《《网络互联技术》第07章访问控制列表.ppt》由会员分享,可在线阅读,更多相关《《网络互联技术》第07章访问控制列表.ppt(47页珍藏版)》请在三一办公上搜索。
1、,主讲教师:赵怀明江西工业职业技术学院,第七章 访问控制列表(理论课时长:6节),【教学目的】:通过本章的学习,让学生知道访问控制列表的功能和实现机制、访问控制列表的分类、命名访问控制列表的配置和应用、基于时间的访问控制列表的使用;掌握访问控制列表的定义和应用、标准访问控制列表的配置、扩展访问控制列表的配置、访问控制列表的工作过程。能为简单的网络根据用户的要求设置访问控制列表来实现公司网络的内部管理、流量控制和安全控制。【重点难点】重点:标准访问控制列表的配置和应用;扩展访问控制列表的配置和应用。难点:基于时间的访问控制列表的理解和配置,第七章:访问控制列表,【教学内容】访问控制列表定义访问控
2、制列表功能访问控制列表实现机制访问控制列表的工作过程分析访问控制列表的分类标准访问控制列表的配置和应用扩展访问控制列表的配置和应用命名访问控制列表的配置和应用基于时间的访问控制列瑶的配置和应用,第七章:访问控制列表,【教学方法】教学方式:多媒体教学教学方法:案例分析+视频教学通过对比分析让学生彻底掌握标准访问控制列表和扩展访问控制列表的区别。利用视频教学资料,使学生在任何时间和地点能重温教学内容,尽一步掌握标准(扩展)访问控制列表的配置和实际应用。通过上机实验让学生在boson模拟器的支持下完成标准访问控制列表和扩展访问控制列表的配置和应用。,第七章:访问控制列表,第一部分:访问控制列表概述,
3、一、数据包过滤技术 数据包过滤是指路由器对需要转发的数据包,先获取报头信息,然后将其和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。实现包过滤的核心技术是访问控制列表(Access Control List,简称ACL)。,第一部分:访问控制列表概述,二、访问控制列表的定义 访问控制列表(Access Control List,ACL)是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制,这种机制允许用户使用访问控制列表来管理信息流,以制作公司内部网络的相关策略。ACL根据指定的条件来检测通过路由器的每个数据包,从而决定是转发还是丢弃该数据包。ACL中的条件,既可以是
4、数据包的源地址,也可以是目的地址,还可以是上层协议或其他因素。通过灵活地增加访问控制列表,可以把ACL当作一种网络控制的有利工具,用来过滤流入、流出路由器接口的数据包。,第一部分:访问控制列表概述,三、访问控制列表的实现机制(1)首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。(2)然后再将其应用在路由器的不同接口的不同方向上。(3)如果指定接口(该接口已应用指定的访问控制列表)指定方向(该方向上已应用指定的访问控制列表)上有数据包通过时,路由器将根据设定的访问控制列表的规则(逐条进行匹配,如果规则中上一条语句匹配,则下面所有的语句将被忽略)对数据包进行过滤,从而确定哪些数据包可以
5、接收,哪些数据包需要拒绝。,第一部分:访问控制列表概述,四、访问控制列表的功能(1)、数据包过滤(2)、限制网络流量(3)、提高网络性能(4)、提高网络安全 由于ACL访问控制列表是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。,第一部分:访问控制列表概述,五、访问控制列表的分类:主要分为标准访问控制列表和扩展访问控制列表。,第一部分:访问控制列表概述,六、访问控制列表工作过程分析,第二部分:标准访问控制
6、列表,一、定义标准IP访问控制列表(1)语法:Router(config)#access-list list numberpermit|denyhost/anysourcesource-wildcardmaskLog(2)功能:只能根据数据帧的源地址进行过滤,而不能根据数据帧的目的地址进行数据过滤;只能拒绝或允许整个协议族的数据包,而不能根据具体的协议对数据包进行过滤。(3)位置:由于不能根据数据帧的目标地址进行过滤,而只能根据数据帧的源地址进行过滤,因此最好将标准访问控制列表放置离目标主机(或目标网络)最近的位置。,第二部分:标准访问控制列表,(4)参数说明:定义访问控制列表必须在路由器的全
7、局配置模式下进行list number:访问控制列表号的范围,标准IP访问控制列表的列表号标识是从 1 到 99。permit/deny:关键字 permit 和 deny 用来表示满足访问列表项的报文是允许通过接口,还是要过滤掉。permit 表示允许“满足访问列表项”的报文通过接口 deny 表示禁止“满足访问列表项”的报文通过接口 source:源地址,对于标准的IP访问控制列表,源地址可以是:host、any、具体主机IP地址或具体网络地址host 用于指定某个具体主机。any 用于指定所有主机。source-wi1dcardmask:源地址通配符屏蔽码,第二部分:标准访问控制列表,二
8、、host参数讲解 host表示一种精确的匹配,其屏蔽码为(host 是 0.0.0.O 通配符屏蔽码的简写)。例如,假定我们希望允许从 192.168.5.25 来的报文,则应该制定如下标准IP访问控制列表语句:如果采用关键字 host,则也可以用下面的语句来代替:,第二部分:标准访问控制列表,三、any参数讲解 any 是源地证通配符屏蔽码“0.O.O.O 255.255.255.255”的简写。假定我们要拒绝从源地址 192.168.5.25 来的报文,并且要允许从其他源地址来的报文,则应制定如下标准IP访问控制列表语句:上述命令可以进行如下简写:access-list 55 deny
9、host 192.168.5.25 access-list 55 permit any,第二部分:标准访问控制列表,四、标准访问控制列表常见错误分析(1)、标准访问控制列表中语句顺序错误:(2)、标准访问控制列表中列表号错误access-list 166 deny host 192.168.5.25access-list 166 permit any(3)不需要在标准访问控制列表的最后添加“deny any”语句access-list 66 permit host 192.168.5.25access-list 66 deny any(4)、忘记在标准访问控制列表的最后添加“permit an
10、y”语句,第二部分:标准访问控制列表,五、permit 和 deny 应用的规则(1)最终目标是尽量让访问控制中的条目少一些。另外,访问控制列表是自上而下逐条对比,所以一定要把条件严格的列表项语句放在上面,然后再将条件稍严格的列表选项放在其下面,最后放置条件宽松的列表选项,还要注意,一般情况下,拒绝应放在允许上面。(2)如果拒绝的条目少一些,这样可以用 DENY,但一定要在最后一条加上允许其它通过,否则所有的数据包将不能通过。(3)如果允许的条目少一些,这样可以用 PERMIT,后面不用加拒绝其它(系统默认会添加 deny any)。(4)最后,用户可以根据实际情况,灵活应用 deny 和 p
11、ermit 语句。总之,当访问控制列表中有拒绝条目时,在最后面一定要有允许,因为ACL中系统默认最后一条是拒绝所有。,第二部分:标准访问控制列表,六、应用标准访问控制列表 在定义了访问控制列表后,还必须将访问控制列表应用到路由器的某一个接口中。(1)语法格式 Router(config-if)#ip access-group access-list-number in|out(2)参数说明必须先进入路由器的某一个接口,再使用“ip access-group”命令,将指定的访问控制列表应用到当前路由器接口中。参数 in 和 out 表示访问控制列表作用在接口上的方向。(这里的 in 和 out
12、是以当前路由器本身为参照点的,控制数据包由外向内进入当前路由器指定接口为“in”;控制数据包由内向外流出当前路由器指定接口为“out”)。,第二部分:标准访问控制列表,七、标准访问控制列表例题一:in方向控制Router(configRouter(config)#access-list 66 permit anyRouter(config)#interface ethernet 0/0Router(config-if)#ip access-group 66 in,第二部分:标准访问控制列表,八、标准访问控制列表例题二:out方向控制Router(configRouter(config)#acc
13、ess-list 77 deny 192.168.3.0 0.0.0.255 Router(config)#access-list 77 permit anyRouter(config)#interface ethernet 0/1Router(config-if)#ip access-group 77 out,第二部分:标准访问控制列表,九、下面图示中,谁可以与主机A通信?,第二部分:标准访问控制列表,十、虚拟终端访问控制 标准访问列表和控制访问列表不会拒绝来自路由器虚拟终端的访问,基于安全考虑,对路由器虚拟终端的访问和来自路由器虚拟终端的访问都应该被拒绝,以下设置:只允许 192.168.
14、5.0 网段内的主机访问路由器的虚拟端口。,第三部分:扩展访问控制列表,一、扩展访问控制列表简介 顾名思义,扩展的IP访问控制列表用于扩展报文过滤能力。一个扩展的IP访问控制列表允许用户根据如下内容过滤报文:源地址、目的地址、协议类型、源端口、目的端口以及在特定报文字段中允许进行特殊位比较等等。例如,通过扩展IP访问控制列表用户可以实现:允许外部WEB通信量通过,而拒绝外来的FTP和Telnet通信量。扩展ACL既检查数据包的源地址,也检查数据包的目的地址。此外,还可以检查数据包特定的协议类型、端口号等。这种扩展后的特性给管理员带来了更大的灵活性,可以灵活多变地设置ACL的测试条件。数据包是否
15、被允许通过出口,既可以基于它的源地址,也可以基于它的目的地址。,第三部分:扩展访问控制列表,二、扩展访问控制列表的定义(1)语法格式:Router(config)#access-list access-list-number|permit|deny|protocol source source-wildcardmask destination desitination-wildcardmask operator port(2)参数说明list number:扩展IP访问控制列表的表号标识从l00到199。protocol:定义了需要被过滤的协议,例如IP、TCP、UDP、ICMP.源端口号和目
16、的端口号:源端口号可以用几种不同的方法来指定。它可以显式地指定,使用一个数字或者使用一个可识别的助记符。例如,我们可以使用80或者http来指定Web的超文本传输协议。目的端口号的指定方法与源端口号的指定方法相同。,第三部分:扩展访问控制列表,三、常用的服务端口号文件传输服务(FTP)使用的默认端口号为 20、21(其中数据传输使用端口 20、控制命令的传输使用端口 21)Telnet 远程登录服务使用的默认端口号为 23 简单邮件服务(SMTP)使用的默认端口号为 25 简单文件传输服务(TFTP)使用的默认端口号为 69 域名服务(DNS)使用的默认端口号为 53 WEB服务(HTTP)使
17、用的默认端口号为 80,第三部分:扩展访问控制列表,四、扩展访问控制列表应用一:Router(config)#access-list 116 deny ipRouter(config)#access-list 116 permit ip any anyRouter(config)#interface ethernet 0/0Router(config-if)#ip access-group 116 in,目的:拒绝主机 192.168.1.11 对 192.168.2.0 网络内任何主机的任何访问。由于可根据目标IP地址对数据包进行过滤,因此原则上扩展访问控制列表应放置离源主机最近的位置。这样
18、可减少无用数据饭的传递,从而减少网络流量。,第三部分:扩展访问控制列表,五、扩展访问控制列表应用二:Router(config)#access-list 118 permit tcp 192.168.1.0 0.0.0.255 any eq wwwRouter(config)#access-list 118 permit tcp 192.168.1.0 0.0.0.255 any eq 21Router(config)#access-list 118 permit tcp 192.168.1.0 0.0.0.255 any eq 20Router(config)#interface ether
19、net 0/0Router(config-if)#ip access-group 118 in,目的:不允许网段的用户访问网络内除WEB、FTP服务以外的其他服务。(由于默认禁止了ICMP数据包,因此,虽然网络内的主机可以WEB、FTP方式访问指定的主机,但无法ping通提供WEB、FTP服务的主机:、),第三部分:扩展访问控制列表,六、扩展访问控制列表应用三:Router(config)#access-list 128 permit tcp any host 192.168.2.2 eq wwwRouter(config)#access-list 128 permit tcp any hos
20、t 192.168.2.2 eq 21Router(config)#access-list 128 permit tcp any host 192.168.2.2 eq 20Router(config)#interface ethernet 0/1Router(config-if)#ip access-group 128 out,目的:只允许所有主机访问 服务器提供的WEB和 FTP服务。,第三部分:扩展访问控制列表,七、扩展访问控制列表应用四:Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0
21、.0.255 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 out,目的:(1)拒绝网络172.16.4.0 的FTP通信流量通过e0,第三部分:扩展访问控制列表,八、扩展访问控制列表应用五:Router(config)#access-list 101 permit tcp any 172.16.4.0 0.0.0.255 eq 25Router(config)#interface ethe
22、rnet 1Router(config-if)#ip access-group 101 out,目的:(1)只允许外部网络的SMTP通信流量通过e1,第四部分:命名访问控制列表,一、命名访问控制列表简介 命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串来替代前面所使用的数字来表示ACL表号。在使用列表号表示的“标准IP访问控制列表”和“扩展IP访问控制列表”中,如果输入的语句出现错误,用户不能方便地进行修改,而必须先将整个ACL列表删除后,再重新创建。而在使用名字表示的“标准IP访问控制列表”和“扩展IP访问控制列表”中,用户可以方便地对ACL语句进行修改。另外,在设计命名
23、的控制列表时,应该注意:(1)、11.2 以前的版本的 Cisco IOS 不支持命名的 ACL。(2)、不能以同一个名字来命名多个 ACL。,第四部分:命名访问控制列表,二、定义和应用命名标准访问控制列表(1)定义标准命名访问控制列表名称:Router(config)#ip access-list standard access-list-name(2)应用标准命名访问控制列表到路由器指定端口的指定方向上Router(config-if)#ip access-group access-list-name in|out 三、定义和应用命名扩展访问控制列表(1)定义扩展命名访问控制列表名称:Ro
24、uter(config)#ip access-list extended access-list-name(2)应用扩展命名访问控制列表到路由器指定端口的指定方向上Router(config-if)#ip access-group access-list-name in|out,第四部分:命名访问控制列表,四、命名标准访问控制列表实例(1)功能实现:禁止源地址为 192.168.5.25 的数据包流入路由器的 E 0/0 接口,其实就是禁止了 192.168.5.25 主机的对外访问。(2)拓朴结构,第四部分:命名访问控制列表,3、定义标准命名访问控制列表Router(config)#ip a
25、ccess-list standard block25 Router(config-std-nacl)#Router(config-std-nacl)#permit any Router(config-std-nacl)#exit4、应用标准命名访问控制列表到路由器指定接口的指定方向上Router(config)#interface ethernet 0/0 Router(config-if)#ip access-group block25 in,第五部分:时间访问控制列表,一、基于时间的访问控制列表 基于时间的访问控制列表可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控
26、制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。配置基于时间的访问控制列表之前,必须正确配置路由器的时间:配置时间语法:#clock set hh:mm:ss MONTH,第五部分:时间访问控制列表,二、定义时间名称Router(config)#time-range time-range-name time-range:用来定义时间范围time-range-name:时间范围名称,以便在后面的访问控制列表中引用三、定义时间名称所指向的具体时间范围(1)定义绝对时间范围Router(config-time-range
27、)#absolute start hh:mm MONTH end hh:mm month 该命令用来指定绝对时间范围。它后面紧跟start和 end两个关键字。在两个关键字后面的时间要以24小时制和“hh:mm(小时:分钟)”表示,日期要按照“日/月/年”形式表示。,第五部分:时间访问控制列表,(2)定义相对时间范围 Router(config-time-range)#periodic 星期几(英文)hh:mm to hh:mm 主要以星期为参数来定义时间范围。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个
28、或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。基于时间访问列表的设计中,用time-range 命令来指定时间范围的名称,然后用 absolute 命令,或者一个或多个 periodic 命令来具体定义时间范围。但两者不能同时使用,否则配置会失效。,第五部分:时间访问控制列表,四、将时间范围名称作用到指定的访问控制列表中 Router(config)#access-list 列表编号 deny|permit ip 源ip 源掩码 目标ip 目标掩码 time-range time-range-name Router(config)#acce
29、ss-list permit any any五、将访问控制列表添加到指定接口的指定方向Router(config)#interface fastethernet 模块/接口Router(config-if)#ip access-group 列表号 in|out,第五部分:时间访问控制列表,六、实例演示(1)拓朴结构,第五部分:时间访问控制列表,(2)实验要求,(3)实验命令,第五部分:时间访问控制列表,七、访问控制列表命令清单,第六部分:ACL存放位置分析,一、网络拓朴结构,二、标准访问控制列表存放位置分析 如果要A的网络拒绝来自网络的访问,访问控制列表为:access-list 1 perm
30、it any 显然把这条ACL放在除A之外的任何路由器的任何端口都是不合适的,这样会影响到向B和C发送数据。,第六部分:ACL存放位置分析,三、扩展访问控制列表存放位置分析 如果要A拒绝来自网络的TELNET访问,扩展访问控制列表为:access-list 102 deny tcp 192.168.5.0 0.0.0.255 eq 23 access-list 102 permit ip any any 如果把这条ACL放在A中,尽管可以对访问进行控制,但被丢弃的数据流还是在网络中传送。所以最好能在D就把他限制掉。标准访问控制列表原则上最好放置在离目标主机(网络)最近的位置;扩展访问控制列表原
31、则上最好放置在离源主机(网络)最近的位置。,附加:标准访问控制列表示例一:,RtA(configRtA(config)#interface ethernet 0RtA(config-if)#ip access-group 10 outRtA(config-if)#interface ethernet 1RtA(config-if)#ip access-group 10 out,允许161.207.0.0网段的通信量;禁止其他的通信量。,附加:标准访问控制列表示例二:,RtA(config)#RtA(config)#access-list 10 permit anyRtA(config)#int
32、erface ethernet 1RtA(config-if)#ip access-group 10 in,拒绝来自主机的数据;允许其他的通信量。,附加:标准访问控制列表示例三:,RtA(configRtA(config)#access-list 10 permit anyRtA(config)#interface serial 0RtA(config-if)#ip access-group 10 in,拒绝来自子网的数据;允许其他的通信量。,附加:标准访问控制列表示例四:,RtA(configRtA(config)#line vty 0 4RtA(config-line)#access-cl
33、ass 50 in注意:要允许telnet服务还应进行vty线路的口令设置:RtA(config-line)#loginRtA(config-line)#password myrouter或:RtA(config-line)#no login,控制虚拟终端VTY的访问:只允许主机161.207.2.4登录路由器;拒绝其他主机的登录请求。,注意事项,(1)对每个路由器端口、每一种协议都可以创建一个ACL。(2)对有些协议,可以建立一个ACL来过滤流入通信流量,同时创建一个ACL来过滤流出通信流量。(3)注意:在一个端口上,对于每一方向的数据流,每一种协议有且只能有一个ACL。(4)ACL作为一种全局配置保存在配置文件中。(5)网络管理员可根据需要将ACL运行在某个端口,并指明是针对流入还是流出数据。(6)ACL只有运行在某个具体的端口才有意义。,
