第8章网络安全分析.ppt

继续以上的实验。 上面的实验已经在Router0配置了标准的访问控制列表10，只允许市场部和财务部的计算机能够访问Internet，但是拒绝市场部计算机PC7访问Internet。 总结： 1.组织好访问列表，要将更加具体的地址或网段放在访问列表的最前面。 2.任何时候访问列表添加新条目时，将把新条目放置到列表的末尾。强烈推荐使用文本编辑器编辑访问列表。 3.不能从访问列表中删除一行。如果试着这样做，将删除整个列表。最好在编辑列表之前将访问列表复制到一个文本编辑器中。只有使用命名访问列表时例外。 打开第8章练习“02扩展访问控制列表.pkt”，网络拓扑如图 要求：在Router0上定义扩展ACL实现以下功能 1.允许市场部计算机能够访问INTERNET 2.允许财务部计算机只能访问Internet的/8网段的 Web服务器 3.服务器组中的计算机能够ping 通 Internet的任何计算机 实验步骤参照课本 router(congfig)#access-list 101 permit icmp 55 any 将扩展访问控制列表绑定到router0的接口： Router（config）#inter serial 3/0 Router(config-if)#ip access-group 101 out 打开第8章练习“03 使用ACL保护路由器安全.pkt”，网络拓扑如图所示，路由器和计算机的IP地址已经按照图示的地址配置，且路由器已经配置telnet密码和enable密码，分别为hanlg和todd。现在任何一个计算机都可以telnet路由器。 为了安全起见，你需要在Router0创建标准的访问控制列表，只允许ITG部门的计算机能够telnet路由器。 步骤 1、在PC7上TELNET路由器，你发现只要输对了密码就能TELNET成功。 PCtelnet 2、在Router0上创建标准的ACL Router(config)#access-list 12 permit 55 --定义ACL Router(config)#line vty 0 15 --进入VTY虚接口 Router(config-line)#access-class 12 in --绑定ACL 3、验证只有ITG部门的计算机能够telnet到路由器 PC7telnet路由器，PC2 telnet路由器。 PCtelnet 扩展访问控制列表可以和时间段结合来过滤流量上网。比如：我要在路由器上面设置时间段：周一到周五9:00-12:00和14:00-18:00在这段时间里面员工能访问Internet，周六周日只能访问Internet的Web站点和DNS域名解析的流量通过。 基于时间的访问控制列表在Packet tracer软件中的路由器不支持。使用Dynamips软件进行基于时间的访问控制列表的实验。路由器RA、RB和RA的连接如图所示。按照图示的IP地址规划将路由器的接口配置IP地址，并且在路由器上添加了路由表，使整个网络是畅通的。RB模拟的是连接内网和Internet的防火墙路由器。以下所有的操作在路由器RB上。 实验步骤参照课本 你需要查看路由器现在的时间，如果不对，应该先配置路由器的时间，然后创建时间段，给访问控制列表指定时间段。 RB#show clock --显示路由器上当前时间 10:25:32.955 UTC Mon Nov 15 2010 --当前时间是2010年11月15日10点25分32秒。 Mon是Monday（星期一）的缩写，Nov是November（11月）的缩写，UTC代表Coordinated Universal Time(协调世界时) RB#clock set 10:49:23 15 Nov 2010 --将时间设置为2010年11月15日，10点49分 如图8-8所示：定义一个工作时间段work-time，周一到周五的8:00-12:00、14:00-18:00。定义一个weekend-time，周六周日全天。 图 8-8 定义时间段 如图8-9所示，Weekdays代表周一到周五。 图 8-10查看定义的时间段 Weekend代表周六周日两天。 以下命令查看定义的时间段，如图8-10所示。 图 8-9 定义时间段 在创建扩展访问控制列表可以指定时间创建的时间段，在你指