當前計算機網(wǎng)絡(luò)系統(tǒng)中,地址訪問控制列表(ACL,Access Control Lists)的應用可以實現(xiàn)包過濾防火墻的功能。ACL技術(shù)的應用,可以讓某些滿足條件的數(shù)據(jù)包通過,不滿足條件的數(shù)據(jù)包被拒絕通過。在特殊網(wǎng)絡(luò)環(huán)境下,根據(jù)網(wǎng)絡(luò)管理者的意圖,讓數(shù)據(jù)包從內(nèi)網(wǎng)到外網(wǎng)可以通過,但是外網(wǎng)對內(nèi)網(wǎng)主動發(fā)起的數(shù)據(jù)包被拒絕通過,就需要利用自反ACL來實現(xiàn)這種單一方向的防火墻。本文針對某一內(nèi)部網(wǎng)連接到外部網(wǎng)的案例,論述了自反ACL技術(shù),分析了自反ACL控制列表的制定規(guī)則和綁定方法,實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)中單一方向防火墻方案效果。

【文章頁數(shù)】：3 頁

【部分圖文】：

圖1系統(tǒng)拓撲圖

整個系統(tǒng)的拓撲圖如圖1所示。4.3方案的實現(xiàn)

圖2配置接口的ip

配置R1的IP地址，R1上配置兩個接口的ip地址，一個是局域網(wǎng)口f0/0，該接口ip地址作為內(nèi)網(wǎng)用戶PC1的默認網(wǎng)關(guān)，另一個是廣域網(wǎng)口s1/0，該接口提供時鐘。R2和R3的接口IP配置和R1類似，配置局域網(wǎng)口和廣域網(wǎng)口IP地址（如圖2所示）。4.3.2配置OSPF協(xié)議

圖3OSPF協(xié)議配置

在R1、R2和R3上啟用OSPF協(xié)議，網(wǎng)絡(luò)系統(tǒng)中的所有網(wǎng)段都工作在area0區(qū)域。具體配置如圖3所示。4.3.3自反ACL的配置

圖4自反ACL配置

自反ACL當有出站數(shù)據(jù)包時，就臨時產(chǎn)生一個訪問性條目，該條目是有生存周期的，Session結(jié)束則該條目被刪除。首先在R2上配置臨時性訪問條目的生存時間，R2(config)#ipreflexive-listtimeout400，生存期為400s。然后，在R2上配置ACLOUT....

本文編號：3965805