目录
5、NAT的作用,以及数据包经过NAT设备从内网到外网和从外网到内网的转换过程
1、静态NAT
静态NAT实现了私有地址和共有地址的一对一转换,一个公网地址对应一个私网地址
2、动态NAT
动态NAT基于地址池来实现私有地址和公有地址的转换,转换是随机的。
3、NAPT(网络地址端口转换)
NAPT 允许多个私网地址转换到同一个公有地址的不同端口,私网利用端口号来区分。
4、Easy IP转换成出接口地址
利用端口号来识别不用的私网地址,NAPT的特例。直接将内网私有地址转换为出接口的公网IP地址。
5、NAT的作用,以及数据包经过NAT设备从内网到外网和从外网到内网的转换过程
用于实现私有网络和公有网络之间的互访。
从内网到外网:数据包的源IP由私网IP转换成公网IP
从外网到内网:数据包的目的IP由公网IP转换成私网IP
二、ACL
1、ACL定义:
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
2、使用ACL的目的
ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。为保证财务数据安全,企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问,同时允许总裁办公室访问财务服务器。为了保护企业内网的安全,在路由设备上应用ACL可以封堵网络病毒常用的端口,防止Internet上的恶意流量入侵。如下图所示
3、ACL的分类
随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:
- 基本ACL:
- 基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。
- 高级ACL:
相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。
4、使用ACL的步骤:
- 设置相应的ACL规则
为ACL设置相关规则的时候,需要了解入口流量与出口流量,如下图所示:入口流量指的是进入设备(以路由器为例)接口的流量(无论来源是外部Internet还是内部网络),同理,出口流量指的是从设备接口流出的流量。
当外部Internet访问内部网络时,通过路由器接口2的入口流量,其源IP地址为外部的公网IP;而当内部网络需要访问外部网络时,通过路由器的接口1的入口流量,其源IP地址则为内网的IP。
将ACL应用在相应的设备接口的特定方向(inbound/outbound)上。
规则设置完成后,需要将ACL应用在设备的接口上才能正常工作。因为所有的路由和转发决策都是由设备的硬件做出的,所以ACL语句可以更快地执行。
1.入方向
- ACL应用在设备接口入方向 当接口收到数据包时,先根据应用在接口上的ACL条件进行匹配,如果允许则根据路由表进行转发,如果拒绝则直接丢弃。
2.出方向
- ACL应用在设备接口出方向 报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝就直接将数据包丢弃了。
总结:
- 入方向是先匹配后路由;出方向是先路由后匹配;