07-new 安全设计与A的CL.ppt

网络访问控制列表 ;本章内容;课程议题;针对网络通讯层的攻击;DMZ E-Mail File Transfer HTTP;DMZ E-Mail File Transfer HTTP;;课程议题;交换机端口安全;交换机端口安全;配置安全端口 ;配置安全端口;端口安全配置示例;端口安全配置示例;验证命令;验证命令;课程议题;ISP; 为什么要使用访问列表;接入层交换机 RG-S2126;访问控制列表的特征;访问列表的组成; 访问列表规则的应用;访问列表的入栈应用;以ICMP信息通知源发送方;IP ACL的基本准则;访问列表规则的定义;标准访问列表和扩展访问列表比较;访问控制列表;源地址;标准IP访问列表;如何使用反掩码; 禁止来自某台主机的数据流通过（拒绝主机3访问网络）;access-list 1 permit 55 (access-list 1 deny 55) interface serial 0 ip access-group 1 out;目的地址;; IP扩展访问列表的配置;命名IP访问控制列表;可以使用下面的命令为一个ACL命名： 在ACL配置模式中，可以指定一个或者多个允许或者禁止条件。命令如下： 将Named ACL关联到某个端口。;扩展访问列表; IP扩展访问列表配置实例;端口操作符及语法;实例分析;扩展ACL实例分析;实例1：分析;实例2：分析;;ACL放置的规则;控制列表小结;访问控制列表命令小结;基于时间的ACL;基于时间的访问列表 ;二、使用规则 用time-range 命令来指定时间范围的名称，然后用absolute命令或者一个或多个 periodic命令来具体定义时间范围。　　IOS命令格式为：　　time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm　　我们分别来介绍下每个命令和参数的详细情况　　time-range ： 用来定义时间范围的命令　　time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用　　absolute： 该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。可以看到，他们两个可以都省略。如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为???；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。 ; 如果要表示每天的早8点到晚8点就可以用这样的语句：　　absolute start 8:00 end 20:00　　2、再如，我们要使一个访问列表从2000年12月1日早5点开始起作用，直到2000年12月31日晚24点停止作用，语句如下：　　absolute start 5:00 1 December 2000 end 24:00 31 December 2000;定义时间范围;课程回顾;思考