网络互联技术PPT_第5章_网络安全技术.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * ISP 1、什么是访问列表 ? ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。 √ FTP RG-S2126 RG-S3512G /RG-S4009 RG-NBR1000 Internet RG-S2126 不同部门所属VLAN不同 1 2 2 2 1 1 1 2 技术部 VLAN20 财务部 VLAN10 隔离病毒源 隔离外网病毒 2、为什么要使用访问列表 3、访问列表的组成 ? 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口／ＶＬＡＮ上 ? 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务 4、访问列表规则的应用 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out） 5、ACL的基本准则 ? 一切未被允许的就是禁止的 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 ? 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ? 从头到尾，至顶向下的匹配方式 ? 匹配成功马上停止 ? 立刻使用该规则的“允许、拒绝……” Y 拒绝 Y 是否匹配测试条件1 ? 允许 N 拒绝 允许 是否匹配测试条件2 ? 拒绝 是否匹配最后一个测试条件? Y Y N Y Y 允许 被系统隐含拒绝 N 6、一个访问列表多个测试条件 ? 标准访问列表 根据数据包源IP地址进行规则定义 ? 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 7、ACL分类 ? 标准访问列表 只根据源IP地址，进行数据包的过滤。 学生网段 校领导网段 教研网段 8、标准列表规则定义 1）定义标准ACL Router(config)# access-list 1-99 { permit |deny } 源地址 [反掩码] Switch(config)# Ip access-list 1-99 { permit |deny } 源地址 [反掩码] 反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。 55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。 表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。 2）应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } access-list 1 permit 55 access-list 1 deny 55 interface serial 0 ip access-group 1 out F0 S0 F1 Internet IP标准访问列表配置实例1 只允许网络中的计算机访问互联网络 IP标准访问列表配置实例2 阻止5主机通过E0访问网络，而允许其他的机器访问 Router（config） # access-list 1 deny host 5 Router（config） # access-list 1 permit any Router（config） # interface ethernet 0 Router（config-if） # ip access-group 1 in 实习项目：配置标准访问列表控制网络流量 【工作任务】 如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（）和行政办公网（）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离 【项目设备】路由器（2台）；网线（若干）；测试PC（2台）； 【实施过程】 ………… 9、扩展型访问控制列表 扩展型访问控制列表（Extended IP ACL ）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大的数据包检查功能。 扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址、源端口，目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配 。 学生网段 校领导网段 邮件server WEBserver IP扩展访问列表的配置 1、定义扩展的ACL Router(config)# access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址