初衷的。如果把這種關繫到語義理解的語用詞都放到消息內部或者放到參數裡面,即增加一個:performative參數,那麼KQML語言的實現會更簡單些(當然也有可能造成標准不統一)。
『捌』 華為基本ACL和高級ACL有什麼區別
基本acl只能定義源ip地址
高級acl可以定義源ip,源埠,目標ip,目標埠等
『玖』 路由器上用ACL和用防火牆有什麼區別
兩種設備產生和存在的背景不同
1、兩種設備產生的根源不同
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。
2、根本目的不同
路由器的根本目的是:保持網路和數據的「通」。
防火牆根本的的目的是:保證任何非允許的數據包「不通」。
二、核心技術的不同
Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。
一個最為簡單的應用:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-》內 只允許client訪問 server的tcp 1455埠,其他拒絕。
針對現在的配置,存在的安全脆弱性如下:
1、IP地址欺騙(使連接非正常復位)
2、TCP欺騙(會話重放和劫持)
存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火牆,由於NetEye防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP的序列號,則可以徹底消除這樣的脆弱性。同時,NetEye 防火牆的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證資料庫,可以完全與第三方的認證伺服器進行互操作,並能夠實現角色的劃分。
雖然,路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。
三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye 防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。
四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。
由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。
五、審計功能的強弱差異巨大
路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。
NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye 防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye 防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye 防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。
六、防範攻擊的能力不同
對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出:
·具有防火牆特性的路由器成本 > 防火牆 + 路由器
·具有防火牆特性的路由器功能 < 防火牆 + 路由器
·具有防火牆特性的路由器可擴展性 < 防火牆 + 路由器
綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求!
即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。