第十章 园区网安全设计.pptVIP

* * * * * * * * * 访问列表的入栈应用 N Y 是否允许? Y 是否应用访问列表? N 查找路由表 进行选路转发 以ICMP信息通知源发送方 以ICMP信息通知源发送方 N Y 选择出口S0 路由表中是否存在记录? N Y 查看访问列表的陈述 是否允许? Y 是否应用访问列表? N S0 S0 访问列表的出栈应用 * IP ACL的基本准则 一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝……” Y 拒绝 Y 是否匹配测试条件1 ? 允许 N 拒绝 允许 是否匹配测试条件2 ? 拒绝 是否匹配最后一个测试条件? Y Y N Y Y 允许 被系统隐含拒绝 N 一个访问列表多个测试条件 * 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表 IP标准访问列表 目的地址 源地址 协议 端口号 100-199号列表 TCP/UDP 数据 IP eg.HDLC IP扩展访问列表 0表示检查相应的地址比特 1表示不检查相应的地址比特 0 0 1 1 1 1 1 1 128 64 32 16 8 4 2 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 0 0 1 1 1 1 1 1 1 1 反掩码（通配符） IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表Router(config)#access-list 1-99 {permit|deny} 源地址 [反掩码] 命名的标准访问列表 ip access-list standard { name} 　deny　{source source-wildcard|host　source|any} or permit {source source-wildcard|host　source|any} 2.应用ACL到接口 Router(config-if)#ip access-group 1-99|{name} { in | out } * access-list 1 permit 55 (access-list 1 deny 55) interface serial 0 ip access-group 1 out F0 S0 F1 IP标准访问列表配置实例 标准ACL的应用 注:不要忘记将ACL应用于接口下 例：销售部不允许访问财务部的办公网络，但是可以访问 Internet和市场部！ 控制VTY(Telnet)访问 Vty线路上的应用访问控制列表命令 区别在于只应用于telnet数据包 access-list 50 permit line vty 0 4 access-class 50 in IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended { name} {deny|permit} protocol　{source　 source-wildcard |host source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 |{name} { in | out } IP扩展访问列表配置实例 下例显示如何创建一条Extended IP ACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络。 Switch (config)# ip access-list extended abc Switch (config-ext-nacl)# permit tcp 55 hos