第六讲安全技术概述.ppt

计算机学院 访问控制列表的基本原 地址转换的基本原理 配置标准访问控制列表 （ Configure standard IP access lists ） 配置扩展访问控制列表 （ Configure extended IP access lists ） IP包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 为什么使用ACL？（Why Use Access Control Lists?） 访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 ACL表号（ACL Number ） 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 Access List 命令（ Access List Command ） Access List 命令（ Access List Command ） 标准IP ACL实例2（Standard IP ACL Example 2） 标准IP ACL实例3（Standard IP ACL Example 3） 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 标准ACL与扩展ACL比较（Standard versus External ACL） 扩展ACL配置（Extended IP ACL Configuration） 扩展ACL实例1 （Extended ACL Example 1） Extended Access List Example 2 放置ACL（ Placing IP Access Lists） 如何使用访问控制列表 防火墙配置常见步骤： 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上 基于时间段的包过滤 “特殊时间段内应用特殊的规则” CASE 假设现在某个集团企业的网络部署架构如下： 用户主机---路由器A—路由器B-----互联网。 在这种网络架构下，企业现在希望实现如下控制。 1、 用户主机甲不能够访问互联网。 2、 其他用户都可以不受限制的访问互联网。 此时，很明显可以通过多种方式来实现这种需求。不过，访问控制列表是实现这种控制的一个比较灵活的策略。此时，拒绝用户主机甲访问互联网的访问控制列表可以放在路由器A，也可以放在路由器B上;可以放在路由器A的进口或者出口端口上，也可以放在路由器B的进口或者出口端口上。放在这四个位置的任何一个位置上，都可以实现企业的需求。只是对于网络的影响有所不同。 引入(Ip地址转换） 按照目前Internet网络迅猛发展的速度，到2010年IPv4的地址将消耗殆尽。 目前IPv6(IPng)的推广和部署受到一定的阻力，无法在短时间内完成网络从IPv4到IPv6的过渡。 目前解决IP地址短缺的有效方法：NAT和CIDR NAT基本概念 NAT(Network Address Translator) 网络地址转换，即改变IP报文中的源或目的地址的一种处理方式； 使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用； 有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。 NAT基本概念 共有地址和私有地址 私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： - 55 - 55 - 55 NAT基本概念 地址池 地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池 NAT基本概念 访问控制列表 访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一