《访问控制列表配置精选PPT.ppt》由会员分享,可在线阅读,更多相关《访问控制列表配置精选PPT.ppt(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、访问控制列表配置访问控制列表配置1第1页,此课件共26页哦ACL配置配置 路由器的高路由器的高路由器的高路由器的高级功能访级功能访级功能访级功能访问控制列表问控制列表问控制列表问控制列表配置配置配置配置本本 课课 目目 录录ACL概述概述 2第2页,此课件共26页哦7.1.1 ACL概述概述ACL概概述述防火墙作为防火墙作为InternetInternet访问控制的基本技术,其访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访被转发还
2、是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。问网络并保障合法用户正常工作。一般应将防火墙置于被保护网络的入口点来执一般应将防火墙置于被保护网络的入口点来执行访问控制。例如,将防火墙设置在内部网行访问控制。例如,将防火墙设置在内部网和外部网的连接处,以保护内部网络或数据和外部网的连接处,以保护内部网络或数据免于为未认证或未授权的用户访问,防止来免于为未认证或未授权的用户访问,防止来自外网的恶意攻击。也可以用防火墙将企业自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离网中比较敏感的网段与相对开放的网段隔离开来,对受保护数据的访问都必须经过防火开来,对受保
3、护数据的访问都必须经过防火墙的过滤,即使该访问是来自组织内部。墙的过滤,即使该访问是来自组织内部。3第3页,此课件共26页哦7.1.1 ACL概述概述ACL概概述述防火墙可通过监测、限制、更改跨越防火防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现部的信息、结构和运行状况,以此来实现网络的安全保护。现在的许多防火墙同时网络的安全保护。现在的许多防火墙同时还具有一些其它特点,如进行用户身份鉴还具有一些其它特点,如进行用户身份鉴别,对信息进行安全(加密)处理等等。别,对信息进行安全(加密)处理等等。在路
4、由器上配置了防火墙特性后,路由器在路由器上配置了防火墙特性后,路由器就成了一个健壮而有效的防火墙。就成了一个健壮而有效的防火墙。4第4页,此课件共26页哦7.1.1 ACL概述概述ACL概概述述2.2.防火墙的分类防火墙的分类 一般把防火墙分为两类:网络层防火墙、应一般把防火墙分为两类:网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据用层防火墙。网络层的防火墙主要获取数据包的包头信息,如协议号、源地址、目的地包的包头信息,如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数址和目的端口等或者直接获取包头的一段数据,而应用层的防火墙则对整个信息流进行据,而应用层的防火墙则对整个信
5、息流进行分析。分析。5第5页,此课件共26页哦7.1.1 ACL概述概述ACL概概述述常见的防火墙有以下几类:常见的防火墙有以下几类:应用网关:检验通过网关的所有数据包中的应用层数据。应用网关:检验通过网关的所有数据包中的应用层数据。包过滤:对每个数据包按照用户所定义的项目进行过滤,如比包过滤:对每个数据包按照用户所定义的项目进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态,也不分析数据。如用户规定允许端口是管会话的状态,也不分析数据。如用户规定允许端口是2121或者大于等于或者大于等于10241024的数据包通过,
6、则只要端口符合该条件,数的数据包通过,则只要端口符合该条件,数据包便可以通过此防火墙。若配置的规则比较符合实际应用的话,据包便可以通过此防火墙。若配置的规则比较符合实际应用的话,在这一层能过滤掉很多有安全隐患的数据包。在这一层能过滤掉很多有安全隐患的数据包。代理:一般位于一台代理服务器或路由器上。它的机制是将代理:一般位于一台代理服务器或路由器上。它的机制是将网内主机的网内主机的IPIP地址和端口替换为服务器或路由器的地址和端口替换为服务器或路由器的IPIP地址地址和端口。使用代理服务器可以让所有的外部网络的主机与内部网和端口。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须
7、通过它来实现,这样可以控制对内部网络中络之间的访问都必须通过它来实现,这样可以控制对内部网络中具有重要资源的机器的访问。具有重要资源的机器的访问。6第6页,此课件共26页哦IPIP包过滤技术介绍包过滤技术介绍对路由器需要转发的数据包,先获取包头信对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。包过滤的核心技术是访问控制列表。Internet公司总部公司总部内部网络内部网络未授权用户未授权用户办事处办事处ACL概概述述7第7
8、页,此课件共26页哦访问控制列表的作用访问控制列表的作用访问控制列表可以用于防火墙;访问控制列表可以用于防火墙;访问控制列表可以用于访问控制列表可以用于QosQos(Quality of Quality of ServiceService),对数据流量进行控制;),对数据流量进行控制;在在DCCDCC中,访问控制列表还可用来规定触发拨中,访问控制列表还可用来规定触发拨号的条件;号的条件;访问控制列表还可以用于地址转换;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。作路由信息的过滤。ACL概概述述8第8页,此课件
9、共26页哦访问控制列表是什么?访问控制列表是什么?一个一个IPIP数据包如下图所示(图中数据包如下图所示(图中IPIP所承载的所承载的上层协议为上层协议为TCP/UDPTCP/UDP):):IP报头报头TCP/UDP报报头头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于对于TCP/UDP来说,这来说,这5个元素组成了一个个元素组成了一个TCP/UDP相关,访问控制相关,访问控制列表就是利用这些元素定列表就是利用这些元素定义的规则义的规则ACL概概述述9第9页,此课件共26页哦如何标识访问控制列表?如何标识访问控制列表?利用数字标识访问控制列表利用数字标识访问控
10、制列表利用数字范围标识访问控制列表的种类利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围IP standard list199IP extended list100199ACL概概述述10第10页,此课件共26页哦标准访问控制列表标准访问控制列表标准访问控制列表只使用源地址描述数据,标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。表明是允许还是拒绝。从从202.110.10.0/24来来的数据包可以通的数据包可以通过!过!从从192.110.10.0/24来的数据包不能来的数据包不能通过!通过!路由器路由器ACL概概述述11第11页,此课件共26页哦
11、标准访问控制列表的配置标准访问控制列表的配置配置标准访问列表的命令格式如下:配置标准访问列表的命令格式如下:acl acl acl-number acl-number match-order auto|match-order auto|config config rule normal|special permit|rule normal|special permit|deny sourcedeny source source-addr source-source-addr source-wildcardwildcard|any|any 怎样利用 IP 地址 和 反掩码wildcard-mas
12、k 来表示一个网段?ACL配配置置12第12页,此课件共26页哦如何使用反掩码如何使用反掩码反掩码和子网掩码相似,但写法不同:反掩码和子网掩码相似,但写法不同:0 0表示需要比较表示需要比较1 1表示忽略比较表示忽略比较反掩码和反掩码和IPIP地址结合使用,可以描述一个地地址结合使用,可以描述一个地址范围。址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位ACL配配置置13第13页,此课件共26页哦扩展访问控制列表扩展访问控制列表扩展访问控制列表使用除源地址外更多的信扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。息描述数据包,
13、表明是允许还是拒绝。从从202.110.10.0/24来的来的,到到179.100.17.10的,的,使用使用TCP协议,协议,利用利用HTTP访问的访问的数据包可以通过!数据包可以通过!路由器路由器ACL配配置置14第14页,此课件共26页哦扩展访问控制列表的配置命令扩展访问控制列表的配置命令配置配置TCP/UDPTCP/UDP协议的扩展访问列表:协议的扩展访问列表:rule normal|special permit|deny rule normal|special permit|deny tcp|udp source tcp|udp source source-addr source-w
14、ildcard source-addr source-wildcard|any source-port|any source-port operator port1 operator port1 port2 port2 destination destination dest-addr dest-wildcarddest-addr dest-wildcard|any|any destination-portdestination-port operator port1 operator port1 port2 port2 loggingloggingACL配配置置15第15页,此课件共26页哦
15、扩展访问控制列表的配置命令扩展访问控制列表的配置命令配置配置ICMPICMP协议的扩展访问列表:协议的扩展访问列表:rule normal|special permit|deny icmp source rule normal|special permit|deny icmp source source-addr source-wildcard|any destination dest-source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-addr des
16、t-wildcard|any icmp-type icmp-type icmp-code loggingcode logging配置其它协议的扩展访问列表:配置其它协议的扩展访问列表:rule normal|special permit|deny ip|ospf|igmp rule normal|special permit|deny ip|ospf|igmp|gre source source-addr source-wildcard|any|gre source source-addr source-wildcard|any destination dest-addr dest-wildc
17、ard|any loggingdestination dest-addr dest-wildcard|any loggingACL配配置置16第16页,此课件共26页哦扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号portnumberrangeportnumber1 portnumber2介于端口号portnu
18、mber1 和portnumber2之间ACL配配置置17第17页,此课件共26页哦扩展访问控制列表举例扩展访问控制列表举例10.1.0.0/16ICMP主机重定向报文主机重定向报文rule deny icmp source 10.1.0.0 0.0.255.255 rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirectdestination any icmp-type host-redirectrule deny tcp source 129.9.0.0 0.0.255.255 ru
19、le deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-destination 202.38.160.0 0.0.0.255 destination-port equal www loggingport equal www logging129.9.0.0/16TCP报文报文202.38.160.0/24WWW 端口端口ACL配配置置18第18页,此课件共26页哦如何使用访问控制列表如何使用访问控制列表防火墙配置常见步骤:防火墙配置常见步骤:启用防火墙启用防火墙定义访问控制列
20、表定义访问控制列表将访问控制列表应用到接口上将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上ACL配配置置19第19页,此课件共26页哦防火墙的属性配置命令防火墙的属性配置命令打开或者关闭防火墙打开或者关闭防火墙firewall enable|disable firewall enable|disable 设置防火墙的缺省过滤模式设置防火墙的缺省过滤模式firewall default permit|deny firewall default permit|deny 显示防火墙的状态信息显示防火墙的状态信息display firewalldisplay
21、 firewallACL配配置置20第20页,此课件共26页哦在接口上应用访问控制列表在接口上应用访问控制列表将访问控制列表应用到接口上将访问控制列表应用到接口上指明在接口上是指明在接口上是OUTOUT还是还是ININ方向方向在接口视图下配置:在接口视图下配置:firewall packet-filter firewall packet-filter acl-numberacl-number inbound|outboundinbound|outboundEthernet0访问控制列表访问控制列表101作用在作用在Ethernet0接口接口在在out方向有效方向有效Serial0访问控制列表访
22、问控制列表3作用在作用在Serial0接口接口上上在在in方向上有效方向上有效ACL配配置置21第21页,此课件共26页哦基于时间段的包过滤基于时间段的包过滤“特殊时间段内应用特殊的规则特殊时间段内应用特殊的规则”Internet上班时间上班时间(上午(上午8:00 下午下午5:00)只能访问特定的站点;其余只能访问特定的站点;其余时间可以访问其他站点时间可以访问其他站点ACL配配置置22第22页,此课件共26页哦时间段的配置命令时间段的配置命令time range time range 命令命令timerange enable|disable timerange enable|disable
23、 settr settr 命令命令settr begin-time end-time begin-settr begin-time end-time begin-time end-time.time end-time.undo settrundo settr显示显示 isintr isintr 命令命令display isintrdisplay isintr显示显示 timerange timerange 命令命令display timerangedisplay timerangeACL配配置置23第23页,此课件共26页哦访问控制列表的组合访问控制列表的组合一条访问列表可以由多条规则组成一条
24、访问列表可以由多条规则组成,对于这些规则,有两种匹对于这些规则,有两种匹配顺序:配顺序:autoauto和和configconfig。规则冲突时,若匹配顺序为规则冲突时,若匹配顺序为autoauto(深度优先),(深度优先),描述的地址描述的地址范围越小的规则,将会优先考虑。范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和深度的判断要依靠通配比较位和IPIP地址结合比较地址结合比较rule deny 202.38.0.0 0.0.255.255 rule deny 202.38.0.0 0.0.255.255 rule permit 202.38.160.0 0.0.0.255 ru
25、le permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段两条规则结合则表示禁止一个大网段 (202.38.0.0202.38.0.0)上的主机)上的主机但允许其中的一小部分主机(但允许其中的一小部分主机(202.38.160.0202.38.160.0)的访问。)的访问。规则冲突时,若匹配顺序为规则冲突时,若匹配顺序为configconfig,先配置的规则会被优先,先配置的规则会被优先考虑。考虑。ACL配配置置24第24页,此课件共26页哦本本 课课 总总 结结ACL配置配置 路由器的高路由器的高路由器的高路由器的高级功能访级功能访级功能访级功能访问控制列表问控制列表问控制列表问控制列表配置配置配置配置ACL概述概述 25第25页,此课件共26页哦谢谢谢谢大大家家!在在华华为为路路由由器器上上配配置置动动态态路路由由OSPF协协议议26第26页,此课件共26页哦