局域网组建与维护（3版）项目六企业网络安全.ppt

二、相关知识 （一）访问控制列表 1.访问控制列表为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。 2.ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为应被拒绝而被丢弃。 （二）访问控制列表分类 1.标准 ACL标准 ACL根据源 IP地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。标准ACL的编号范围是（1耀99）以及（1300耀1999），定义编号标准ACL的基本语法是： 2.扩展 ACL ①由于标准 ACL 不会指定目的地址，所以其位置应该尽可能靠近目的地。 ②将扩展 ACL 尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉。 三、任务实施 （一）实施环境 如图6.1所示，位于分校区的路由器连接了教工宿舍区和学生宿舍区。在网络连通之后，管理员需要限制学生宿舍访问主校区的办公网络，但又不能影响教工区域访问办公网络。 （二）实施设备 Cisco2811路由器2台，V.35DCE 电缆一根，V.35DTE 电缆一根，交换机3台，计算机3台。 （三）操作步骤 1.物理连接按如图6.1所示的拓扑结构，连接所有设备。 2.网络连通性配置 ①按照表6.2所示的地址规划，设置好所有计算机的IP地址及默认网关。 ②参考在项目五中介绍的服务器配置技术，在 server上建立一个 WWW 服务器和一个FTP服务器，并测试其能正常运行。 ③配置路由器的所有接口，包括IP地址及接口状态等，使得各接口都处于“up”状态。 ④按照项目4所介绍的方法，配置静态路由或任意一种动态路由，使得整个网络连通并测试。由于以上步骤在之前的项目中均有介绍，而本任务的重点是配置访问控制列表，对连通性的配置此处就省略了。 3.配置访问控制列表以限制学生宿舍访问主校区 ①为了限制学生宿舍区访问主校区，仅需要根据源 IP地址即可拒绝此类流量，因此可以通过部署标准访问控制列表实现。 4.定义访问控制列表 为了实现WWW 服务对教工宿舍区和学生宿舍区开放，而FTP只对教工宿舍区开放，仅仅根据源 IP地址是无法区别这两种流量的，限制不同协议的流量必须通过定义扩展访问控制列表来实现。 任务二 防火墙配置 一、任务要求 学校的校园网内网部分已完成了组建工作，接下来就是接入Internet了。但是Internet是一个充满不安全因素的复杂环境，为了使校园网不受到来自Internet的入侵，同时还能使得内网用户安全访问Internet，现在要做的是在网络边界处安装一台防火墙。 二、相关知识 （一）防火墙概念及原理 防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络信息安全的基础设施。一般情况下，防火墙保护网络包括在阻止非授权用户访问敏感数据的同时允许合法用户无妨碍地访问网络资源。 防火墙具有如下特性：①所有进出网络的通信流都应该通过防火墙；②所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权；③防火墙自身具有较强的抗攻击能力。 （二）防火墙的构建 防火墙的构建，主要有如图 6.1、图 6.2、图 6.3所示的几种类型。 （三）防火墙的分类 防火墙可根据技术防范的方式和侧重点的不同而分为多种类型，但总体来讲可分为包过滤、应用级网关和代理服务等几大类型。 1.数据包过滤型防火墙数据包过滤（PacketFiltering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（AccessControlTable）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 2.应用级网关型防火墙应用级网关（ApplicationLevelGateways）在网络应用层上建立协议过滤和转发功能，它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 3.代理服务型防火墙 代理服务（ProxyService）也称链路级网关或 TCP通道（CircuitLevelGatewaysorTCPTunnels）