交换机端口安全及认证.ppt-淘文阁

资源描述

《交换机端口安全及认证.ppt》由会员分享，可在线阅读，更多相关《交换机端口安全及认证.ppt（30页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第5章章交换机端口安全及认证交换机端口安全及认证5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL5.3 交换机端口安全认证简介15.2 在三层交换机上配置访问控制列表ACL 5.2.1 ACL概述5.2.2 ACL的类型5.2.3 ACL配置2什么是访问列表Access Control List：访问列表或访问控制列表，简称 ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏4访问列表的组成定义访问列

2、表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上5 访问列表规则的应用路由器（或交换机）应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT6访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以以ICMPICMP信息通知源发送方信息通知源发送方7以以ICMP

3、ICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用IP ACL执行如下基本准则，执行顺序如下图所示：从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝”一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配按规则链来进行匹配使用源地址、目的地址

4、、源端口、目的端口、协议、时间段进行匹配ACL的工作原理9YY是否匹配是否匹配测试条件测试条件1?是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNY允许允许被系统隐被系统隐含拒绝含拒绝N允许允许允许允许拒绝拒绝拒绝拒绝N允许允许通过通过一个访问列表多条过滤规则105.2.2 ACL的类型分类：1、IP标准访问控制列表(Standard IP ACL)2、IP扩展访问控制列表(Extended IP ACL)动作：允许(Permit)拒绝(Deny)应用方法：入栈(Out)出栈(In)11访问列表规则的定义标准访问列表根据数据包源IP地址进行规

5、则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义12源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号 IP扩展访问列表TCP/UDP数据数据IPeg.HDLC100-199 号列表号列表 0表示检查相应的地址比特 1表示不检查相应的地址比特001111111286432168421000000000000111111111111 反掩码（通配符）IP标准访问列表的配置1.定义标准ACL命名的标准访问列表 switch(config)#ip access-list sta

6、ndard switch(config-std-nacl)#permit|deny 源地址反掩码2.应用ACL到接口Router(config-if)#ip access-group in|out IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit/deny 协议源地址反掩码源端口目的地址反掩码目的端口命名的扩展ACLip access-list extended name permit/deny 协议源地址反掩码源端口目的地址反掩码目的端口 2.应用ACL到接口Router(config-if

9、ACL配置信息Show access-lists name /显示所有或指定名称的ACL配置信息Show ip access-lists name /显示所有或指定名称的IP ACL配置信息Show ip access-group interface interface-id /显示指定接口上的IP ACL配置信息Show running-config /显示正在运行的所有配置信息20（2）扩展的ACL命名的扩展ACL格式：ip access-list extended name permit/deny 协议源地址反掩码源端口目的地址反掩码目的端口应用ACL到接口：Router(c

10、onfig-if)#ip access-group name in|out 21IP标准访问列表的配置1.定义标准ACL命名的标准访问列表 switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny 源地址反掩码2.应用ACL到接口Router(config-if)#ip access-group in|out F1/0S1/2F1/1 IP标准访问列表配置实例(一)配置：(access-list 1 deny any)interface serial 1/2ip access-group 1 out2

11、3标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：ip access-list standard abcpermit host 192.168.2.8 财务财务192.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长校长24 IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit/deny 协议源地址反掩码源端口目的地址反掩码目的端口命名的扩展A

12、CLip access-list extended name permit/deny 协议源地址反掩码源端口目的地址反掩码目的端口 2.应用ACL到接口Router(config-if)#ip access-group in|out IP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www

13、Router#show access-lists 103access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 13

14、9access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例(二)利用利用ACLACL隔离冲击波病毒隔离冲击波病毒27 访问列表的验证显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 接口名称接口编号28IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3、访问列表的缺省规则是：拒绝所有29IP ACL 注意事项：1、交换机支持命名的ACL，路由器支持编号的ACL2、删除端口上应用的ACL时需要在端口下删除3、交换机和交换机相连配Trunk30

展开阅读全文