组网技术-第六章访问控制列表.pptVIP

访问控制列表 2009.5 提出问题 本章内容 路由器的防火墙功能 访问列表的概念及分类 标准访问控制列表 扩展访问控制列表 命名访问控制列表 基于时间的访问控制列表 防火墙的概念 防火墙根据网络安全等级和可信任关系，将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。 防火墙的分类 根据物理位置划分为外部防火墙和内部防火墙。 外部防火墙：位于Intranet与Internet之问或Intranet与Intranet之间。 内部防火墙：位于Intranet内部各个子网之间。 根据产品形态划分为硬件防火墙和软件防火墙。 硬件防火墙:是指防火墙软件固化在存储器芯片中 软件防火墙：是指防火墙软件安装在通用计算机上使用的。 根据功能划分为网络层防火墙和应用层防火墙。 路由器的防火墙功能 路由器的主要功能是路由选择，也可用做防火墙，算是一种功能较为简单的硬件防火墙。 具体功能如下： 1、包过滤 2、网络地址转换NAT 3、其他安全防护功能 AAA服务，验证(Authentication)、授权(Authot- ization)和记账(Accounting)。 访问列表的概念 路由器的包过滤是通过配置访问列表来实现的。 访问控制列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两项内容。把访问列表应用到路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过这个接口。 通过还是拒绝，主要通过数据包的源地址、目的地址、源端口、目的端口、协议等信息来决定。 ACL作用 1．限制网络流量、提高网络性能。 2．提供对通信流量的控制手段。 3．提供网络访问的基本安全手段。 4．在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 ACL条件顺序 访问列表的分类： 基本分类 （1）标准IP访问列表(Standard Access List)： 只对数据包中的源地址进行检查，编号范围（1—99）。 （2）扩展IP访问列表(Extended Access List)： 对数据包中的源地址、目的地址、协议(如TCP， UDP，ICMP，Telnet，FTP等)、或者端口号进行检查，编号范围（100-199） 访问列表的分类： 新增分类 (3)基于时间的访问列表： 根据不同的日期或一天中不同的时间段，对数据包进行过滤。 (4)命名访问列表(Named Access Lists) 允许你使用命名的方法来创建和应用访问列表. 用扩展ACL检查数据包 访问列表配置 配置步骤： 第一步：定义访问控制列表 第二步：把访问控制列表应用到某一接口上 第三步：查看访问控制列表 show access-lists show ip interface 标准IP访问列表配置 定义标准IP访问列表： 命令：Router(config)#access-list {1-99} {permit|deny} （any|host） source-addr [source-wildcard] 通配符掩码（Wildcard Mask ） 1.是一个32比特位的数字字符串 2.0表示“检查相应的位”,1表示“不检查（忽略）相应的位 通配符掩码 举例 55 结果，能匹配的IP有－55（256个IP地址） 标准访问控制列表举例 例1：Router(config)#access-list 10 permit 55 定义10号标准访问列表，允许来自 这个网络的主机的数据包通过。 例2：Router(config)#access-list 20 deny 41 或 Router(config)#access-list 20 deny host 41 定义20号标准访问列表，拒绝来自41 这台主机的数据包通过。 小试牛刀 例1：定义10号标准访问列表，拒绝来自/24 这个网络的数据包通过。 例2：定义11号标准访问列表，允许来自/24 这个网络的数据包通过。 例3：定义12号标准访问列表，拒绝来自54这台主机的数据包通过。 例4：定义10号标准访问列表，拒绝所有数据包通过。 标准访问控制列表——设置规则 可以用多行命令设置同一编号访问列表 例：拒绝/24 这个网络的通信，但