第4章_访控制列表ACL.ppt

TechNet TNT1-16 第4章访问控制列表ACL 1. 标准访问控制列表(ACL)； 2. 扩展访问控制列表(ACL) ； 3. 命名ACL 4. 基于时间的ACL 5. 动态ACL 6. 自反ACL 网络安全概述 网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义： 保证内部局域网的安全（不被非法侵入） 保护和外部进行数据交换的安全 网络安全技术的完善和更新 网络安全措施 常常从如下几个方面综合考虑整个网络的安全 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制 保证内部网络的隐蔽性 有效的防伪手段，重要的数据重点保护 对网络设备、网络拓扑的安全管理 病毒防范 提高安全防范意识 防火墙基本概念 防火墙是指用于将网络危险和内部网络隔离开来的软硬件设施。具体来说，防火墙的功能就是根据一定的规则决定某些报文可以通过，而某些报文则不允许通过。 防火墙的实质就是一种报文过滤技术。 防火墙的分类： 1) 静态配置规则的网络层报文过滤技术，称之为ACL(Access Control List) 2) 应用相关的报文过滤技术，称之为ASPF(Application Specific Packet Filter) ACL图示 ACL作用 1．限制网络流量、提高网络性能 2．提供对通信流量的控制手段 3．提供网络访问的基本安全手段 4．在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞 两种保护策略的准则 一切未被允许的就是禁止的。 一切未被禁止的就是允许的。 ACL工作原理(1/2) 包过滤： 根据规则有选择地让数据包在网络内外进行交换 可以在一台路由器上提供对整个网络的保护 不识别数据包中的用户信息和文件信息 数据包头部信息 IP源地址和目标地址 协议(TCP、UDP或ICMP包) TCP/UDP源和目标接口 ICMP信息类型 数据包要到达的端口和要出去的端口 ACL工作原理(2/2) 包过滤判断依据： 根据数据包的目的地址 根据数据包的源地址 根据数据包的传送协议 ACL如何流程 ACL条件顺序 配置ACL步骤 步骤1，定义访问控制列表 access-list access-list-number { permit | deny } { test-conditions } 步骤2，将访问控制列表应用到某一接口上 access-group access-list-number {in | out} 标准ACL(1/2) 标准 ACL (Standard ACL) 检查源地址 允许或拒绝整个协议族 标准ACL(2/2) access-list [access-list-number] {deny|permit} source [source-wildcard] access-list-number：表号，值为1-99 deny：拒绝报文，丢弃 permit：运行报文，转发 source：报文的源地址，如(网络)，(单主机) source-wildcard：通配符掩码，为子网掩码按位取反 扩展ACL(1/4) 扩展 ACL (Extended ACL) 检查源和目的地址 通常允许或拒绝特定的协议 扩展ACL (2/4) access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log] 扩展ACL (3/4) 常见端口号 ACL表号(access-list-number) 通配符掩码(Wildcard Mask) 一个32比特位的数字字符串 0表示“检查相应的位”,1表示“不检查(忽略)相应的位” 为子网掩码各位取反 特殊的通配符掩码 any 55 host 9 host 9 调试访问控制列表 R# show running-config R# show access-list 实验拓扑 网络基本配置 - 路由器(1/3) R1: 设置端口e0/0，s1/0的ip地址，并且打开端口 R2 设置端口s1/0，s1/1的ip地址，并且打开端口 R3 设置端口e0/0，s1/1的ip地址，并且打开端口 网络基本配置 - 路