SwitchRouter第1课ACL.pptVIP

第3章 访问控制列表 教学目标 通过本章学习使学生能够： 掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。 常见的网络攻击： 攻击不可避免 额外的不安全因素 现有网络安全体制 什么是访问列表 IP Access-list：IP访问列表或访问控制列表，简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤 为什么要使用访问列表 访问列表 访问控制列表的作用： 内网布署安全策略，保证内网安全权限的资源访问 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 访问列表的组成 定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表规则的分类： 1、标准访问控制列表 2、扩展访问控制列表 标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 访问列表的入栈应用 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” 一个访问列表多条过滤规则 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 IP标准访问列表 IP扩展访问列表 反掩码（通配符掩码） 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP子网的对应 IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表Router(config)#access-list 1-99 {permit|deny} 源地址 [反掩码] 命名的标准访问列表 switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } 标准访问列表配置实例(二) 需求： 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 配置： ip access-list extended abc permit host deny 55 IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } IP扩展访问列表配置实例(一) 如何创建一条扩展ACL 用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 55 host eq www Router # show access-lists 103 IP扩展访问列表配置实例(二) 封杀QQ 通过路由器的ACL和封杀QQ上网,基本上默认的QQ设置是上了了，除了代理！ Conf t Ip access-list ext stop qq deny udp any any eq 8000 deny udp any any eq 8001 deny udp any any eq 4000 deny udp any any eq 4001 deny udp any host 45 deny udp any host 46 deny udp any host 51 deny udp any host 52 deny udp an