进入的存取清单.ppt

* 使用 SDM 建立 ACL(六) 接著建立簡單的 permit ip any 敘述 * 使用 SDM 建立 ACL(七) 在點選 OK 之後, 又會回到主畫面, 並且看到剛才設定的清單 * 使用 SDM 建立 ACL －檢視 檢視路由器的運行組態： * 使用 SDM 建立 ACL －測試 嘗試 telnet 到主機 telnet 到主機 ： * 使用 SDM 來建立防火牆(一) 點選『Configure / Firewall and ACL』, 就會有精靈引導您建立防火牆規則 首先是 Create Firewall 畫面 * 使用 SDM 來建立防火牆(二) 基本防火牆 如果單純由主機構成的網路, 網路中不包含伺服器, 或是伺服器不需要與外界通訊, 則使用這個精靈 進階防火牆 當網路中包含主機和伺服器, 且伺服器必須存取外界主機的時候, 就要使用這個精靈。基本上, 任何網路只要包含網站、電子郵件、或是其他必須透過網際網路通訊的伺服器, 就要選擇 Advanced Firewall * 使用 SDM 來建立防火牆(三) 選擇連接並建立基本防火牆, 然後點選 Launch the selected task 按鈕 以下畫面說明基本防火牆的組態設定精靈會做哪些事情 * 使用 SDM 來建立防火牆(四) 之後只要點選 Next, 就可以從下個畫面選擇我們的內部和外部位址 － 受信任和未受信任界面 * 使用 SDM 來建立防火牆(五) 一旦選好內部和外部界面之後, 點選 Next 就會有一堆存取清單的審核敘述被應用在路由器上 * 使用 SDM 來建立防火牆(六) 接著點選 Finish, 它會詢問我們是否要設定外部界面的遶送協定 * 使用 SDM 來建立防火牆(七) 點選 OK 。接著會出現「您已經成功在路由器上設定防火牆了」的畫面 在點選 OK 之後, 會得到下面的畫面 * 使用 SDM 來建立防火牆－檢視(一) 看看以上的設定在運行組態中加入了甚麼： 這些CBAC，也就是IOS防火牆 ip inspect命令會開啟基本應用的檢查動作, 以降低對個別應用的攻擊 * 使用 SDM 來建立防火牆－檢視(二) * 使用 SDM 來建立防火牆－檢視(三) 基本防火牆的組態設定精靈會將您限制在兩個界面。以下是它所應用的界面： 這就是檢查流程所應用的地方 * 使用 SDM 來建立防火牆－檢視(四) SDM 所設定的其餘組態： ACL 100-102是內部界面的進入清單。這些 ACL 定義可以出去、以及可以通過防火牆的交通。它們會拒絕路由器認識的所有網路和回繞位址, 只剩下連結該界面的區域網路位址能夠當作來源位址而進入該界面 * 使用 SDM 來建立防火牆－檢視(五) * 使用 SDM 來建立防火牆－檢視(六) 這是從外部進入的存取清單，所以拒絕了較多的東西 * 使用 SDM 來建立進階防火牆 回到 Firewall and ACL 的設定按鈕, 並且點選 Advanced firewall * 進階防火牆精靈和基本防火牆精靈的差異 進階防火牆精靈會將存取規則應用在內部、外部、和 DMZ 界面, 但基本防火牆精靈只會將存取規則應用在內部和外部界面 進階防火牆精靈會將檢查規則應用在所有內部、外部、和 DMZ 界面上, 而基本精靈只會在外部界面上應用檢查規則 * 使用 SDM 來建立進階防火牆(續) 下個畫面可以選擇內部、外部、和 DMZ 界面 其餘部份就跟基本防火牆精靈的設定很類似… * 延伸式存取清單－動作 * 延伸式存取清單－協定 * 延伸式存取清單－來源位址 * 延伸式存取清單－目的位址 * 延伸式存取清單－其他選項 * 延伸式存取清單－根據特殊應用協定來過濾 * 延伸式存取清單－根據特殊應用協定來過濾 * 延伸式存取清單範例 1 利用前一個 IP 標準式存取清單範例的圖 10.2 的網路, 拒絕對財務部區域網路上的 主機存取 Telnet 與 FTP 服務。而所有這部主機的其他服務與所有其他主機都可讓業務部與行銷部存取： 如果這裡沒有指定 tcp, 後面就不能指定要過濾埠號 21 與 23 如果這份清單只是要阻擋來自業務部區域網路的存取, 就得在儘量靠近來源處或 E0 界面配置這份清單，但我們產生的規則要應用到所有主機上，所以我們將它應用在 E1 界面的離開方向 * 延伸式存取清單範例 2 這個範例用到圖 10.4，這次我們想要做的是阻止 Telnet 存取到連結 E1 界面的區域網路與連結 E2 界面的區域網路 如果我們只用到一份存取清單, 效率並不會很好, 因為如此一來每個從這些界面出去的封包都要被檢查。但如果我們利用 2 份存取清單, 而且設定無誤的話, 則每個界面上的延遲都會變少 * 名稱