网络攻防学习笔记 Day134

访问控制是明确什么角色的用户能访问什么类型的资源。使用访问控制可以防止用户对计算资源、通信资源或信息资源等进行未授权访问，是一种针对越权使用资源的防御措施。

ACL 是一种基于包过滤的控制技术，其在路由器、三层交换机中被广泛采用。ACL 对数据包的源地址、目的地址、端口号及协议号等进行检查，并根据数据包是否匹配 ACL 规定的条件来决定是否允许数据包通过。

ACL 配置原则如下：

● 每个接口、协议、方向只允许有一个 ACL。

● ACL 语句顺序控制着检测顺序，因此最具体的语句位于列表顶部。

● ACL 隐式拒绝所有数据，因此每个访问控制列表中至少包含一条 permit 语句。

● 在全局范围内创建 ACL，然后将其应用到入站流量或出站流量的接口。

● ACL 可过滤经过路由器的流量或往返路由器的流量，具体取决于其应用方式。

● 将 ACL 置于网络中时：扩展 ACL 应靠近源地址，标准 ACL 应靠近目的地址。

反向访问控制列表属于 ACL 的一种高级应用，它可以有效地防范病毒。通过配置反向 ACL 可以保证 A、B 两个网段的计算机互相 ping，A 可以 ping 通 B 而 B 不能 ping 通 A。

防火墙的主要作用通常包括以下几点：

1）提供基础组网和访问控制。

2）网络地址转换。

3）记录和监控网络存取与访问。

4）限定内部用户访问特殊站点。

5）限制暴露用户点。

6）虚拟专用网。

安全域是一种思路、方法，它通过把一个复杂巨系统的安全保护问题分解为更小的、结构化的、区域的安全保护问题，按照“统一防护、重点把守、纵深防御”的原则，实现对系统分域、分级的安全保护。

网络安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等要素的不同来划分的不同逻辑子网或网络，每一个安全域内部有相同的安全保护需求，互相信任，具有相同的安全访问控制和边界控制策略，并且相同的网络安全域共享一样的安全策略。