网络安全防范技术-acl.ppt

  1. 1、本文档共62页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络安全防范技术-acl

首先,从网络管理员的需求说起,网络管理员经常面临进退两难的困境,他们必须设法拒绝那些不希望的访问连接,同时又要允许正常的访问连接,引出访问控制列表的概念。此处需要指出应用访问控制列表也是一项网络安全措施,着重培养学员的安全意识。 重点是强调ACL是一系列规则。 讲述访问控制列表的作用,指出访问控制列表的作用就是使用一系列规则来控制用户对于网络资源的访问。 结合幻灯片中IP数据包的组成,介绍访问控制列表(ACL)实现的核心技术是包过滤。ACL对流量进行归类,使不同流量类别对应不同的处理方式。路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定转发还是丢弃该数据包。 ACL使用源地址、目的地址、源端口号、目的端口号定义规则 * 说明从路由器的角度来看,数据包可以分为进入的和出去的数据包。明确在不同方向应用ACL时,是对哪部分数据流量进行过滤。 首先说明,是否应用了访问控制列表,设备对数据包处理过程是不一样的。 ACL是一组判断语句的集合,具体对下列数据包进行检测并控制:从入站接口进入设备的数据包;从出站接口离开设备的数据包。 设备会检查接口上是否应用了访问控制列表,从而进入不同的处理流程。如果接口应用了访问控制列表,则与该接口相关的一系列访问控制列表语句组合将进行检测。基于ACL的测试条件,数据包被允许或者被拒绝。教员结合幻灯片讲述ACL的处理过程,引导学员思考ACL语句顺序的重要性,可与学员讨论某些语句顺序颠倒之后,语句执行的效果。然后顺便介绍编辑访问控制列表语句的方法 注意事项 教员应当提醒学生注意以下几点: 1、访问控制列表对路由器本身产生的数据包不起作用 2、只有在数据包与第一个判断条件不匹配时,它才交给ACL中的下一个条件判断语句进行比较 3、在与某条语句匹配后,就结束比较过程,不再检查以后的其他条件判断语句 4、如果不与任一语句匹配,则它必与最后隐含的拒绝匹配 5、按照从具体到普遍的次序来排列条目 6、将较经常发生的条件放在较不经常发生的条件之前 * 介绍标准ACL的配置,其中明确讲解反掩码的配置方法和作用。还有需要强调配置的源地址,即根据源地址过滤。 此处需要说明不能删除单条ACL语句,只能删除整个ACL * 注:与动态acl条目相关的有两个超时时间:绝对和空闲。绝对计时器在动态acl条目中指定 ,空间超时时间用autocommand命令指定,如果没有指定超时时间,默认条目永不超时 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。 IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。 标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。 【实现功能】 实现网段间互相访问的安全控制。 【实验设备】 RSR10路由器(两台)、V.35线缆(1条)、交叉线(3条) 【实验拓扑】 【实验步骤】 步骤1: Router1、 Router2 基本配置 IP地址等 步骤2: 路由表 步骤3: 访问控制列表 访问控制列表应用在接口 步骤4: 测试 配置静态路由 Router1(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 测试命令:show ip route。 步骤2? ? ? ? 配置标准IP访问控制列表。 Router2(config)#access-list 1 permit 55 ? ?! 允许来自网段的流量通过Router2(config)#access-list 1 deny 55 ? ?! 拒绝来自网段的流量通过 验证测试: Router2#show access-list 1 Standard IP access list 1 includes 2 items: ? ? deny? ?, wildcard bits 55 ? ? permit , wildcard bits 55 步骤3? ? ? ? 把访问控制列表在接口下应用。 Router2(config)# interface fastEthernet 1/0 Router2(config-if)#ip access-group 1 out? ?! 在接口下访问控制列表出栈流量调用 验证测试: Router2#show ip interface fastEthernet 1/0 步骤4.? ? ? ? 验证测试。 ping(网段的主机不能

文档评论(0)

561190791 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档