企业网络安全技术与实践.ppt

企业网络安全技术与实践 1 访问控制列表的基本原理 访问控制列表(ACL)是应用到路由器接口的指令列表，用来控制进出的数据包。该列表由一系列permit(允许)和deny(拒绝)语句组成的有序的集合，通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。ACL是根据网络中每个数据包所包含的信息和内容决定是否允许该信息包通过指定的接口，可以让网络管理员以基于数据报文的源IP地址、目地IP地址和应用类型的方式来控制网络中数据的流量及流向，通过接口的数据包都要按照访问控制列表的规则进行从上到下的顺序比较操作，直到符合规则被允许通过，否则被拒绝丢弃。 1.1 访问控制列表的概念及工作原理 1. ACL工作原理 2. 访问控制列表的分类 （1）标准访问控制列表 标准的IP访问控制列表，只检查被路由的数据包的源地址，其结果是基于源网络/子网/主机IP地址来决定是允许还是拒绝数据包。 标准访问控制列表的基本语法为： access-list standard access-list-number [ permit/deny]source-address [wildcardmask] 其中： 1) access-list-number标识条目所属的列表，它是一个1-99的数字标识； 2) permit/deny指明该条目是允许还是阻塞指定的地址； 3) source-address标识源IP地址； 4) wildcardmask反向掩码标识哪些地址需进行匹配，默认反向掩码是0.0.0.0(匹配所有)。如果反向掩码为：0.0.0.255，则表示匹配的源地址掩码为255.255.255.0。 （2）扩展访问控制列表 扩展的IP访问控制列表，对数据包的源地址与目标地址均进行检查,它们也能够检查特定的协议、端口号及其他参数。 扩展访问控制列表基本语法： access-list access-list-number permit/deny [protocol] source-address source-wildcard [ operatorport] destination-address destination-wildcard [oper-ator port] [established] [log] 其中： 1) access-list-number使用在100—199之间的一个数字标识； 2) permit/deny指明该条目是允许还是阻塞指定的地址； 3) protocol可以是IP、TCP、UDP、ICMP、GRE或IGRP； 4) source-address、source-wildcard、destination-address、destination-wildcard代表源/目标地址以及掩码； 5) [operator port]可以是lt(小于)、gt(大于)、 eq(等于)、 neq(不等于)加上一个端口号； 6) established只用于TCP访问控制，该参数只影响TCP连接三次握手中的第一次，ACL会对TCP报文中的ACK或RST位进行检查，如果ACK或RST位被置位，则表示数据包是正在进行的会话的一部分，否则是正在进行的连接会话。 （3）基于名称的访问控制列表 不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后其中的某条需要修改，只能将全部ACL信息都删除，也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点为网络管理人员带来了繁重的负担，所以可以用基于名称的访问控制列表来解决这个问题。 基于名称的访问控制列表的格式： ip access-list [standard/extended] acl-list-name 当建立基于名称的访问控制列表后，就可以添加或者修改访问控制规则。 （4）基于时间的访问控制列表 基于时间的访问控制列表在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段使扩展访问控制列表生效。 例1 标准访问控制列表配置示例（网络拓扑如图3所示） 两台交换机switchA为三层交换机，网络内共划分了两个VLAN，分别为VLAN100与VLAN200，其中PC1属于VLAN100，PC2属于VLAN200。两台交换机通过trunk端口fa0/1相连，使得VLAN100与VLAN200可以通信。在swithcB配置标准访问控制列表，使得PC1与PC2不能通信，但PC1能访问switchA。 （1）交换机的基本配置 划分VLAN100与VLAN200，并且