项目18保护办公网接入服务安全重点解析.ppt

显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 1-199 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号 1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。 2、所有访问列表默认规则是拒绝所有数据包 3、处理方式只有允许通过和拒绝通过 4、锐捷路由器只能编写编号方式的规则 5、锐捷交换机只能编写命名方式的规则 6、一个端口在某一方向只能应用一组访问列表 18.5 项目实施：保护办公网FTP服务器安全 【任务描述】 绿丰公司信息中心为了保护企业内部网络设备安全，希望通过三层技术，一方面实现办公网互联互通，同时还希望通过三层数据包检查技术，限制相关区域网络访问范围，实现不同区域的部门网络之间安全访问。 由于没有实施部门网之间安全策略，出现非业务后勤部门登录到销售部网络中，查看销售部网络客户信息资源。为了保证企业内部网络的整体安全，网络中心重新进行安全规划，希望通过三层技术，一方面在实现办公网互联互通的同时；还希望通过三层数据包检查技术，限制相关部门，访问公司内网的服务器，禁止访问公司内部敏感客户数据，保护公司内网安全。 谢 谢！ 欢迎访问本课程 教学资源配套实施 网络平台 谢 谢！ * * * * * * * * * * * * * * * * * * * * * * * ? 扩展访问控制列表实现服务器访问安全 ? 了解扩展访问控制列表技术 ? 区别二种不同访问控制技术 ? 识别端口对应不同服务 ? 配置扩展的访问控制列表方法 ? 配置扩展的编号的访问控制列表方法 【项目背景】 绿丰公司是家消费品销售公司，最近公司为适应当前信息化以及网购发展需要，成立了多个部门，并组建互联互通办公网络，搭建客户销售数据服务器，实现资源共享。 公司的信息中心为了保护公司内部网络中销售数据的安全，希望通过三层技术，一方面在实现办公网互联互通的同时；还希望通过三层数据包检查技术，限制相关部门，访问公司内网的服务器，禁止访问公司内部敏感客户数据，保护公司内网安全。 为了保护网络中部分区域的网络安全，限制部分区域网络的访问范围，多使用标准的访问控制列表技术就可以实现；为了保护办公网中数据服务器的安全，需要通过端口技术，区别不同服务，来限制服务器访问安全。 本项目主要从网络管理员日常安全管理角度出发，讲解办公网中三层路由设备的安全控制技术，会使用端口技术区别网络中不同的服务，能分辨二种不同的访问控制列表技术异同点，了解扩展的访问控制列表技术细节，会配置扩展访问控制列表技术。 18.1 扩展访问控制列表 扩展型访问控制列表（Extended IP ACL ）在数据包的控制方面，增加更多精细度，具有比标准IP ACL更强大数据包检查功能。扩展IP ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口、建立连接和IP优先级等特征信息，利用这些选项对数据包特征信息进行匹配。 使用扩展IP访问列表技术，可以允许用户访问物理网络，而并不允许使用该网络中某项特定服务（例如WWW，FTP等），从而实现更为精细化安全访问控制，如图18-1所示。 常见IP ACL有两类：标准访问控制列表（Standard IP ACL）和扩展访问控制列表（Extended IP ACL），在规则中使用不同编号区别，其中标准访问控制列表的编号取值范围为1~99；扩展访问控制列表的编号取值范围为100~199。 18.2 网络端口技术 在网络通讯的过程中，如果把IP地址比作一座房屋的大门地址，那么端口就是出入这座房屋的各个内部房间的门。一座房屋只有一个唯一的IP地址，只有一个可以进出的大门，但有很多房间的门。 房间号通过门牌号来进行标识区别，端口通过端口号来标记，和门牌号一样，端口号只有整数，其取值的范围从0 到65535。不同的房间具有不同的功能，一台拥有IP地址主机提供许多服务。这些不同的服务就是通过不同的端口来实现。 按照服务功能的不同，端口号又分为二类。 1、标准化端口 标准化端口范围从0到1023，这些端口号一般固定分配给一些服务。如20端口、21端口分配给FTP(文件传输协议)服务，23端口分配给Telnet（远程登录协议协议）服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，110端口分配给POP3（电子邮件接收）服务等等。 2、动态端口 动态端口也叫非标准化端口，或者自定义端口，其取值的范围从1024到65535。这些端口号一般不固定分配给某个服务，也就是