SwitchRouter第11课-ACL.pptVIP

路由器交换机安装与调试技术提高课程;第3章 访问控制列表 ;教学目标;常见的网络攻击：;攻击不可避免;额外的不安全因素;现有网络安全体制;VPN 虚拟专用网;什么是访问列表; 为什么要使用访问列表;访问列表;访问列表的组成;标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向; 访问列表规则的应用;访问列表的入栈应用;以ICMP信息通知源发送方;IP ACL的基本准则;Y;访问列表规则的定义;源地址;目的地址; 0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值;通配符掩码指明特定的主机;通配符掩码指明所有主机;通配符掩码和IP子网的对应;;172.16.3.0;标准访问列表配置实例(二); IP扩展访问列表的配置; IP扩展访问列表配置实例(一);　　access-list 115 deny udp any any eq 69 　　access-list 115 deny tcp any any eq 135 　　access-list 115 deny udp any any eq 135 　　access-list 115 deny udp any any eq 137 　　access-list 115 deny udp any any eq 138 　　access-list 115 deny tcp any any eq 139 　　access-list 115 deny udp any any eq 139 　　access-list 115 deny tcp any any eq 445 　　access-list 115 deny tcp any any eq 593 　　access-list 115 deny tcp any any eq 4444 　　access-list 115 permit ip any any 　　interface type number 　　ip access-group 115 in 　　ip access-group 115 out ;封杀QQ;deny udp any host 61.144.238.145 deny udp any host 61.144.238.146 deny udp any host 202.104.129.251 deny udp any host 202.104.129.252 deny udp any host 202.104.129.253 deny udp any host 202.104.129.254 deny udp any host 218.18.95.236 deny ip any host 218.17.209.23 deny ip any host 218.17.209.42;deny ip any host 218.18.95.220 deny ip any host 219.133.38.5 deny ip any host 219.133.38.132 deny ip any host 219.133.38.178 deny ip any host 219.133.38.230 deny ip any host 219.133.49.5 deny ip any host 219.133.49.6 permit ip any any int fa0/1 #ISP进口 ip access-group 100 out;;使用ACL时应该注意;ACL的局限性;A公司的某位可怜的网管目前面临了一堆问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，???有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了5个VLAN。分别是内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。 自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。 ;课程回顾