项目17保护办公网不同区域访问安全要点详解.ppt

1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。 2、所有访问列表默认规则是拒绝所有数据包 3、处理方式只有允许通过和拒绝通过 4、锐捷路由器只能编写编号方式的规则 5、锐捷交换机只能编写命名方式的规则 6、一个端口在某一方向只能应用一组访问列表 【任务描述】 绿丰公司信息中心为了保护企业内部网络设备安全，希望通过三层技术，一方面实现办公网互联互通，同时还希望通过三层数据包检查技术，限制相关区域网络访问范围，实现不同区域的部门网络之间安全访问。 由于没有实施部门网之间的安全策略，出现非业务的后勤部门登录到销售部网络中，查看销售部网络设备的资源。为了保证企业内部网络的整体安全，网络中心重新进行安全规划，实施了访问控制列表安全技术，禁止其它部门网络访问销售部所在网络。 谢 谢！ 欢迎访问本课程 教学资源配套实施 网络平台 谢 谢！ * * * * * * * * * * * * * * * * * * * * * * ? 访问控制列表技术（ACL） ? 标准访问控制列表技术（ACL） ? 了解解访问控制列表技术 ? 什么是标准访问控制列表 ? 标准访问控制列表技术 ? 基于编号标准访问控制列表技术 ? 命名标准访问控制列表技术 绿丰公司是家消费品销售公司，最近公司为适应当前信息化以及网购发展趋势需要，成立了多个部门，并为之组建了互联互通的办公网络，实现资源共享。 公司的信息中心为了保护公司企业内部网络互连设备的安全，希望通过三层技术，一方面在实现办公网互联互通的同时，还希望通过三层数据包的检查技术，通过限制相关的区域网络的方式范围，实现不同区域的部门网络之间安全访问。 默认的情况下，安装在网络中的互联设备会转发所有接受到的数据，实现网络互相连通。 为了保护网络中部分区域的网络安全，经常需要实施相关的安全技术，限制部分区域的网络的访问范围。限制部分区域的访问安全，可以使用三层的数据包检查技术实现。 可以实现三层数据包检查技术的网络设备有防火墙和三层路由设备，通常在企业内部网络的安全访问控制多使用访问控制列表技术就可以实现。 本项目主要从网络管理员日常安全管理角度出发，讲解办公网中三层路由设备的安全控制技术，了解数据包安全检查机制，学习访问控制技术机制，区别基于编号的标准访问控制列表技术和基于命名的访问控制列表技术异同点，会配置二种不同的访问控制列表技术。 17.1 访问控制列表基础知识 访问控制列表IP ACL技术是Access Control List的简写，简单说便是数据包过滤。配置在网络设备中的访问控制列表实际上是一张规则检查表，这些表中包含很多指令规则，告诉交换机或者路由器设备，哪些数据包可以接收，哪些数据包需要拒绝，实施对网络中通过的数据包过滤，从而实现对网络资源进行访问输入和输出的访问控制。 根据访问控制标准不同，IP ACL分多种类型，实现不同区域安全访问控制。 常见IP ACL有两类：标准访问控制列表（Standard IP ACL）和扩展访问控制列表（Extended IP ACL），在规则中使用不同编号区别，其中标准访问控制列表的编号取值范围为1~99；扩展访问控制列表的编号取值范围为100~199。 ? 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口／ＶＬＡＮ上 ? 访问控制列表的分类： 1、标准ＡＣＬ 2、扩展ＡＣＬ 3、命名ＡＣＬ（标准／扩展） ? 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out） ? 一切未被允许的就是禁止的。 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 ? 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ? 从头到尾，至顶向下的匹配方式 ? 匹配成功马上停止 ? 立刻使用该规则的“允许、拒绝……” ? 标准访问列表 根据数据包源IP地址进行规则定义 ? 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 7、ACL分类 ? 标准访问列表 只根据源IP地址，进行数据包的过滤。 学生网段 校领导网段 教研网段 8、标准列表规则定义 1、定义标准ACL Router(config)# access-list 1-99 { permit |deny } 源地址 [反掩码] Switch(config)# Ip