局域网组建22-保护局域网终端设备安全（3）.ppt

----- 人民邮电出版社 ----- ----- 人民邮电出版社 ----- * 项目八 保护局域网终端安全 《局域网组建》 项目背景 浙江嘉兴技师学院兼并附近的一所职业中专学校，二所学校虽然合并，实现了两所学校的互联互通。 但合并后的校园网，经常出现了断网现象，经过网络监测发现，合并后学校的初期由于缺乏统一管理，造成了校园网病毒控制减弱，校园网中经常出现ARP病毒攻击，以及其他等病毒攻击和感染现象发生。 因此需要在合并后的校园网统一安全规划，保护校园网终端设备安全。 ? 任务一：防范ARP攻击安全 任务二：防范终端设备的病毒安全 任务三：使用ACL技术，保护区域网络安全 项目组成 项目分解 任务三：使用ACL技术，保护区域网络安全 任务3描述 浙江嘉兴技师学院兼并附近的一所职业中专学校，二所学校虽然合并后，由于缺乏管理，造成了二所学校安全控制出现了严重的问题。 为了防范校园网安全，需要在网络中心配置和管理网络互联设备，保护部门之间网络安全。 任务3分析 访问控制列表ACL技术也称软件防火墙，通过对收到的数据包的过滤，实现对网络中的资源访问的安全控制。 通过在网络设备中配置访问控制列表规则，过滤流入和流出数据包，确保网络安全。 知识准备 8.3.1 什么是访问控制列表技术 访问控制列表ACL技术是Access Control List的简写，简单的说法便是数据包过滤。网络管理人员通过对网络互联设备的配置管理，来实施对网络中通过的数据包的过滤，从而实现对网络中的资源进行访问输入和输出的访问控制。 配置在网络互联设备中的访问控制列表ACL实际上是一张规则检查表，这些表中包含了很多简单的指令规则，告诉交换机或者路由器设备，哪些数据包是可以接收，哪些数据包是需要拒绝。 知识准备 8.3.1 什么是访问控制列表技术 知识准备 8.3.2 访问控制列表技术类型 根据访问控制标准不同，ACL分多种类型，实现不同网络安全访问控制权限。 常见ACL有两类：标准访问控制列表（Standard IP ACL）和扩展访问控制列表（Extended IP ACL），在规则中使用不同的编号区别，其中标准访问控制列表的编号取值范围为1~99；扩展访问控制列表的编号取值范围为100~199。 知识准备 8.3.3 标准的访问控制列表技术介绍 标准访问控制列表（Standard IP ACL）检查数据包的源地址信息，数据包在通过网络设备时，设备解析IP数据包中的源地址信息，对匹配成功的数据包采取拒绝或允许操作。 在编制标准的访问控制列表规则时，使用编号1到99值来区别同一设备上配置的不同标准访问控制列表条数。 需要在设备上配置标准访问控制列表规则，使用以下的语法的格式： Access-list listnumber {permit | deny} source--address [ wildcard–mask ] 知识准备 8.3.3 标准的访问控制列表技术介绍 某企业有一分公司，其内部规划使用的IP地址为B类的172.16.0.0。通过总公司来控制所有分公司网络，每个分公司通过总部的路由器访问Internet。现在公司规定只允许来自172.16.0.0网络的主机访问Internet。要实现这点，需要在总部的接入路由器上配置标准型访问控制列表，语句规则如下： Router # configure terminal Router（config）# access-list 1 permit 172.16.0.0 0.0.255.255 ! 允许所有来自172.16.0.0网络中数据包通过，可以访问Internet Router（config）# access-list 1 deny 0.0.0.0 255.255.255.255 ! 其它所有网络的数据包都将丢弃，禁止访问Internet 知识准备 8.3.3 标准的访问控制列表技术介绍 如将编制好的访问控制列表规则1应用于路由器的串口0上，使用如下命令： Router configure terminal Router (config) # interface serial 0 Router (config-if) # ip access-group 1 in 【网络拓扑】 如图所示的网络拓扑，是嘉兴技师学院校园网络内部为了防止病毒在校园网内部传播，需要在学校的汇聚层设备上，实施标准访问控制列表安全技术，禁止学生宿舍网络访问教师办公网络场景。 【设备清单】：路由器（1台）、 计算机（=3台）、 双绞线（若干根） 。 【工作过程】 （省略） 任务3实施：使用ACL技术，保护区域网络安全 【