收藏
下载资源

SwitchRouter第11课ACL.ppt

上传人:赵** 文档编号:68606079 上传时间:2022-12-29 格式:PPT 页数:41 大小:1.84MB
返回 下载 相关 举报
SwitchRouter第11课ACL.ppt_第1页
第1页 / 共41页
SwitchRouter第11课ACL.ppt_第2页
第2页 / 共41页
点击查看更多>>
资源描述

《SwitchRouter第11课ACL.ppt》由会员分享,可在线阅读,更多相关《SwitchRouter第11课ACL.ppt(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第3 3章章 访问控制列表访问控制列表 教学目标 通过本章学习使学生能够:通过本章学习使学生能够:掌握基于掌握基于IPIP的标准、扩展的标准、扩展ACLACL技术进行网络安全访问控技术进行网络安全访问控制。制。常见的网络攻击:网络攻击手段多种多样,以上是最常见的几种网络攻击手段多种多样,以上是最常见的几种攻击不可避免攻击工具体系化攻击工具体系化 网络攻击原理日趋复杂,但攻击却变得越来越简单易操作网络攻击原理日趋复杂,但攻击却变得越来越简单易操作额外的不安全因素 DMZ E-Mail File Transfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市

2、场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织现有网络安全体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%VPN VPN VPN VPN 虚拟专用网虚拟专用网虚拟专用网虚拟专用网防火墙防火墙包过滤包过滤防病毒防病毒入侵检测入侵检测什么是访问列表 IP Access-listIP Access-list:IPIP访问列表或访问控制列表,简称访问列表或访问控制列表,简称IP ACLIP ACLACLACL就是对经过网络设备的数据包根据一

3、定的规则进行数据包的过滤就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP 为什么要使用访问列表RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒访问列表 访问控制列表的作用:访问控制列表的作用:访问控制列表的作用:访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问内网布署安全策略,保证内网安全权限的资源访问内网布署安全策略,保证内网安全权限的资源访问内网布署安全策略,

4、保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤内网访问外网时,进行安全的数据过滤内网访问外网时,进行安全的数据过滤内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏防止常见病毒、木马、攻击对用户的破坏防止常见病毒、木马、攻击对用户的破坏防止常见病毒、木马、攻击对用户的破坏访问列表的组成 定义访问列表的步骤定义访问列表的步骤定义访问列表的步骤定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪

5、些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类:访问控制列表规则的分类:访问控制列表规则的分类:访问控制列表规则的分类:1 1 1 1、标准访问控制列表、标准访问控制列表、标准访问控制列表、标准访问控制列表2 2 2 2、扩展访问控制列表、扩展访问控制列表、扩展访问控制列表、扩展访问控制列表标准标准标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展扩展扩展检查源地址和目的地址

6、检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向进方向和出方向进方向和出方向 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口的数据包进行控制1.1.入栈应用(入栈应用(inin)经某接口进入设备内部的数据包进行安全规则过滤2.2.出栈应用(出栈应用(outout)设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT访问列表的入栈应用NY是否允许是否允许?Y是否

7、应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以以ICMPICMP信息通知源发送方信息通知源发送方以以ICMPICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用IP ACL的基本准则 一切未被允许的就是禁止的一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配按规则链来进行匹配使用

8、源地址、目的地址、源端口、目的端口、协议、时间段进行匹使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配配 规则匹配原则规则匹配原则从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许允许/拒绝拒绝”Y拒绝拒绝Y是否匹配是否匹配规则条件规则条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配规则条件规则条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个条件条件?YYNYY允许允许隐含拒绝隐含拒绝N 一个访问列表多条过滤规则访问列表规则的定义 标准访问列表标准访问列表标准访问列表标准访问列表根据数据包源根据数据包源根

9、据数据包源根据数据包源IPIPIPIP地址进行规则定义地址进行规则定义地址进行规则定义地址进行规则定义 扩展访问列表扩展访问列表扩展访问列表扩展访问列表根据数据包中源根据数据包中源根据数据包中源根据数据包中源IPIPIPIP、目的、目的、目的、目的IPIPIPIP、源端口、目的端口、协议进行规则定义、源端口、目的端口、协议进行规则定义、源端口、目的端口、协议进行规则定义、源端口、目的端口、协议进行规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号 IP扩展访问列表TCP/UDP数据数据IPeg.H

10、DLC100-199 号列表号列表 0 0 0 0 表示检查与之对应的地址位的值表示检查与之对应的地址位的值表示检查与之对应的地址位的值表示检查与之对应的地址位的值1 1 1 1表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值 反掩码(通配符掩码)反掩码(通配符掩码)do not check address(ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address val

11、ue for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符掩码指明特定的主机例如例如 172.30.16.29 0.0.0.0172.30.16.29 0.0.0.0 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host host(host 172.30.16.29)(host 172.30.16.29)Test conditions:Check all the address b

12、its(match all)172.30.16.290.0.0.0(checks all bits)An IP host address,for example:Wildcard mask:通配符掩码指明所有主机所有主机所有主机:0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255可以用可以用 any any 简写简写Test conditions:Ignore all the address bits(match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符

13、掩码和IP子网的对应Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24Network Network .host 172.30.16172.30.16.00 00 00 01 10000Wildcard mask:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 =16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18:0 0 0 1 1 1 1 1 =31Address and wildcard mask:Address and wildcard mask:172.30.16.0 0.0.15

14、.255172.30.16.0 0.0.15.255 IP标准访问列表的配置1.1.定义标准定义标准定义标准定义标准ACLACL编号的标准访问列表编号的标准访问列表编号的标准访问列表编号的标准访问列表Router(config)#accessRouter(config)#access-list -list permit|denypermit|deny 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 命名的标准访问列表命名的标准访问列表命名的标准访问列表命名的标准访问列表 switch(configswitch(config)#ip access-list standard)#ip acce

15、ss-list standard switch(config-std-nacl)#permit|denyswitch(config-std-nacl)#permit|deny 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 2.2.应用应用应用应用ACLACL到接口到接口到接口到接口Router(config-if)#ipRouter(config-if)#ip access-group in|out access-group in|out 172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0 IP标准访问列表配置实例(一)配置:配置:配置:配置:acces

16、s-list 1 permit 172.16.3.0 0.0.0.255access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any)(access-list 1 deny any)interface serial 1/2interface serial 1/2ip access-group 1 outip access-group 1 out标准访问列表配置实例(二)需求:需求:需求:需求:你是某校园网管,领导要你对网络的数据流量进行控制你是某校园网管,领导要你对网络的数据流量进行控制你是某校园网管,领导要你对网络的数据流

17、量进行控制你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。要求校长可以访问财务的主机,但教师机不可以访问。要求校长可以访问财务的主机,但教师机不可以访问。要求校长可以访问财务的主机,但教师机不可以访问。配置:配置:配置:配置:ipip access-list extended access-list extended abcabcpermit host 192.168.2.8 permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255deny 192.168.2.0 0.0.0.255财务财务192.1

18、68.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长校长 IP扩展访问列表的配置1.1.定义扩展的定义扩展的定义扩展的定义扩展的ACLACL编号的扩展编号的扩展编号的扩展编号的扩展ACLACLRouter(config)#access-list permit/deny 协议协议 源地源地址址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 命名的扩展命名的扩展命名的扩展命名的扩展ACLACLip access-list extended name permit/deny 协议协议 源地址源地

19、址 反反掩码掩码源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 2.2.应用应用应用应用ACLACL到接口到接口到接口到接口Router(config-if)#ipRouter(config-if)#ip access-group in|out access-group in|out IP扩展访问列表配置实例(一)如何创建一条扩展如何创建一条扩展如何创建一条扩展如何创建一条扩展ACLACL用于允许指定网络(用于允许指定网络(用于允许指定网络(用于允许指定网络(192.168.x.x192.168.x.x)的所有主机以)的所有主机以)的所有主机以)的所有主机以HTTPHTTP访问

20、服务器访问服务器访问服务器访问服务器172.168.12.3172.168.12.3,但拒绝其它所有主机使用网络,但拒绝其它所有主机使用网络,但拒绝其它所有主机使用网络,但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router#show access-lists 103access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135acces

21、s-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any

22、 eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例(二)利用利用ACLACL隔离冲击波病毒隔离冲击波病毒封杀QQ通过路由器的通过路由器的ACLACL和封杀和封杀QQQQ上网上网,基本上默认的基本上默认的QQQQ设置是上了设置是上了了,除了代理!了,除了代理!Conf tConf tIpIp access-list ext stop access-list ext stop qqqqdeny deny udpudp any a

23、ny anyany eqeq 8000 8000deny deny udpudp any any anyany eqeq 8001 8001deny deny udpudp any any anyany eqeq 4000 4000deny deny udpudp any any anyany eqeq 4001 4001deny deny udpudp any host 61.144.238.145 any host 61.144.238.145deny deny udpudp any host 61.144.238.146 any host 61.144.238.146deny deny

24、udpudp any host 202.104.129.251 any host 202.104.129.251deny deny udpudp any host 202.104.129.252 any host 202.104.129.252deny deny udpudp any host 202.104.129.253 any host 202.104.129.253deny deny udpudp any host 202.104.129.254 any host 202.104.129.254deny deny udpudp any host 218.18.95.236 any ho

25、st 218.18.95.236deny deny ipip any host 218.17.209.23 any host 218.17.209.23deny deny ipip any host 218.17.209.42 any host 218.17.209.42deny deny ipip any host 218.18.95.220 any host 218.18.95.220deny deny ipip any host 219.133.38.5 any host 219.133.38.5deny deny ipip any host 219.133.38.132 any hos

26、t 219.133.38.132deny deny ipip any host 219.133.38.178 any host 219.133.38.178deny deny ipip any host 219.133.38.230 any host 219.133.38.230deny deny ipip any host 219.133.49.5 any host 219.133.49.5deny deny ipip any host 219.133.49.6 any host 219.133.49.6permit permit ipip any any anyanyintint fa0/

27、1#ISP fa0/1#ISP进口进口ipip access-group 100 out access-group 100 out 访问列表的验证 显示全部的访问列表显示全部的访问列表显示全部的访问列表显示全部的访问列表Router#showRouter#show access-lists access-lists 显示指定的访问列表显示指定的访问列表显示指定的访问列表显示指定的访问列表Router#showRouter#show access-lists access-lists 显示接口的访问列表应用显示接口的访问列表应用显示接口的访问列表应用显示接口的访问列表应用Router#showR

28、outer#show ip interface ip interface 接口名称接口名称接口名称接口名称 接口编号接口编号接口编号接口编号使用ACL时应该注意 因因因因为为为为ACLACLACLACL中中中中包包包包含含含含了了了了一一一一条条条条隐隐隐隐含含含含语语语语句句句句拒拒拒拒绝绝绝绝所所所所有有有有,因因因因此此此此使使使使用用用用ACLACLACLACL要要要要小小小小心心心心,至至至至少少少少ACLACLACLACL中要有一条允许语句,否则所有数据包都会被中要有一条允许语句,否则所有数据包都会被中要有一条允许语句,否则所有数据包都会被中要有一条允许语句,否则所有数据包都会被A

29、CLACLACLACL拒绝。拒绝。拒绝。拒绝。ACLACLACLACL命命命命令令令令的的的的放放放放置置置置顺顺顺顺序序序序是是是是很很很很重重重重要要要要的的的的。当当当当路路路路由由由由器器器器在在在在决决决决定定定定是是是是否否否否转转转转发发发发或或或或者者者者阻阻阻阻止止止止数数数数据据据据包包包包的的的的时时时时候候候候,CiscoCiscoCiscoCisco的的的的IOSIOSIOSIOS软软软软件件件件,按按按按照照照照ACLACLACLACL中中中中指指指指令令令令的的的的顺顺顺顺序序序序依依依依次次次次检检检检查查查查数数数数据据据据包包包包是是是是否否否否满满满满足足

30、足足某某某某一一一一个个个个指指指指令令令令条条条条件件件件。所所所所以以以以应应应应该该该该氢氢氢氢限限限限制制制制最最最最严严严严格格格格的的的的语语语语句句句句放放放放在在在在ACLACLACLACL的的的的顶顶顶顶端端端端,这样可以提高性能。这样可以提高性能。这样可以提高性能。这样可以提高性能。当检测到某个命令条件满足的时候,就不会再检测后面的指令条件。当检测到某个命令条件满足的时候,就不会再检测后面的指令条件。当检测到某个命令条件满足的时候,就不会再检测后面的指令条件。当检测到某个命令条件满足的时候,就不会再检测后面的指令条件。应该先创建应该先创建应该先创建应该先创建ACLACLAC

31、LACL,再将其绑定到入口或者是出口。再将其绑定到入口或者是出口。再将其绑定到入口或者是出口。再将其绑定到入口或者是出口。ACLACLACLACL只只只只能能能能过过过过滤滤滤滤通通通通过过过过路路路路由由由由器器器器的的的的数数数数据据据据流流流流量量量量,不不不不能能能能过过过过滤滤滤滤路路路路由由由由器器器器本本本本身身身身产产产产生生生生的的的的数数数数据据据据流量。流量。流量。流量。一个端口在一个方向上只能应用一组一个端口在一个方向上只能应用一组一个端口在一个方向上只能应用一组一个端口在一个方向上只能应用一组ACLACLACLACLACL的局限性 由于由于ACLACL是使用包过滤技术

32、来实现的,过滤的依据又仅仅只是第三是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到此,要达到end to endend to end的权限控制目的,需要和系统级及应用级的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。的访问权限控制结合使用。A A A A公司的某位可怜的网管目前面临了一堆问题。公司的某位可怜的网管目前面临了一堆问题。公司的某位可怜

33、的网管目前面临了一堆问题。公司的某位可怜的网管目前面临了一堆问题。A A A A公司建设了一个企业公司建设了一个企业公司建设了一个企业公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于网,并通过一台路由器接入到互联网。在网络核心使用一台基于网,并通过一台路由器接入到互联网。在网络核心使用一台基于网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOSIOSIOSIOS的多层交换机,所有的二层交换机也为可管理的基于的多层交换机,所有的二层交换机也为可管理的基于的多层交换机,所有的二层交换机也为可管理的基于的多层交换机,所有的二层交换机也为可管理的基于IOSIOSIO

34、SIOS的交换机,的交换机,的交换机,的交换机,在公司内部使用了在公司内部使用了在公司内部使用了在公司内部使用了VLANVLANVLANVLAN技术,按照功能的不同分为了技术,按照功能的不同分为了技术,按照功能的不同分为了技术,按照功能的不同分为了5 5 5 5个个个个VLANVLANVLANVLAN。分别。分别。分别。分别是内部服务器是内部服务器是内部服务器是内部服务器(VLAN2)(VLAN2)(VLAN2)(VLAN2)、InternetInternetInternetInternet连接连接连接连接(VLAN3)(VLAN3)(VLAN3)(VLAN3)、财务部(、财务部(、财务部(、

35、财务部(VLAN4VLAN4VLAN4VLAN4)、)、)、)、市场部市场部市场部市场部(VLAN5)(VLAN5)(VLAN5)(VLAN5)、研发部门(、研发部门(、研发部门(、研发部门(VLAN6VLAN6VLAN6VLAN6),出口路由器上),出口路由器上),出口路由器上),出口路由器上Fa0/0Fa0/0Fa0/0Fa0/0接公司内接公司内接公司内接公司内部网,通过部网,通过部网,通过部网,通过s0/0s0/0s0/0s0/0连接到连接到连接到连接到InternetInternetInternetInternet。自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要自从网络建

36、成后麻烦就一直没断过,一会儿有人试图登录网络设备要自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。一会儿财务的人又说研发部门的员工看了不该看的数据。一会儿财务的人又说研发部门的员工看了不该看的数据。一会儿财务的人又说研发部门的员工看了不该看的数据。课程回顾课程回顾 IPIP访问控制列表访问控制列表访问控制列表访问控制列表

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 高考资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁