端口安全(Port Security),從基本原理上講,Port Security特性會通過MAC位址表記錄連接配接到交換機端口的以太網MAC位址(即網卡号),并隻允許某個MAC位址通過本端口通信。其他MAC位址發送的資料包通過此端口時,端口安全特性會阻止它。使用端口安全特性可以防止未經允許的裝置通路網絡,并增強安全性。另外,端口安全特性也可用于防止MAC位址泛洪造成MAC位址表填滿。
配置端口安全是相對比較簡單的。
通路控制清單(ACL)是一種基于包過濾的通路控制技術,它可以根據設定的條件對接口上的資料包進行過濾,允許其通過或丢棄。通路控制清單被廣泛地應用于路由器和三層交換機,借助于通路控制清單,可以有效地控制使用者對網絡的通路,進而最大程度地保障網絡安全。
通路控制清單(Access Control Lists,ACL)是應用在路由器接口的指令清單。這些指令清單用來告訴路由器哪些資料包可以收、哪些資料包需要拒絕。至于資料包是被接收還是拒絕,可以由類似于源位址、目的位址、端口号等的特定訓示條件來決定。
通路控制清單具有許多作用,如限制網絡流量、提高網絡性能;通信流量的控制,例如ACL可以限定或簡化路由更新資訊的長度,進而限制通過路由器某一網段的通信流量;提供網絡安全通路的基本手段;在路由器端口處決定哪種類型的通信流量被轉發或被阻塞,例如,使用者可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
通路控制清單從概念上來講并不複雜,複雜的是對它的配置和使用,許多初學者往往在使用工作原理
通路控制清單時出現錯誤。
①當一個資料報進入一個端口,路由器檢查這個資料報是否可路由。
如果是可以路由的,路由器檢查這個端口是否有ACL控制進入資料報。
如果有,根據ACL中的條件指令,檢查這個資料報。
如果資料報是被允許的,就查詢路由表,決定資料報的目标端口。
②路由器檢查目标端口是否存在ACL控制流出的資料報。
若不存在,這個資料報就直接發送到目标端口。
若存在,就再根據ACL進行取舍。然後在轉發到目的端口。
總之,一入站資料包,由路由器處理器調入記憶體,讀取資料包的標頭資訊,如目标IP位址,并搜尋路由器的路由表,檢視是否在路由表項中,如果有,則從路由表的選擇接口轉發(如果無,則丢棄該資料包),資料進入該接口的通路控制清單(如果無通路控制規則,直接轉發),然後按條件進行篩選。
當ACL處理資料包時,一旦資料包與某條ACL語句比對,則會跳過清單中剩餘的其他語句,根據該條比對的語句内容決定允許或者拒絕該資料包。如果資料包内容與ACL語句不比對,那麼将依次使用ACL清單中的下一條語句測試資料包。該比對過程會一直繼續,直到抵達清單末尾。最後一條隐含的語句适用于不滿足之前任何條件的所有資料包。這條最後的測試條件與這些資料包比對,通常會隐含拒絕一切資料包的指令。此時路由器不會讓這些資料進入或送出接口,而是直接丢棄。最後這條語句通常稱為隐式的“deny any”語句。由于該語句的存在,是以在ACL中應該至少包含一條permit語句,否則,預設情況下,ACL将阻止所有流量。