561-第5章 交换机端口安全及认证.pptVIP

第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介 5.2 在三层交换机上配置访问控制列表ACL 5.2.1 ACL概述 5.2.2 ACL的类型 5.2.3 ACL配置 什么是访问列表 Access Control List：访问列表或访问控制列表，简称 ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤 访问列表 访问控制列表的作用： 内网布署安全策略，保证内网安全权限的资源访问 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 访问列表的组成 定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问列表规则的应用 路由器（或交换机）应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 访问列表的入栈应用 ACL的工作原理 IP ACL执行如下基本准则，执行顺序如下图所示： 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝……” 一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 一个访问列表多条过滤规则 5.2.2 ACL的类型 分类： 1、IP标准访问控制列表(Standard IP ACL) 2、IP扩展访问控制列表(Extended IP ACL) 动作： 允许(Permit) 拒绝(Deny) 应用方法： 入栈(Out) 出栈(In) 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 IP标准访问列表 IP扩展访问列表 反掩码（通配符） IP标准访问列表的配置 1.定义标准ACL 命名的标准访问列表 switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } 基于名称的访问控制列表 ip access-list [standard|extended] [ACL名称] 其中standard为标准命名ACL，extended为扩展命名ACL deny | permit {source-net source-wildcard | host source-address | any} 标准命名ACL规则 deny | permit protocol{source-net source-wildcard | host source-address| any}[operator port] {destination-net destination-wildcard |host destination-address |any}[operator port] 扩展命名ACL规则 5.2.3 ACL配置 命名ACL配置 命名的标准访问列表 命令格式为： ①定义命名的标准访问列表： ip access-list standard { name} deny　{source source-wildcard|host　source|any} orpermit {source source-wildcard|host　source|any