第08章 网络安全技术与应用剖析.ppt

第08章 网络安全技术与应用 刘 生 副教授 Tel13851483569 Email：liushnj@163.com 南京信息工程大学滨江学院计算机系 Show命令 show access-lists 显示在路由器上的所有配置好的ACL show access-lists {name | number} 显示指定的ACL show ip interface 显示接口上使用的ACL——入站和出站 show running-config 显示当前的路由器的整个配置 验证ACL ?ACL不检查路由器本身自己产生的数据报 ?ACL只检查其他来源的数据报 ACL的特点 8.5.6扩展ACL的应用 某企业网络信息中心拓扑结构下图所示。非军事区（DMZ）包括交换机、企业WWW服务器、E-Mail服务器、防火墙、路由器（Cisco2651）和Internet专线连接设施。企业内网包括认证和计费系统（RADIUS）、网络OA系统、ERP系统、核心交换机（Catalyst 4506）和汇聚交换机（Catalyst 2950G）等设施。 外网扩展访问控制列表 /*仅允许DMZ区服务器的匿名端口开放*/ access-list 101 permit tcp any host eq pop3 access-list 101 permit tcp any host eq smtp access-list 101 permit tcp any host eq www access-list 101 permit tcp any host eq www access-list 102 permit tcp any host eq ftp access-list 102 deny ip any host access-list 102 deny ip any host /*保护内网主机的敏感端口，防止病毒、特洛伊木马和蠕虫的攻击*/ access-list 110 deny icmp any any echo access-list 110 deny tcp any any eq 4444 access-list 110 deny udp any any eq tftp access-list 110 deny udp any any eq 1434 access-list 110 deny tcp any any eq 445 access-list 110 deny tcp any any eq 139 access-list 110 deny udp any any eq netbios-ss access-list 110 deny tcp any any eq 135 access-list 110 deny udp any any eq 135 access-list 110 deny udp any any eq netbios-ns access-list 110 deny udp any any eq netbios-dgm access-list 110 deny udp any any eq 445 access-list 110 deny tcp any any eq 593 access-list 110 deny udp any any eq 593 access-list 110 deny tcp any any eq 5800 access-list 110 deny tcp any any eq 5900 access-list 110 deny udp any any eq 6667 access-list 110 deny 255 any any access-list 110 deny 0 any any access-list 110 permit ip any any /*将此访问控制列表应用于边界路由器的外网接口*/ interface s0/0 ip access-group 110 in 内网扩展访问控制列表 为了防止内网用户攻击或网络病毒攻击内网服务器和主机的敏感端口，在三层交换机设置第二道安全屏障。扩展访问控制列表配置如下： /*仅允许内网服务器的匿名端口开放*/ access-list 102 permit tcp any host eq www access-list 102 permit tcp any host eq www access-list 102