实验4.1 访问控制列表实验概要.ppt

XXX 实验4.1 访问控制列表实验 实验背景 1 实验目的与内容 2 实验设备 3 实验步骤 4 实验背景 访问控制技术通过控制与检查进出关键服务器中的访问，保护服务器中的关键数据。它是一种主机防护技术。如果说安全保护就像保护自己的球网不被攻破一样，防火墙是中卫，IDS是后卫，则访问控制就是守门员——随时准备扑出任何非法的进入。ACL设置原则如下： ·最小特权原则。只给受控对象完成任务所必须的最小权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 ·最靠近受控对象原则。所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中逐条检测的，只要发现符合条件了就立刻转发，而不再继续检测下面的ACL语句。 ·默认丢弃原则。在有的路由交换设备中默认丢弃所有不符合条件的数据包。这一点要特别注意，虽然可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 实验目的与内容 【实验目的】 （1）熟悉路由器包过滤的核心技术：访问控制列表。 （2）掌握访问控制列表的相关知识、应用，灵活设计防火墙。 【实验内容】 （1）配置路由器、计算机，使网络内所有设备互通。 （2）在路由器上配置访问控制列表，使网络内的设备安全的访问其他设备。 实验设备 H3C系列交换机一台，H3C系列路由器两台，计算机三台，专用配置电缆一根，网线5根，标准V35电缆一对。网络拓扑结构如图4.1所示。 实验步骤 （1）按照图4.1所示将网络拓扑结构搭建好，并将各个计算机配置好。 （2）配置各个路由器的接口地址、路由协议、访问控制列表并设置相应的规则，将网络连通为后面的实验做准备。 ①对RT1做如下配置： H3Csystem-view [H3C]sysname RT1 [RT1]time-range CQUT 8:00 to 18:00 working-day [RT1]interface GigabitEthernet0/0 [RT1-GigabitEthernet0/0]ip address 192.168.0.1 255.255.255.0 [RT1-GigabitEthernet0/0]interface serial3/0 [RT1-serial3/0]ip address 212.0.0.1 255.255.255.0 [RT1-serial3/0]quit [RT1]rip [RT1-rip]network 192.168.0.0 [RT1-rip]network 212.0.0.0 [RT1-rip]quit 实验步骤 ②对RT2做如下配置： H3Csystem-view [H3C]sysname RT2 [RT2]interface GigabitEthernet0/0 [RT2-GigabitEthernet0/0]ip address 192.168.1.1 255.255.255.0 [RT2-GigabitEthernet0/0]interface serial3/0 [RT2-serial3/0]ip address 212.0.0.2 255.255.255.0 [RT2-serial3/0]quit [RT2]rip [RT2-rip]network 192.168.1.0 [RT2-rip]network 212.0.0.0 [RT2-rip]quit 实验步骤 ③在PC1上分别ping PC2、PC3，查看是否能通？ ④在RT1上做如下配置： [RT1]acl number 2001 [RT1-acl-basic-2001]rule 0 deny source 192.168.0.0 0.0.0.255 time-range CQUT [RT1-acl-basic-2001]quit [RT1]interface serial3/0 [RT1-serial3/0] packet-filter 2001 outbound [RT1-serial3/0]quit 实验步骤 ⑤在PC1上分别ping PC2、PC3，查看是否能通？ ⑥在RT1上做如下配置： [RT1]acl number 2001 [RT1-acl-basic-2001]rule 0 permit source 192.168.0.0 0.0.0.255 time-range CQUT [RT1-acl-basic-2001