路由与交换实用技术 教学课件 作者 骆耀祖 项目7.pptVIP

项目7 路由与交换安全  情景描述 （1）你是公司的网络维护员，公司网络管理以防止外部黑客以及病毒的侵袭为主，还要做到管理好公司内部人员的越权操作，为加强公司内部网络的管理工作，确保公司内部网络安全高效运行，实现网络的安全保障。 （2）你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。 学习目标 （1）使学生掌握交换机端口安全原理，具备交换机端口安全的配置能力 （2）使学生掌握标准访问控制列表和扩展访问控制列表的工作原理，具备在交换机和路由器上做标准访问控制列表和扩展访问控制列表的能力。 （3）使学生掌握标准访问控制列表和扩展访问控制列表的工作原理，具备在交换机和路由器上做标准访问控制列表和扩展访问控制列表的能力。 7.1 访问控制列表技术 7.1 访问控制列表技术 访问控制列表通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。 7.1.1 访问控制列表概述　 访问控制列表(access list，ACL)使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 ACL主要有三个方面的功能： （1）限制网络流量、提高网络性能。 （2）提供网络访问的基本安全手段。 （3）在交换机接口处，决定那种类型的通信流量被转发，那种通信类型的流量被阻塞。 1. 访问控制列表使用原则 （1）最小特权原则 （2）最靠近受控对象原则 （3）默认丢弃原则 2. 访问控制列表的分类 建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。 ACL的访问规则主要有三种： （1）标准访问控制列表(standard access lists)。 （2）扩展访问控制列表(extended access lists)。 （3）基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制。 3. 访问控制列表的方向 利用ACL来过滤，必须把ACL应用到需要过滤的路由器那个的接口上，否则ACL是不会起到过滤作用的，而且还要定义过滤的方向。方向分为下面2种： （1）对从Internet到企业网的数据包的过滤（inbound ACL）：先处理，再路由。 （2）对从企业网传出到Internet的数据包的过滤（outbound ACL）：先路由，再处理。 4. 通配符掩码 介绍ACL设置之前先介绍一下通配符掩码（wildcard masking）。它是由0和255的4个8位位组组成的。0代表必须精确匹配，255代表随意。 5. 访问控制列表设置的要点 设置ACL的一些要点： （1）每个接口，每个方向，每种协议，只能设置1个ACL。 （2）ACL设置的规则是按顺序比较的。因此，要组织好ACL的顺序，例如测试性的最好放在ACL的最顶部。 （3）不可能从ACL中除去一行，除去一行意味将除去整个ACL，命名访问列表(named access lists)例外。 （4）默认ACL结尾语句是deny any，因此，在ACL里至少要有1条permit语句。 （5）记得创建了ACL后要把它应用在需要过滤的接口上。 （6）ACL是用于过滤经过router的数据包，它并不会过滤router本身所产生的数据包 （7）尽可能的把IP标准ACL放置在离目标地址近的地方；尽可能的把IP扩展ACL放置在离源地址近的地方。 7.1.2 标准ACL实战 标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。 在特权模式下，配置IP标准ACL的命令格式如下： access-list ACL号 [permit|deny] [any|host] ip地址 【例7.1】如图7.1所示，路由器C2811A有两个接口，快速以太网口F0/1连接内网。串行接口S0/0/0连接到Internet，假设现在要求只允许IP地址为0的服务器访问Internet，禁止其他PC机对Internet的访问。 以下配置采用访问控制列表编号的方式，路由器C2811A上配置内容及说明如下： C2811A (config)#access-list 10 permit 0 //创建编号为10的标准访问控制列表，允许源IP地址为0的IP数据包。 C2811A (config)#access-list 10 deny any //编号为10的标准访问控制列表，拒绝其他任何源IP地址的IP数据包。 C2811