第八章访问控制列表与端口安全58.pptVIP

第八章访问控制列表与端口安全 本章课题 8.1 访问控制列表简介 8.2 编号访问控制列表配置 8.3 命名访问控制列表 8.4 基于时间访问的控制列表 8.5 端口安全 网络安全隐患 （1）非人为的或自然力造成的故障、事故等。 （2）人为但属于操作人员无意的失误造成的数据丢失或损坏。 （3）来自园区网外部和内部人员的恶意攻击和破坏。 现有网络安全体制 什么是访问列表 IP Access-list：IP访问列表或访问控制列表，简称IP ACL IP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。 访问列表的作用 访问控制列表可以限制网络流量、提高网络性能、控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。在路由器或交换机的接口上配置访问控制列表后，可以对进出接口及通过接口中继的数据包进行安全检测。配置访问控制列表的目的主要基于以下两点。 （1）限制路由更新。 （2）限制网络访问。 访问控制列表类型 标准IP访问控制列表 编号的标准IP访问控制列表 命名的标准IP访问控制列表 扩展IP访问控制列表 编号的扩展IP访问控制列表 命名的扩展IP访问控制列表 ACL的一些相关特性 （1）每一个接口可以在进入（Inbound）和离开（Outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。 （2）ACL语句包括两个动作，一个是拒绝（Deny），一个是允许（Permit）。 （3）在路由器或交换机接口接收到报文时，应用在接口进入方向的ACL（内向ACL）起作用。 （4）在路由选择决定以后，数据准备从某一个接口输出报文时，应用在接口离开方向的ACL（外向ACL）起作用。 （5）每个ACL的结尾有一个隐含的deny all（拒绝的所有数据包）语句。因此，如果包不匹配ACL中的任何语句，将被拒绝。 ACL的内向匹配过程 ACL的外向匹配过程 通配符掩码 IP地址与通配符掩码的作用规则 IP地址与通配符掩码的作用规则是：32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配，例如， IP地址 （相应的二进制1010100000000000） 通配符掩码 55 （相应的二进制0000000011111111） 该通配符掩码的前24位为0，对应的IP地址位必须匹配，即必须保持原数不变，该通配符掩码的后8位为1，对应的IP地址位不必匹配，即IP地址的后8位可以为任意值。也就是说IP地址和通配符掩码55匹配的结果是这个网段内的所有主机。 两个特殊的关键字 Host：表示一种精确匹配，是通配符掩码的简写形式。例如，只检查IP地址为0的数据包，可使用以下两种ACL语句。 access-list 10 permit 0 或 access-list 10 permit host 0 Any：表示全部不进行匹配，是通配符掩码55的简写形式。例如，允许所有的IP地址的数据都通过，可使用以下两种ACL语句。 access-list 10 permit 0 55或 access-list 10 permit any 配置访问控制列表的步骤 第一步是配置访问控制列表语句 第二步是把配置好的访问控制列表应用到某个端口上。 访问控制列表配置的注意事项 （1）注意访问控制列表中语句的次序，尽量把作用范围小的语句放在前面。 （2）新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问控制列表，然后创建一个新访问控制列表，将新访问控制列表用到相应的接口上。 （3）标准的IP访问控制列表只匹配源地址，一般都使用扩展的IP访问控制列表以达到精确的要求。 （4）标准的访问控制列表尽量靠近目的，扩展的访问控制列表尽量靠近过滤源的位置，以免访问控制列表影响其他接口上的数据流。 （5）在应用访问控制列表时，要特别注意过滤的方向。 （6）在编号ACL中所有未被允许的都是被拒绝的，所以允许的内容一定要写全面。 配置标准IP访问控制列表 access-list access-list-number denylpermit source-address source-wildcard- mask access-list-number的范围是1~99 访问控制列表的动作 ： denylpermit 应用访问控制列表到接口 Ip access-group access-list-number in|out 访问控制列表只有被应用到某个接口才能达到报文过滤的目的。 接口上通过的报文有