收藏
下载资源 加入VIP免费专享

SwitchRouter第11课ACL.ppt

上传人:牧羊曲112 文档编号:5449809 上传时间:2023-07-08 格式:PPT 页数:41 大小:1.08MB
返回 下载 相关 举报
SwitchRouter第11课ACL.ppt_第1页
第1页 / 共41页
SwitchRouter第11课ACL.ppt_第2页
第2页 / 共41页
SwitchRouter第11课ACL.ppt_第3页
第3页 / 共41页
SwitchRouter第11课ACL.ppt_第4页
第4页 / 共41页
SwitchRouter第11课ACL.ppt_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《SwitchRouter第11课ACL.ppt》由会员分享,可在线阅读,更多相关《SwitchRouter第11课ACL.ppt(41页珍藏版)》请在三一办公上搜索。

1、路由器交换机安装与调试技术提高课程,网络工程系网络技术教研室,第3章 访问控制列表,教学目标,通过本章学习使学生能够:掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,常见的网络攻击:,网络攻击手段多种多样,以上是最常见的几种,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,额外的不安全因素,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,现有网络安全体制,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测

2、,什么是访问列表,IP Access-list:IP访问列表或访问控制列表,简称IP ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,为什么要使用访问列表,RG-S2126,RG-S3512G/RG-S4009,RG-NBR1000,Internet,RG-S2126,不同部门所属VLAN不同,技术部VLAN20,财务部VLAN10,隔离病毒源,隔离外网病毒,访问列表,访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤第一步,定义规则(哪些数据允

3、许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上访问控制列表规则的分类:1、标准访问控制列表2、扩展访问控制列表,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制1.入栈应用(in)经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用(out)设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,访问列表的入栈应用,N,Y,是否允许?,Y,是否应用访问列表?,N,查找路由

4、表进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口S0,路由表中是否存在记录?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,访问列表的出栈应用,IP ACL的基本准则,一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾,至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝”,Y,拒绝,Y,是否匹配规则条件1?,允许,N,拒绝,允许,是否匹配规则条件2?,拒绝,是否匹配最后一个条件?,

5、Y,Y,N,Y,Y,允许,隐含拒绝,N,一个访问列表多条过滤规则,访问列表规则的定义,标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值,反掩码(通配符掩码),do not check address(ignore bits in octet),=,0,0,0

6、,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bits(match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符掩码指明特定的主机,例如 检查所有的地址位 可以简写为 host(host 172.30.16.29),Test conditions:Check all the address bits(match all),172.30.16.29

7、,(checks all bits),An IP host address,for example:,Wildcard mask:,通配符掩码指明所有主机,所有主机:可以用 any 简写,Test conditions:Ignore all the address bits(match any),0.0.0.0,(ignore all),Any IP address,Wildcard mask:,通配符掩码和IP子网的对应,Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24,Network.host.0,Wildcard mask:0 0

8、 0 0 1 1 1 1|0 0 0 1 0 0 0 0=16 0 0 0 1 0 0 0 1=17 0 0 0 1 0 0 1 0=18:0 0 0 1 1 1 1 1=31,Address and wildcard mask:,IP标准访问列表的配置,1.定义标准ACL编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码命名的标准访问列表 switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router

9、(config-if)#ip access-group in|out,F1/0,S1/2,F1/1,IP标准访问列表配置实例(一),配置:(access-list 1 deny any)interface serial 1/2ip access-group 1 out,标准访问列表配置实例(二),需求:你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。配置:ip access-list extended abcpermit host 192.168.2.8,IP扩展访问列表的配置,1.定义扩展的ACL编号的扩展ACLRouter(config)#

10、access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口Router(config-if)#ip access-group in|out,IP扩展访问列表配置实例(一),如何创建一条扩展ACL用于允许指定网络(192.168.x.x)的所有主机以HTTP访问服务器,但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp

11、192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router#show access-lists 103,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp an

12、y any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,封杀QQ,通过路由器的

13、ACL和封杀QQ上网,基本上默认的QQ设置是上了了,除了代理!Conf tIp access-list ext stop qqdeny udp any any eq 8000deny udp any any eq 8001deny udp any any eq 4000deny udp any any eq 4001,deny udpdeny udpdeny udpdeny udpdeny udpdeny udpdeny udpdeny ipdeny ip,deny ipdeny ipdeny ipdeny ipdeny ipdeny ipdeny ippermit ip any anyint

14、 fa0/1#ISP进口ip access-group 100 out,访问列表的验证,显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 接口名称 接口编号,使用ACL时应该注意,因为ACL中包含了一条隐含语句拒绝所有,因此使用ACL要小心,至少ACL中要有一条允许语句,否则所有数据包都会被ACL拒绝。ACL命令的放置顺序是很重要的。当路由器在决定是否转发或者阻止数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检查数据包是否

15、满足某一个指令条件。所以应该氢限制最严格的语句放在ACL的顶端,这样可以提高性能。当检测到某个命令条件满足的时候,就不会再检测后面的指令条件。应该先创建ACL,再将其绑定到入口或者是出口。ACL只能过滤通过路由器的数据流量,不能过滤路由器本身产生的数据流量。一个端口在一个方向上只能应用一组ACL,ACL的局限性,由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。,A公司的某位可怜的网

16、管目前面临了一堆问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了5个VLAN。分别是内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。,课程回顾,IP访问控制列表,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号