ACL防控制列表和NAT
访问控制列表
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
补充:通信四元组:源地址、目的地址、源端口、目的端口
通信五元组:源地址、目的地址、源端口、目的端口、协议
访问控制列表的工作原理
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
补充:列表应用到接口的方向有数据方向有关
访问控制列表的处理过程
ACL:access list访问控制列表
ACL两种作用:
用来对数据包做访问控制(丢弃或者放行)
结合其他协议,用来匹配范围
acl工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理
ACL的种类
基本ACL(2000-2999):只能匹配IP地址
高级ACL(3000-3999):可以匹配源IP、源端口、目标端口等三层和四层的字段
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。
ACL应用规则
一个接口的同一个方向,只能调用一个ACL
一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
数据包一旦被某rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有
ACL的指令
NAT
NAT的工作原理
NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
NAT外部的主机无法主动根位于NAT内部的主机通信,NAT内部主机想要通信,碧血主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT的功能
NAT不仅能解决了IP地址不足的问题,而且还能够有效的避免来自网络外部的入侵,隐藏并保护网络内部的计算机
宽带分享:这是NAT主机的最大功能
安全防护:NAT之内的PC联机到Internet上面时,他所显示的IP是NAT主机的公网IP,所有Cluent端的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC
NAT的优缺点
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用
静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址;外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为响应的私网地址
补充:内转外 源IP
外转内 目的IP
路由器三个表
路由器:数据包通过目的IP查路由表转发
ACL访问控制列表:过滤数据包,拒绝,放行
NAT转换表:内网到外网转换源IP地址,外网到内网转换目的IP地址
目的IP
路由器三个表
路由器:数据包通过目的IP查路由表转发
ACL访问控制列表:过滤数据包,拒绝,放行
NAT转换表:内网到外网转换源IP地址,外网到内网转换目的IP地址