第5单元 保护网络安全项目场景.pptVIP

* * * * * * * * * * * * * * * * * * 访问列表的组成 定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表规则的分类： 1、标准访问控制列表 2、扩展访问控制列表 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 F1/0 F1/1 IN OUT 访问列表的入栈应用 N Y 是否允许? Y 是否应用访问列表? N 查找路由表 进行选路转发 以ICMP信息通知源发送方 以ICMP信息通知源发送方 N Y 选择出口S0 路由表中是 否存在记录? N Y 查看访问列表的陈述 是否允许? Y 是否应用访问列表? N S0 S0 访问列表的出栈应用 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” Y 拒绝 Y 是否匹配规则条件1 ? 允许 N 拒绝 允许 是否匹配规则条件2 ? 拒绝 是否匹配最后一个条件? Y Y N Y Y 允许 隐含拒绝 N 一个访问列表多条过滤规则 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表 IP标准访问列表 目的地址 源地址 协议 端口号 IP扩展访问列表 TCP/UDP 数据 IP eg.HDLC 100-199 号列表 0表示检查相应的地址比特 1表示不检查相应的地址比特 0 0 1 1 1 1 1 1 128 64 32 16 8 4 2 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 反掩码（通配符） IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表Router(config)#access-list 1-99 {permit|deny} 源地址 [反掩码] 命名的标准访问列表 switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } F1/0 S1/2 F1/1 IP标准访问列表配置实例(一) 配置： access-list 1 permit 55 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out 标准访问列表配置实例(二) 需求： 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 配置： ip access-list standard abc permit host deny 55 财务 教师 F0/1 F0/2 F0/5 F0/6 F0/8 F0/9 F0/10 校长 IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } IP扩展访问列表配置实例(一) 如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络 Router (config)# access-l