[理学]第4章路由器安全管理.ppt

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，同时也是保护内网安全的重要手段。 2．配置访问控制列表 访问控制列表是一个有序的语句集合，它通过匹配报文信息与访问列表参数，来允许报文或拒绝报文通过某个接口。因此，访问控制列表也被称为包过滤器。 配置访问控制访问列表需要两个步骤: 1.定义允许或禁止报文的描述语句（访问列表）； 2.将访问列表应用到路由器的具体的接口（应用访问组），这样，当数据包出入相应的接口时，路由器将检查数据包的类型并按照预先定义的控制访问列表对数据包进行处理：放行或丢弃。 不同类型的访问控制列表。访问控制列表按照号码的范围划分为不同的类型，分别用于不同的协议和选项 下图列出了使用控制列表的协议以及协议有效地访问控制列表号码范围。 路由器使用的通配符掩码(或者称作反掩码)与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。它像子网掩码告诉路由器IP地址的 哪一位属于网络号一样，通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位。 在子网掩码中，将掩码的一位设成1表示IP地址对应的位属于网络地址部分。相反，在访问列表中将通配符 掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。有时，可将其称作“无关”位，因为路由器在判断是否匹配时并不关心它们。掩码位设成0则表示IP地址中相对应的位 必须精确匹配。 反转掩码，顾名思义，是将原子网的掩码0变成1，1变成0。原子网掩码为，反转掩码就是55 ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代表必须精确匹配,1代表任意匹配(即不关心) 反掩码可以通过使用55减去正常的子网掩码得到 子网掩码为的IP地址的反掩码: 55-=55 即的反掩码为55 48 反掩掩码就是?? IP地址与通配符掩码的作用规则 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 在路由器的全局配置模式下输入访问控制列表命令：acces-list 1 permit host 0，允许IP地址为0的主机。 在路由器的全局配置模式下输入访问控制列表命令：access-list 1 deny any,禁止所有其他主机。 在路由器的全局配置模式下输入命令：interface ethernet 0，进入接口配置模式。 在路由器的和接口配置模式下输入访问控制命令：ip access-group 1 in，设置在接口 ethernet0 的入站方向按1号访问控制列表对数据包进行过滤。 在路由器的全局配置模式下输入访问控制列表命令:access-list 1 permit 55，允许在/24网段的主机访问。 在路由器的全局配置模式下输入访问控制列表命令：access-list 1 deny any，禁止所有其他网段的主机。 在路由器的全局配置模式下输入命令：interface serial 0，进入接口配置模式下。 在路由器的接口配置模式下输入访问控制组命令： ip access-group 1 out，设置在接口 serial 0的出站方向按1号访问控制列表对数据包进行过滤。 access-list-number：编号范围为100～199。 permit：通过；deny：禁止通过 protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。 source-address ：源IP地址 source-wildcard：源通配符掩码 2．IP访问控制组语句 IP ACCESS-GROUP access-list-number {IN|OUT} access-list-number是在前一步中定义的IP访问控制列表，关键IN/OUT表示对入站还是出站的数据包进行检查。 access-list 101 permit tcp 55 host 1 eq Telnet //允许源自 /24网段的、以TCP协议方式访问服务器1上运行的Telnet服务的数据包。 access-list 101 permit tcp 55 host 1 eq WWW //允许源自 /24网段的、以TCP协议方式访问服务器1上运行的WWW服务的数据包。 access-list 101 permit icmp 55 any // 允许源自/16网段的任何协议类型为ICMP的数据包 access-list 101 deny ip any any /