项目8-网络安全配置-访问控制列表.ppt.pptVIP

访问控制列表 Accessing the WAN – Chapter 5 目标 了解如何使用ACL来保护中型企业的分支机构网络. 在中型企业的分支机构网络中配置标准ACL. 在中型企业的分支机构网络中配置扩展ACL. 描述中型企业的分支机构网络中复杂ACL. ACLs 在中型企业的分支机构网络中的应用检测及故障排除. 目录 5.1 使用ACLs 保护网络 5.2 配置标准 ACLs 5.3 配置扩展 ACLs 5.4 配置复杂 ACLs 5.5 章节实验 5.1使用ACLs 保护网络 5.1.1 TCP 会话 ACL 使您能够控制进出网络的流量. ACLs 可以将 ACL 配置为根据使用的 TCP 和UDP端口来控制网络流量. 5.1.1 TCP 会话 Port Numbers 5.1.2 数据包过滤 当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃. ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”： 源 IP 地址 目的 IP 地址 ICMP 消息类型 ACL 也可以提取上层信息并根据规则对其进行测试。上层信息包括： TCP/UDP 源端口 TCP/UDP 目的端口 5.1.2数据包过滤 在本场景中，数据包过滤器按如下方式检查每个数据包： 如果来自网络 A 的 TCP SYN 数据包使用端口 80，则允许其通过。但会拒绝用户的所有其它访问。 如果来自网络 B 的 TCP SYN 数据包使用端口 80，则阻止该数据包。但会允许用户的所有其它访问。 什么是 ACL? ACL 是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过. ACL 执行以下任务: 限制网络流量以提高网络性能. 提供流量控制。ACL 可以限制路由更新的传输. 提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。 决定在路由器接口上转发或阻止哪些类型的流量。 控制客户端可以访问网络中的哪些区域。 屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型，例如 FTP 或 HTTP. 5.1.3什么是 ACL? 3P 原则 每种协议一个 ACL 要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 每个接口一个 ACL 一个 ACL 只能控制一个接口（例如快速以太网 0/0）上的流量。 5.1.4 ACL 工作原理 ACL 工作原理 5.1.4 ACL工作原理 隐含的“拒绝所有流量”条件语句 5.1.5 Cisco ACLs的类型 有两类 Cisco ACLs, 标准的和扩展的. 标准 ACLs:标准 ACL 根据源 IP 地址允许或拒绝流量. 扩展 ACLs:扩展 ACL 根据多种属性. 5.1.6 标准 ACL 的工作原理 使用 ACL 时主要涉及以下两项任务: Step 1.通过指定访问列表编号或名称以及访问条件来创建访问列表. Step 2.将 ACL 应用到接口或终端线路. 5.1.7 编号ACL和命名ACLs 从 Cisco IOS 11.2 版开始，您可以使用名称来标识 Cisco ACL. 5.1.8 ACLs的放置位置 5.1.9 创建ACLs的一般指导原则 ACL 的最佳做法 5.2 配置标准 ACLs 5.2.1 输入条件语句 值得注意: 您应该将最频繁使用的 ACL 条目放在列表顶部. 您必须在 ACL 中至少包含一条 permit 语句，否则所有流量都会被阻止. 5.2.2配置标准 ACL 在图中，路由器会检查进入 Fa0/0 的数据包的源地址: access-list 2 deny access-list 2 permit 55 access-list 2 deny 55 access-list 2 permit 55 5.2.2配置标准 ACL 标准 ACL 命令的完整语法如下: Router(config)#access-list access-list-number deny/permit remark source [source-wildcard] [log] 5.2.3 ACL 通配符掩码 通配符掩码使用以下规则匹配二进制 1 和 0: 通配符掩码位 0 — 匹配地址中对应位的值 通配符掩码位 1 — 忽略地址中对应位的值 5.2.3 ACL通配符掩码 5.2.3 ACL通配符掩码 any 和 host 关键字 5.2.