导航:首页 > 净水问答 > acl和包过滤区别

acl和包过滤区别

发布时间:2020-12-18 16:32:06

『壹』 请分析访问控制列表(ACL)与包过滤防火墙的区别

ACL一般用在交换机和路由器上,应用的时候是有方向的(入方向或者出方向),我们知道数据包是有来有回的,acl只能做到单向访问限制。比如交换机上配了2个vlan,vlan10和vlan20,vlan10的192.168.10.1访问vlan20的192.168.20.1,如果在vlan10上启用acl应用在inbound方向,策略为允许192.168.10.1访问192.168.20.1,然后又在vlan20上启用acl应用在inbound方向,策略为192.168.20.1拒绝访问192.168.10.1。这种情况下其实两边都是不通的。应为从192.168.10.1ping192.168.20.1去的时候是可以到达的,但是回来的时候就让vlan20上的acl给阻止了。
但是如果交换机换成防火墙就不一样了,防火墙是基于5元组的包过滤的方式实现的访问控制,如果是上面同样的配置,那么结果就是192.168.10.1能访问192.168.20.1,反过来就不通了。
因为192.168.10.1去访问192.168.20.1的时候这条会话会别标记,能去就能会,这是跟acl的本质区别,能记录数据的来回,而acl做不到。
手打,谢谢。

『贰』 什麽是ACL保护

ACL(Access Control Lists,缩写ACL),存取控制列表。ACL是一套与文件相关的用户、组和模式项,此文件为所有可能的用户 ID 或组 ID 组合指定了权限

『叁』 QoS和ACL这个有什么区别啊说的详细一点,为什么做限速先开启Qos啊不懂。。

QOS 是Quality of Service即服务质量,ACL是ACCESS-LIST访问控制列表。限速必须用QOS,你在接口上改带宽只能影响路专由选择而已。。属。对接口的转发速率没有任何影响,而QOS却能够通过队列等方式控制带宽,也可以来保证优先级高的流量拥有带宽。

『肆』 ACL规则是什么

网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。 初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 在实施ACL的过程中,应当遵循如下两个基本原则: 1.最小特权原则:只给受控对象完成任务所必须的最小的权限。 2.最靠近受控对象原则:所有的网络层访问权限控制。 3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 acl规则要如何写? 1、设置acl : acl number 3000 rule 0 permit ip source 服务器端的子网 掩码的反码 //允许哪些子网访问服务器 rule 5 deny ip destination 服务器端的子网 掩码的反码 //不允许哪些子网访问服务器 2、绑定到端口: interface gig 0/1 //进入服务器所在的交换机端口 [GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口
记得采纳啊

『伍』 请分析访问控制列表(ACL)与包过滤防火墙的区别

包过滤防火墙是个概念,通过ACL来实现的,后来包过滤防火墙集成到包括路由器啊,交换机上,包括现在的防火墙中。

『陆』 防火墙配置中的acl与policy功能区别在哪

包过滤防火墙是个概念,通过ACL来实现的,后来包过滤防火墙集成到包括路由器啊,交换机上,包括现在的防火墙中。

『柒』 KQML和ACL的区别

FIPA ACL是智能物理Agent基金会(FIPA)做的Agent通信语言标准化工作。这种ACL在语法上与KQML非常类似。它定义了20种语用词用来帮助理解消息的内容,只是它没有像KQML那样有一种等同于KIF的描述消息内容语言。比如其中一个FIPA ACL的例子:
(inform
:sender agent1
:receiver agent2
:content (price good2 150)
:language sl
:ontology hpl-auction
)
从这个例子可以看出KQML与FIPA ACL的消息结构是一样的,而它们之间最重要的区别在于语用词的集合。另外,更重要的是FIPA ACL的开发者通过一种称为SL的形式语言给出了这种语言的形式语义。SL允许表示一个Agent的信念、愿望和意图,以及这个Agent执行的动作。简单来说,如果要发送良定义的消息,消息发送者必须满足一定的约束,称为可行条件。另外,语义还用SL定义了消息的目的,也就是Agent发送一条消息意图实现什么,称为动作的合理结果。消息的一致性要求发送消息的Agent满足可行条件,但不一定要有合理结果(因为合理结果毕竟只是发送Agent一厢情愿的想法罢了)。
下面是inform的语义(简化版):
<i, inform(j, p)>
可行条件: BiP and not Bi(IjfjP or UifjP)
合理结果: BjP
BiP的含义是“Agent i相信P”; BifiP的含义是“Agent i有这样或那样的方法来确定判别P的真假”;UifiP意思是Agent i“不确定”P。这样Agent i向Agent j发送内容为P的消息对于FIPA ACL的语义是,如果它相信P,并且不存在这样的情况,即它相信j相信P为真或为假,或者j不能确定P真或假。如果Agent成功地执行了inform,那么消息Agent j将相信P。
由于有了语义的形式语义,所以就有可能对通信过程的一致性进行测试。一致性测试问题根据Wooldridge的总结:给定一个Agent,以及有完善的语义定义的Agent通信语言,目的是确定Agent无论何时通信,是否遵循这个语言的语义。虽然问题是清晰的,但是想要构造一个外部程序测试一个Agent程序是否遵守这个语言的语义是困难的(相当于要用通信之外的方式准确知道Agent的内部状态)。
在多Agent系统的通信需求下,20世纪90年代美国国防部的DARPA(Defense Advanced Research Projects Agency)自主了知识共享计划(KSE),目的是解决:

“[开发]在自治的信息系统之间表达知识的交换协议。”

KSE受当时的Speech Act理论的影响,并在此基础上建立Agent通信语言。Speech Act理论简单来说,源于我们日常的语言交流光有语句本身还不能真正的表达出我要表达的意思。此外还需要一定的言语动作(Speech Act),比如,问、答、命令、请求、许诺等。Speech Act理论认为,尽管自然语言的所有可能使用方式是无限的,但言语所能执行的动作类型的数目是有限的. 言语行为可与语言所含的具体内容相分离,并被分类以供研究使用. 这使我们可以假定有一个标准的(或大致可确定的)Speech Act集可以用来定义组织中常用的通讯行为。KSE给予这种认识发展起来的,其发布的两个主要文件是:

知识查询与操纵语言KQML
知识交换格式KIF
其中KQML相当于规定了Agent通信的“信封”格式,而不管Agent之间沟通是基于什么领域的知识或者通信内容使用什么样的语言。而KIF主要是用来“写信”的一种备选语言。
KIF
KIF严格地基于一阶谓词逻辑,而语法上则类似于Lisp(可能是Lisp在人工智能界实在太受欢迎了^_^)。当我们理解了一阶谓词逻辑的表达能力有多强,我们就能理解KIF的表达能力有多强。使用KIF,Agent可以表示:

某个对象有某个性质(如 “老王体型肥胖”——老王有“肥胖”的性质)

对象之间有某种关系(如 “小张和小陈是夫妻”,表示它们之间有婚姻关系)

全体对象的一般性质(如 “每个人都有母亲”)
为了表示这些知识,KIF提供了一个固定的结构,以及一阶谓词逻辑的常用连接词,如and,or,not等,全称量词forall和存在两次exists以及常用的数据类型,数字、字符、字符串以及一些标准函数。
如表示汽车A停靠在x号停车位:
(= (position carA) (park_pos x))
另外,KIF还可以定义新的谓词,如定义单身汉,也就是没结婚的男人可以这样:
(defrelation bachelor (?x)) :=
(and (man ?x)
(not (married ?x))))
可以看出通过这种方式可以用简单的概念构造非常复杂的谓词。
KQML
KQML定义的是信息的公共格式。每个消息包括一个语用词(performative)以及多个参数。
一个KQML的例子:
(ask-one
:content (PRICE IBM ?price)
:receive stock-server
:language LPROLOG
:ontology NYSE-TICKS
)
这条语句的直观含义是向股票服务器询问IBM的股票价格。其中ask-one是KQML中定义的语用词,而带冒号的是一些参数名字,它带冒号的部分以及紧跟着它的那块构成一个“属性/值”对。这样的一对就表示这个动作的参数。而由于参数是按照名字匹配的,所以参数出现的顺序是无关紧要的。
上面由KQML定义的消息的参数有下面几种:

:content 就是消息的内容本身
:force 消息的发送者是否会拒绝消息的内容
:reply-with 发送者是否期待回答,如果是,给出回答标识符
:in-reply-to 参考reply-with
:sender 消息的发送者
:receiver 消息的接收者
KQML或来出现了几个不同的版本,每个版本有不同的语用词。也有几个多Agent系统采用KQML,并取得成功。但是,KQML还是有一些不尽人意的地方。

KQML的语用词采用自然语言描述其含义,使得含义比较模糊(ambiguity)。
KQML的最底层的通信层没有严格规定,使得即使两个Agent都使用KQML也不能保证可以通信。
KQML语用词也不完备,至少缺少“承诺”语用词。
KQML的原意是希望建立与内容无关的Agent通信规范。但是,其结果仅仅是一种聊胜于无的通信语言。首先Speech Act是为了完整地表达语义而进行的研究。语用词本身是理解语义必不可少的部分,所以使用语用词作为通信原语是有悖初衷的。如果把这种关系到语义理解的语用词都放到消息内部或者放到参数里面,即增加一个:performative参数,那么KQML语言的实现会更简单些(当然也有可能造成标准不统一)。

『捌』 华为基本ACL和高级ACL有什么区别

基本acl只能定义源ip地址
高级acl可以定义源ip,源端口,目标ip,目标端口等

『玖』 路由器上用ACL和用防火墙有什么区别

两种设备产生和存在的背景不同

1、两种设备产生的根源不同

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同

路由器的根本目的是:保持网络和数据的“通”。

防火墙根本的的目的是:保证任何非允许的数据包“不通”。

二、核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。

针对现在的配置,存在的安全脆弱性如下:

1、IP地址欺骗(使连接非正常复位)

2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。

虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。

三、安全策略制定的复杂程度不同

路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。

NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。

四、对性能的影响不同

路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。

NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。

由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大

路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。

NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。

六、防范攻击的能力不同

对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:

·具有防火墙特性的路由器成本 > 防火墙 + 路由器

·具有防火墙特性的路由器功能 < 防火墙 + 路由器

·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器

综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!

即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。

阅读全文

与acl和包过滤区别相关的资料

热点内容
酒精蒸馏塔验证方案 浏览:761
饮水机里的虫卵是什么 浏览:50
致享怎么更换空调滤芯 浏览:969
美的饮水机出水口怎么接 浏览:239
污水处理可以开6税率专票吗 浏览:615
饮水机小苏打可以用在什么地方 浏览:26
口罩pm25过滤片怎么用 浏览:273
标致机油滤芯长什么样 浏览:299
橘子皮清洗水垢 浏览:148
化工污水处理池用什么材质 浏览:144
食醋除水垢什幺性质 浏览:574
污水厂实验室实验表 浏览:286
后厨污水排放需要多少钱 浏览:513
怎么快速洗过滤芯 浏览:998
污水管建设属于什么工程 浏览:557
亚都净化器对人体有什么好处 浏览:224
树脂离子的选择系数 浏览:19
diy反渗透净水器用什么泵 浏览:496
污水管道班组活动记录 浏览:537
净水器净化一桶水要多少分钟 浏览:887