第09章 网络设备安全技术(ACL NAT).pptVIP

第09章 网络设备安全技术 ACL与NAT 第一节 TCP/IP传输层与应用层 TCP/IP：网络访问层协议 TCP/IP：互联网络层协议 Internet层的功能 互联网络层给每个网络的每台网络设备和主机配置所属的IP地址，实现逻辑寻址。 能够建立网络与网络、主机与主机之间的连通性，但不保证数据传输的可靠性。 TCP/IP：传输层协议 TCP 与 UDP 协议 TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。 TCP端口号范围为：0～65535 UDP端口号范围为：0～65535 传输层提供从源主机到目的主机的传输服务，在网络端点之间建立逻辑连接。 传输层TCP协议能够实现数据传输的可靠性。 传输层能够实现数据传输时的流控制。 源端口和目的端口 主机之间的多会话 一台服务器可能提供多种服务，如Web和FTP，在传输层用端口来区分每个应用服务。 客户端也需要向多个目的发送不同的数据连接，使用端口区分每个连接。 服务器使用知名端口号 0～1023 提供服务。 客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求，并为每一个连接分配不同的源端口号。目的端口为服务器所开放的知名端口，如HTTP：TCP 80，FTP：TCP 21。 TCP/IP：应用层协议 第二节 访问控制列表 ? 问题2 ACL的作用 ACL（Access Control List，访问控制列表），是应用在路由器接口上的指令列表。这些指令告诉路由器哪些数据包分组可以接收，哪些数据包分组需要拒绝。接收或拒绝基于一定的条件 标准访问控制列表基于源地址做为判断依据。 扩展访问控制列表基于源地址、目标地址、源端口、目标端口等做为判断依据。 先创建ACL，再把ACL应用到路由器接口上。 先看一个简单的ACL例子 标准ACL的语法 Router(config)# ip access-list standard 访问控制列表名字 （创建命名访问控制列表） Router(config-std-nacl)# permit 源地址 源地址的反掩码 或 Router(config-std-nacl)# deny 源地址 源地址的反掩码 （源地址可以是子网地址或主机地址） 标准访问控制列表只以数据包的源地址做为判断条件 可以配置多个允许或拒绝的条件判断语句列表，路由器对每一个数据包都按照列表顺序逐条检查，如果匹配某一条语句，就按照语句执行，要么允许数据包通过，要么拒绝通过。不再检查后面的语句。 如果所有的语句都不匹配，就拒绝数据包通过。 ACL对数据包检查的过程 将ACL应用到接口上 R1(config)# interface e1 R1(config-if)# ip access-group permit_ out 使用“ip access-list”创建了访问控制列表后，必须把它应用到合适接口上，才能生效。 一个访问控制列表可以被应用到多个接口上。 可以应用到“进入接口”的方向（in），也可以应用到“从接口出去”的方向（out）。 一个接口的“in”和“out”每个方向各只能应用一个访问控制列表。 两种应用方式 R1(config)# interface e1 R1(config-if)# ip access-group permit_ out 或 R1(config)# interface e0 R1(config-if)# ip access-group permit_ in 路由器使用ACL处理数据包的过程 路由器使用ACL处理数据包的过程 当一个数据包进入到路由器的一个接口时，路由器首先看在该接口的入站“in”方向有没有配置ACL，如果配置了，就按照ACL一条一条地判断，决定是否允许数据包进入；如果没有配置ACL，则直接允许进入接口。 路由器根据路由选择表把数据包转发到出口接口，这个过程ACL不起作用。 数据包准备从一个接口出去时，路由器再看在该接口的出站“out”方向有没有配置ACL，如果配置了，就按照ACL一条一条地判断，决定是否允许数据包离开；如果没有配置ACL，则直接放行。 “any” 和 “host” R1(config-std-nacl)# permit 表示允许主机（子网掩码是55，反掩码就是），可以使用“host”表示一台主机。 R1(config-std-nacl)# permit host R1(config-std-nacl)# deny 55 表示拒绝所有的网络（子网掩码是，反掩码就是55），可以使用“any”表示任何网络，即所有IP。 R1(config-std-nacl)# deny any 另外一个标准ACL的例子 扩展访