第4章 路由器安全管理试卷.ppt

需要注意的问题 在访问控制列表中除了可以用eq关键字指出单一的端口号外，也可以规定端口号范围。 例如：gt 1024表示端口号大于1024；用lt 1024表示端口号小于1024；range 100 200则表示端口号介于100和200之间。 在每个访问控制列表的底端都可以有一个默认的DENY ANY。所以，建议在每个访问控制列表的最后一条语句明确地指出对其余通信量的出来方式。 4.3 路由器的安全管理 4.3.1 本地登录认证 图4-24 本地登录认证 4.3.2 访问类语句 图4-25 限制对路由器的管理性访问 4.3.2 访问类语句 图4-26 进行VTY访问控制 4.3.3 HTTP/HTTPS 1．HTTP管理方式 图4-29 HTTP访问本地认证配置 图4-31 限制HTTP访问位置 图4-33 关闭路由器上的HTTP服务 4.3.3 HTTP/HTTPS 2．HTTPS管理方式 图4-34 配置路由器支持HTTPS访问方式 4.3.4 SSH 图4-39 配置路由器上的SSH服务的步骤 4.3.4 SSH 2．SSH客户端 图4-47 SSH命令的上下文帮助信息 图4-48 以SSH方式登录到路由器R1 思考与练习 第4章 路由器安全管理 4.1 Telnet会话管理 4.1.1 呼出Telnet会话管理 图4-1 远程登录 使用主机名直接远程登录 当登陆到目标主机后，可使用以下命令断开当前Telnet回话： exit，回到本地设备； 不退出当前回话连接而暂时回到原设备：Ctrl+Shift+6+x； 显示呼出Telnet会话 断开呼出Telnet会话 此断开回话是从本地断开到目标本机的telnet回话。 disconnect命令 同时发起多个Telnet会话 返回某次Telnet会话过程 断开指定Telnet连接 4.1 Telnet会话管理 4.1.2 呼入Telnet会话管理 采用相对线号断开远程Telnet连接 用绝对线号断开远程Telnet连接 4.2 访问控制列表——ACL 4.2.1 访问控制列表概述 1．访问控制列表 访问控制列表是控制流入、流出路由器数据包的一种方法。它通过在数据流入或流出路由器时进行检查、过滤达到流量管理的目的，而且在很大程度上起到保护网络设备和服务器的关键作用。 是一个有序的语句集合，它通过匹配报文信息与访问列表参数来允许报文或拒接报文通过某个接口。 2．配置访问控制列表步骤： Step1：定义允许或禁止报文的描述语句（访问列表）； Step2：将访问列表应用到路由器的具体接口（应用访问组）。 表4-1 通过编号指定的访问列表所支持的协议 协议 范围 标准IP协议 1～99 扩展IP协议 100～199 Ethernet类型码 200～299 DECnet 300～399 XNS 400～499 扩展XNS 500～599 AppleTalk 600～699 Ethernet地址 700～799 IPX 800～899 扩展IPX 900～999 IPX SAP 1000～1099 MAC 1100～1199 IPX汇总地址 1200～1299 标准IP协议：1300～1999（IOS v12.0 and later） 扩展IP协议：2000～2699（IOS v12.0 and later） IP访问控制列表： 标准IP访问控制列表：仅依据IP数据包的源地址决定是否过滤数据包； 扩展IP访问控制列表：不但可以检查源地址、目标地址，而且可以检查源和目标的端口号等字段。 4.2 访问控制——ACL 4.2.2 标准ACL配置方法 1．标准IP访问控制列表语句 ACCESS-LIST access-list-number {DENY|PERMIT|REMARK} {SOURCE [source-wildcard]|ANY} access-list-number 列表号码，范围1~99之间 DENY|PERMIT 指出该访问控制列表是允许还是拒绝数据包 SOURCE [source-wildcard]|ANY 主机或网络的源地址，或者是任何主机 注意：要匹配某个主机则需要输入该主机的IP地址；若要匹配某个网络，则需要输入网络号，后面跟上通配符掩码。