课件：第章 交换机端口安全及认证.pptVIP

主要经营：课件设计，文档制作，网络软件设计、图文设计制作、发布广告等 秉着以优质的服务对待每一位客户，做到让客户满意！ 致力于数据挖掘，合同简历、论文写作、PPT设计、计划书、策划案、学习课件、各类模板等方方面面，打造全网一站式需求 * * * * * * * * * * * * * * * * * * 第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介 * 5.2 在三层交换机上配置访问控制列表ACL 5.2.1 ACL概述 5.2.2 ACL的类型 5.2.3 ACL配置 什么是访问列表 Access Control List：访问列表或访问控制列表，简称 ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤 ISP √ * 访问列表 访问控制列表的作用： 内网布署安全策略，保证内网安全权限的资源访问 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 * 访问列表的组成 定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 * 访问列表规则的应用 路由器（或交换机）应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 F1/0 F1/1 IN OUT * 访问列表的入栈应用 N Y 是否允许? Y 是否应用访问列表? N 查找路由表 进行选路转发 以ICMP信息通知源发送方 以ICMP信息通知源发送方 N Y 选择出口S0 路由表中是 否存在记录? N Y 查看访问列表的陈述 是否允许? Y 是否应用访问列表? N S0 S0 访问列表的出栈应用 * IP ACL执行如下基本准则，执行顺序如下图所示： 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝……” 一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ACL的工作原理 * Y Y 是否匹配测试条件1 ? 是否匹配测试条件2 ? 拒绝 是否匹配最后一个测试条件? Y Y N Y 允许 被系统隐含拒绝 N 允许 允许 拒绝 拒绝 N 允许 通过 一个访问列表多条过滤规则 * 5.2.2 ACL的类型 分类： 1、IP标准访问控制列表(Standard IP ACL) 2、IP扩展访问控制列表(Extended IP ACL) 动作： 允许(Permit) 拒绝(Deny) 应用方法： 入栈(Out) 出栈(In) * 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表 IP标准访问列表 目的地址 源地址 协议 端口号 IP扩展访问列表 TCP/UDP 数据 IP eg.HDLC 100-199 号列表 0表示检查相应的地址比特 1表示不检查相应的地址比特 0 0 1 1 1 1 1 1 128 64 32 16 8 4 2 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 反掩码（通配符） IP标准访问列表的配置 1.定义标准ACL 命名的标准访问列表 switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name