自反访问表(Reflexive-ACL)

2008-02-23 04:53:31来源：互联网阅读 ()

自反访问表是CISCO提供给企业网络的一种较强的安全手段，利用自反访问表可以很好的保护企业内部网络，免受外部非法用户的攻击。

自反访问表的基本的工作原理是:
只能由内部网络始发的，外部网络的响应流量可以进入，
由外部网络始发的流量如果没有明确的允许，是禁止进入的。

1)Reflexive-ACL的工作流程：

a.由内网始发的流量到达配置了自反访问表的路由器，路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表，
临时性访问表的创建依据下列原则：
protocol不变，
source-IP地址 , destination-IP地址严格对调，
source-port,destination-port严格对调，
对于ICMP这样的协议，会根据类型号进行匹配。

b.路由器将此流量传出，流量到达目标，然后响应流量从目标返回到配置了自反访问表的路由器。

c.路由器对入站的响应流量进行评估，只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层
信息严格匹配时，路由器才会允许此流量进入内部网络。

本新闻共4页,当前在第1页 1 2 3 4

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有