《第七次课园区网安全设计.ppt》由会员分享,可在线阅读,更多相关《第七次课园区网安全设计.ppt(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络实验室 2010年2月 园区网的安全设计园区网的安全设计-IPIP访问列表访问列表网络实验室 2010年2月ISP什么是访问列表什么是访问列表IP Access-listIP Access-list:IPIP访问列表或访问控制列表,简访问列表或访问控制列表,简访问列表或访问控制列表,简访问列表或访问控制列表,简称称称称IP ACLIP ACLIP ACLIP ACL就是对经过网络设备的数据包根据一定的规就是对经过网络设备的数据包根据一定的规就是对经过网络设备的数据包根据一定的规就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。则进行数据包的过滤。则进行数据包的过滤。则进行数据包的过
2、滤。网络实验室 2010年2月 为什么要使用访问列表为什么要使用访问列表网络安全性网络安全性可以是路由器或三可以是路由器或三层交换机或防火墙层交换机或防火墙网络实验室 2010年2月接入层交换机接入层交换机RG-S2126核心交换机核心交换机RG-S3512G/RG-S4009服务器群服务器群路由器路由器RG-NBR1000Internet交交换换机机堆堆叠叠接入层交换机接入层交换机RG-S2126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒WWWEMAILFTP为什么要使用访问列表为什么要
3、使用访问列表网络实验室 2010年2月访问列表的组成访问列表的组成定义访问列表的步骤定义访问列表的步骤定义访问列表的步骤定义访问列表的步骤l l第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)l l第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上访问控制列表的分类:访问控制列表的分类:访
4、问控制列表的分类:访问控制列表的分类:l l1 1、标准访问控制列表、标准访问控制列表、标准访问控制列表、标准访问控制列表l l2 2、扩展访问控制列表、扩展访问控制列表、扩展访问控制列表、扩展访问控制列表访问控制列表规则元素访问控制列表规则元素访问控制列表规则元素访问控制列表规则元素l l源源源源IPIP、目的、目的、目的、目的IPIP、源端口、目的端口、协议、源端口、目的端口、协议、源端口、目的端口、协议、源端口、目的端口、协议网络实验室 2010年2月 访问列表规则的应用访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口的数据包进行控制路由器应用访
5、问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口的数据包进行控制l l1.1.入栈应用(入栈应用(入栈应用(入栈应用(inin)l l2.2.出栈应用(出栈应用(出栈应用(出栈应用(outout)网络实验室 2010年2月访问列表的入栈应用访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以ICMP信息通知源发送方网络实验室 2010年2月以ICMP信息通知源发送方NY选择出口选择出口S0路由表中是否路由表中是否存在记录存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列
6、表访问列表?NS0S0 访问列表的出栈应用访问列表的出栈应用网络实验室 2010年2月IP ACL的基本准则的基本准则一切未被允许的就是禁止的。一切未被允许的就是禁止的。一切未被允许的就是禁止的。一切未被允许的就是禁止的。l l路由器或三层交换机缺省允许所有的信息流通过路由器或三层交换机缺省允许所有的信息流通过路由器或三层交换机缺省允许所有的信息流通过路由器或三层交换机缺省允许所有的信息流通过;而防火而防火而防火而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项墙缺省封锁所有的信息流,然后对希望提供的服务逐项墙缺省封锁所有的信息流,然后对希望提供的服务逐项墙缺省封锁所有的信息流,然后对希望
7、提供的服务逐项开放。开放。开放。开放。按规则链来进行匹配按规则链来进行匹配按规则链来进行匹配按规则链来进行匹配l l使用源地址、目的地址、源端口、目的端口、协议、时使用源地址、目的地址、源端口、目的端口、协议、时使用源地址、目的地址、源端口、目的端口、协议、时使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配间段进行匹配间段进行匹配间段进行匹配从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式匹配成功马上停止匹配成功马上停止匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的立刻使用该规则的立刻使用该规则的“允
8、许、拒绝允许、拒绝允许、拒绝允许、拒绝”网络实验室 2010年2月访问列表规则的定义访问列表规则的定义标准访问列表标准访问列表标准访问列表标准访问列表l l根据数据包源根据数据包源根据数据包源根据数据包源IPIP地址进行规则定义地址进行规则定义地址进行规则定义地址进行规则定义扩展访问列表扩展访问列表扩展访问列表扩展访问列表l l根据数据包中源根据数据包中源根据数据包中源根据数据包中源IPIP、目的、目的、目的、目的IPIP、源端口、目的端口、协议进行规、源端口、目的端口、协议进行规、源端口、目的端口、协议进行规、源端口、目的端口、协议进行规则定义则定义则定义则定义网络实验室 2010年2月AC
9、L分类分类标准的访问列表标准的访问列表标准的访问列表标准的访问列表只能根据源只能根据源只能根据源只能根据源IPIP地址进行数据包的过滤。例在校园网中,地址进行数据包的过滤。例在校园网中,地址进行数据包的过滤。例在校园网中,地址进行数据包的过滤。例在校园网中,学生网段不可以访问教研网段,但校领导网段可以访问学生网段不可以访问教研网段,但校领导网段可以访问学生网段不可以访问教研网段,但校领导网段可以访问学生网段不可以访问教研网段,但校领导网段可以访问教研网段教研网段教研网段教研网段学生网段学生网段学生网段学生网段校领导网段校领导网段校领导网段校领导网段教研网段教研网段教研网段教研网段网络实验室 2
10、010年2月源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表标准访问列表网络实验室 2010年2月ACL分类分类扩展的访问列表扩展的访问列表扩展的访问列表扩展的访问列表扩展的扩展的扩展的扩展的ACLACL可以根据数据包内的源、目的地址,应用服务可以根据数据包内的源、目的地址,应用服务可以根据数据包内的源、目的地址,应用服务可以根据数据包内的源、目的地址,应用服务进行过滤。例教师网段可以访问内网的邮件服务器,而学进行过滤。例教师网段可以访问内网的邮件服务器,而学进行过滤。例教师网段可以访问内网的邮件服务器,而学进行过滤。例教师网段可以访问内网的邮件服务
11、器,而学生网不可以访问,但可以访问内网的网站。生网不可以访问,但可以访问内网的网站。生网不可以访问,但可以访问内网的网站。生网不可以访问,但可以访问内网的网站。学生网段学生网段学生网段学生网段校领导网段校领导网段校领导网段校领导网段邮件邮件邮件邮件serverserverserverserverWEBserverWEBserverWEBserverWEBserver网络实验室 2010年2月目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表扩展访问列表网络实验室 2010年2月 IP标准访问列表的配置标准访问列
12、表的配置1.1.定义标准定义标准定义标准定义标准ACLACLl l编号的标准访问列表编号的标准访问列表编号的标准访问列表编号的标准访问列表Router(config)#accessRouter(config)#access-list-list permit|denypermit|deny 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 l l命名的标准访问列表命名的标准访问列表命名的标准访问列表命名的标准访问列表 ipip access-list standard name access-list standard name denydenysource source-source sou
13、rce-wildcard|hostwildcard|hostsource|anysource|any or or permit source source-permit source source-wildcard|hostwildcard|hostsource|anysource|any 2.2.应用应用应用应用ACLACL到接口到接口到接口到接口l lRouter(config-if)#ipRouter(config-if)#ip access-group|name in|access-group|name in|out out 网络实验室 2010年2月 0 0表示检查相应的地址比特表示
14、检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特比如比如:0.0.0.255:0.0.0.255 只比较前只比较前2424位位00111111128643216842100000000000011111111110011111111 反掩码(通配符)反掩码(通配符)网络实验室 2010年2月access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out172.16.3.0172.16.
15、4.0F0S0F1172.17.0.0 IP标准访问列表配置实例标准访问列表配置实例网络实验室 2010年2月 IP扩展访问列表的配置扩展访问列表的配置1.1.定义扩展的定义扩展的定义扩展的定义扩展的ACLACLl l编号的扩展编号的扩展编号的扩展编号的扩展ACLACL Router(config)#accessRouter(config)#access-list-list permit/deny permit/deny 协议协议协议协议 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 源端口源端口源端口源端口 目的地址目的地址目的地址目的地址 反掩码反掩码反掩码反掩码 目的端口目的端口目
16、的端口目的端口 l l命名的扩展命名的扩展命名的扩展命名的扩展ACLACL ipip access-list extended name access-list extended name deny|permitdeny|permit protocol protocolsourcesource source-wildcard|host source-wildcard|host source|source|anyoperatoranyoperator port destination destination-port destination destination-wildcard|host d
17、estination|wildcard|host destination|anyoperatoranyoperator port port2.2.应用应用应用应用ACLACL到接口到接口到接口到接口l lRouter(config-if)#ipRouter(config-if)#ip access-group|name access-group|name l l in|out in|out 网络实验室 2010年2月 IP扩展访问列表配置实例扩展访问列表配置实例下例显示如何创建一条下例显示如何创建一条下例显示如何创建一条下例显示如何创建一条Extended IP ACLExtended IP
18、ACL,该,该,该,该ACLACL有一条有一条有一条有一条ABCABC,用于允许指定网络(,用于允许指定网络(,用于允许指定网络(,用于允许指定网络(192.168.x.x192.168.x.x)的所有主机以的所有主机以的所有主机以的所有主机以HTTPHTTP访问服务器访问服务器访问服务器访问服务器172.168.12.3172.168.12.3,但,但,但,但拒绝其它所有主机使用网络。拒绝其它所有主机使用网络。拒绝其它所有主机使用网络。拒绝其它所有主机使用网络。l lSwitch(Switch(configconfig)#)#ipip access-list extended access-
19、list extended abcabc l lSwitch(Switch(config-ext-naclconfig-ext-nacl)#permit)#permit tcptcp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 host 172.168.12.3 host 172.168.12.3 eqeq www www l lSwitch(Switch(config-ext-nacl)#endconfig-ext-nacl)#end 网络实验室 2010年2月access-list 115 deny access-list 115 den
20、y udpudp any any any any eqeq 69 69 access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 135 135access-list 115 deny access-list 115 deny udpudp any any any any eqeq 135 135access-list 115 deny access-list 115 deny udpudp any any any any eqeq 137 137access-list 115 deny access-list
21、115 deny udpudp any any any any eqeq 138 138access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 139 139access-list 115 deny access-list 115 deny udpudp any any any any eqeq 139 139access-list 115 deny access-list 115 deny tcptcp any any any any eqeq 445 445access-list 115 deny acce
22、ss-list 115 deny tcptcp any any any any eqeq 593 593access-list 115 deny access-list 115 deny tcptcp any any anyany eqeq 4444 4444access-list 115 permit access-list 115 permit ipip any any any any interface interface ipip access-group 115 in access-group 115 in ipip access-group 115 out access-group
23、 115 out 扩展访问列表的应用扩展访问列表的应用利用利用ACLACL隔离冲击波病毒隔离冲击波病毒网络实验室 2010年2月 访问列表的验证访问列表的验证显示全部的访问列表显示全部的访问列表显示全部的访问列表显示全部的访问列表l lRouter#showRouter#show access-lists access-lists显示指定的访问列表显示指定的访问列表显示指定的访问列表显示指定的访问列表l lRouter#showRouter#show access-lists access-lists 显示接口的访问列表应用显示接口的访问列表应用显示接口的访问列表应用显示接口的访问列表应用l lRouter#showRouter#show ipip interface interface 网络实验室 2010年2月访问列表的注意事项访问列表的注意事项在进行规则匹配时,从上至下,匹配成功马在进行规则匹配时,从上至下,匹配成功马上停止,不会继续匹配下面的规则。上停止,不会继续匹配下面的规则。所有访问列表默认规则是拒绝所有数据包所有访问列表默认规则是拒绝所有数据包处理方式只有允许通过和拒绝通过处理方式只有允许通过和拒绝通过一个端口在某一方向只能应用一组访问列表一个端口在某一方向只能应用一组访问列表网络实验室 2010年2月谢谢 谢谢!