网络安全--实验.pptVIP

网络安全实验 实验室环境 网络级防火墙实验 --ACL ACL综述 访问控制列表是应用到路由器接口的指令列表。 ACL通过在访问控制列表中多目的地进行归类，来管理通信流量、处理特定的数据包。 ACL适用于所有的路由协议。如IP、IPX等。 建立ACL的必要性 在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 提供网络访问的基本安全手段。 限制网络流量、提高网络性能。 提高对通信流量的控制手段。 ACL在路由器中的存在 ACL作为一种全局配置保存在配置文件中。 网络管理员可根据需要将ACL运行在某个端口，并指明是针对流入还是流出数据。 路由器的配置文件中可有多个ACL，并且根据表号区分所属类型。 一个ACL中可以有多种控制。 ACL只有运行在某个具体的端口才有意义。 使用ACL 对每个路由器接口、每一种协议都可以创建一个ACL。 对有些协议，可以建立一个ACL来过滤流入通信流量，同时创建一个ACL来过滤流出通信流量。 在每个ACL 的最后都隐含着一个丢弃，即对没有任何匹配语句的数据包将视为拒绝而丢弃。 主要的ACL 有两种：标准的ACL和扩展的ACL。 ACL的工作方式 ACL 监控的对象 入站接口的数据包 通过路由器进行中继的数据包 从出站接口跳出路由器的数据包 ACL不检查路由器自己产生的数据包（路由协议数据包），只对其他来源的数据包进行检查。 处理出站接口的数据包 当数据包进入路由器后（这里存在加载了in的访问控制列表需要过滤） ，路由器对它进行检查，看它是否可以路由，如果遇到任何 不可路由的情况，则数据包被丢弃。如果是可路由的，路由表里为它指定一个目标网络，以及使用的接口。然后路由器检查目标接口是否被编在某一个访问控制列表中。如果没有被编组，则直接从端口发送。路由器对该数据包与ACL依次进行对照，如果某个数据包的报头跟ACL的某个判断语句相附合，就被拒绝，并忽略剩下的判断语句。路由器将通知被拒绝数据包的发送端该数据报被拒绝。 出站端口ACL处理过程 ACL可以进行的设置 筛选出一些特定的主机，要么允许它们访问部分网络，要么拒绝访问部分网络。 建立口令认证机制，以便只有那些提供合法登录名和口令的用户能够访问网络。 为每个用户授权，允许他们对网络实现个性化访问，如访问各自的文件夹和文件。 ACL的配置 使用通常的全局配置进程（在全局配置模式下）来创建ACL； 要给ACL指定一个表号； 使用通配符来过滤IP地址或IPX地址； 要非常小心地选择条件判断语句，特别要注意语句间的逻辑顺序； 把ACL分组到各个接口。 ACL的命令格式 定义访问控制列表 Router(config)#access-list access-list-number {permit/deny} {test-conditions} 把访问控制列表应用到某个端口 router(config-if)#{protocol} access-group access-list-number 通配符和掩码位 通配符是判断语句用来检验地址。 通配符的某一位是“0”表示检查相应的位，如果是“1”表示不检查（忽略）相应的位。 ACL使用通配符来标志一个或几个地址是被允许的还是被拒绝。 ACL可通过通配符对网络号以及IP地址进行检测。 通配符和源地址的设定 1、限制 网络1010100000000000 源地址0000000011111111 通配符10101000XXXXXXXX 测试条件 10进制的通配符为 55 源地址为 2、限制网络中的奇数位的终端用户1010100000000001 源地址0000000011111110 通配符10101000XXXXXXX1 测试条件 10进制的通配符为54 源地址为 通配符any和host 如果网管要在一个访问控制列表中允许访问任何目的地址，则地址和通配符是： 55,可以用 any 代替。 可以用host来指定某个具体的地址，如： router(config)#access-list 1 deny 9 可改写为 router(config)#access-list 1 deny host 9 ACL的应用 ACL 可以放置在出站接口也可以防在入站接口。 ACL 应用到出站接口比应用到入站接口有更好的利用率。 ACL应用在入站接口，路由器必需检查进站的每一个包，然后对照访问控制列表