IP网络安全管理与QoS原理.pptVIP

IP网络安全管理与QoS原理 主讲：宁闪 主要内容 IP安全管理 IP网络QoS原理 IP网络规划 互联网IP技术概述 核心网技术发展趋势 第1章：IP安全管理 IP安全管理 第1章： IP安全管理 IP网络的安全威胁 IP网络的安全技术 IPSec原理 IP网络的安全威胁 IP数据包格式： IP安全管理 IP网络的安全技术 访问控制技术 防火墙技术 加密技术 VPN技术 访问控制技术 网络安全门户是访问控制与防火墙技术。访问控制技术过去主要用于单机状态，随着网络发展，该项技术得到长足的进步。 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。 访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表ACL 访问控制列表（Access Control List, ACL)可以在路由器中识别通信量。这种识别可用来过滤数据流，从而达到改善网络通信量管理的目的。 访问列表的应用 访问列表的其它应用 访问控制技术 ACL的分类 识别访问列表 用标准访问列表测试数据 用扩展访问列表测试数据 出端口方向上的访问列表 出端口方向上的访问列表 出端口方向上的访问列表 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 通配符：如何检查相应的地址位 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP子网的对应 标准IP访问列表的配置 第一步：用Access-list命令在标准IP通信量过滤器列表中创建一个条目： Access-list-number 标识条目所属的列表。它是一个1到99的号。 Permit | deny 指明该条目是允许还是阻塞指定的地址 Source-address 标识源IP地址 Wildcard mask 标识地址域中那些位要进行匹配。默认掩码是（匹配所有位） “no access-list access-list-number” 命令删除访问列表 标准IP访问列表的配置 第二步：ip access-group命令将一个已经存在的访问控制列表应用到接口上。 对于每个协议、每个方向、每个接口来说，只允许有一个访问控制列表。 Access-list-number 指明了将要应用到接口上的访问控制列表号 In | out 用来选择是将访问控制列表作为输入过滤器还是输出过滤器。如果不设置默认为out。 no ip access-group access-list-number” 命令在端口上删除访问列表 例 1 例 2 例 3 在路由器上过滤vty 五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制 如何控制vty访问 虚拟通道的配置 虚拟通道访问举例 标准访问列表和扩展访问列表比较 扩展 IP 访问列表的配置 扩展 IP 访问列表的配置 例 1 例 2 访问列表的放置原则 查看访问列表 查看访问列表的语句 端口号 名称访问列表 访问列表配置准则 访问列表中限制语句的位置是至关重要的 将限制条件严格的语句放在访问列表的最上面 使用 no access-list number 命令删除完整的访问列表 例外: 名称访问列表可以删除单独的语句 隐含声明 deny all 在设置的访问列表中要有一句 permit any IP安全管理 IP网络的安全技术 访问控制技术 防火墙技术 加密技术 VPN技术 防火墙技术 防火墙技术是网络安全的关键技术之一，只要网络世界存在利益之争，就必须要自立门户--有自己的网络防火墙 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以Internet网络为最甚（Internet正以惊人的速度发展，每天都有成千上万的主机连入Internet，它的内在不安全性已受到越来越多的关注）。 防火墙是一种将内部网和公众网分开的方法。它是控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。