- 1、本文档共34页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
出版社 经管分社 局域网组建与维护(3版) 项目六 企业网络安全 【学习目标】 1.掌握访问控制列表的原理; 2.理解两种访问控制列表的区别; 3.掌握防火墙的工作原理和基本用途。 【能力目标】 1.能根据访问控制要求规划访问控制规则; 2.熟练配置访问控制列表; 3.能准确地部署访问控制列表; 4.熟练配置防火墙; 5.能熟练使用防火墙部署安全规则。 * 任务一 用访问控制列表实施网络安全 一、任务要求 校园网的各个部分互联以后,任意两台计算机是可以互相通信的。然而,随着校园网用户规模的不断扩大,网络所面临的问题也日益增加,使用办公网络的用户发现网络越来越慢,而且经常遭受来自其他网络的扫描和攻击;用于办公的 FTP服务器也被用户上传一些垃圾文件;其他别有用心的用户也无孔不入,他们会利用系统漏洞非法窃取资料,或肆意破坏系统的正常服务……内网的安全性令人堪忧。 * 二、相关知识 (一)访问控制列表 1.访问控制列表为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。 2.ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为应被拒绝而被丢弃。 * (二)访问控制列表分类 1.标准 ACL标准 ACL根据源 IP地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。标准ACL的编号范围是(1耀99)以及(1300耀1999),定义编号标准ACL的基本语法是: * 2.扩展 ACL ①由于标准 ACL 不会指定目的地址,所以其位置应该尽可能靠近目的地。 ②将扩展 ACL 尽可能靠近要拒绝流量的源。这样,才能在不需要的流量流经网络之前将其过滤掉。 * * 三、任务实施 (一)实施环境 如图6.1所示,位于分校区的路由器连接了教工宿舍区和学生宿舍区。在网络连通之后,管理员需要限制学生宿舍访问主校区的办公网络,但又不能影响教工区域访问办公网络。 * * * (二)实施设备 Cisco2811路由器2台,V.35DCE 电缆一根,V.35DTE 电缆一根,交换机3台,计算机3台。 (三)操作步骤 1.物理连接按如图6.1所示的拓扑结构,连接所有设备。 2.网络连通性配置 ①按照表6.2所示的地址规划,设置好所有计算机的IP地址及默认网关。 ②参考在项目五中介绍的服务器配置技术,在 server上建立一个 WWW 服务器和一个FTP服务器,并测试其能正常运行。 * ③配置路由器的所有接口,包括IP地址及接口状态等,使得各接口都处于“up”状态。 ④按照项目4所介绍的方法,配置静态路由或任意一种动态路由,使得整个网络连通并测试。由于以上步骤在之前的项目中均有介绍,而本任务的重点是配置访问控制列表,对连通性的配置此处就省略了。 * 3.配置访问控制列表以限制学生宿舍访问主校区 ①为了限制学生宿舍区访问主校区,仅需要根据源 IP地址即可拒绝此类流量,因此可以通过部署标准访问控制列表实现。 * * * * 4.定义访问控制列表 为了实现WWW 服务对教工宿舍区和学生宿舍区开放,而FTP只对教工宿舍区开放,仅仅根据源 IP地址是无法区别这两种流量的,限制不同协议的流量必须通过定义扩展访问控制列表来实现。 * * * 任务二 防火墙配置 一、任务要求 学校的校园网内网部分已完成了组建工作,接下来就是接入Internet了。但是Internet是一个充满不安全因素的复杂环境,为了使校园网不受到来自Internet的入侵,同时还能使得内网用户安全访问Internet,现在要做的是在网络边界处安装一台防火墙。 二、相关知识 (一)防火墙概念及原理 防火墙是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络信息安全的基础设施。一般情况下,防火墙保护网络包括在阻止非授权用户访问敏感数据的同时允许合法用户无妨碍地访问网络资源。 * 防火墙具有如下特性:①所有进出网络的通信流都应该通过防火墙;②所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权;③防火墙自身具有较强的抗攻击能力。 (二)防火墙的构建 防火墙的构建,主要有如
您可能关注的文档
- 局域网组建与维护 (5).ppt
- 局域网组建与维护 (6).ppt
- 局域网组建与维护 (7).ppt
- 局域网组建与维护 (8).ppt
- 局域网组建与维护 (9).ppt
- 局域网组建与维护 (10).ppt
- 局域网组建与维护1-7章.ppt
- 局域网组建与维护8-9章.ppt
- 局域网组建与维护10-11章.ppt
- 局域网组建与维护12-14章.ppt
- 2024至2030年手车式环网柜项目投资价值分析报告.docx
- 2024至2030年中国GM—2呋喃树脂数据监测研究报告.docx
- 人教版(2019)高三英语高考第二轮复习之英语读后续写----The Taxi Ride I'll Never Forget.pptx
- 北师大版(2019)高中数学必修1第2章2.2 函数的表示法.pptx
- 统编版初中语文九年级下册《江城子 密州出猎》.pptx
- 2024年咸味改良剂项目可行性研究报告.docx
- 2024至2030年中国梨子行业投资前景及策略咨询研究报告.docx
- 2024至2030年中国锅炉热交换器数据监测研究报告.docx
- 2024至2030年中国开关柜绝缘阻燃护套行业投资前景及策略咨询研究报告.docx
- 2024至2030年中国膨化大米粉数据监测研究报告.docx
文档评论(0)