路由器安全管理课程(PPT 38页).ppt

* Rb#conf t Rb(config)#access-list 101 permit tcp 55 host 1 eq telent(23) Rb(config)#access-list 101 permit tcp 55 host 1 eq www(80) Rb(config)# access-list 101 permit icmp 55 any Rb(config)# access-list 101 deny ip any any Rb(config)#interface serial 0 Rb(config-if)#ip access-group 101 out * 需要注意的问题 在访问控制列表中除了可以用eq关键字指出单一的端口号外，也可以规定端口号范围。 例如：gt 1024表示端口号大于1024；用lt 1024表示端口号小于1024；range 100 200则表示端口号介于100和200之间。 在每个访问控制列表的底端都可以有一个默认的DENY ANY。所以，建议在每个访问控制列表的最后一条语句明确地指出对其余通信量的出来方式。 * 4.2 访问控制——ACL 4.2.4 命名访问控制列表 1．标准命名访问控制列表 ip access-list standard aclname ip access-group aclname [in|out] 2．扩展命名访问控制列表 ip access-list extended aclname ip access-group aclname [in|out] 3．命名访问控制列表的修改 第7章路由器安全管理 * 4.1 Telnet会话管理 4.1.1 呼出Telnet会话管理 图4-1 远程登录 * 使用主机名直接远程登录 * 当登陆到目标主机后，可使用以下命令断开当前Telnet回话： exit，回到本地设备； 不退出当前回话连接而暂时回到原设备：Ctrl+Shift+6+x； * 显示呼出Telnet会话 * 断开呼出Telnet会话 此断开回话是从本地断开到目标本机的telnet回话。 disconnect命令 * 同时发起多个Telnet会话 * 返回某次Telnet会话过程 * 断开指定Telnet连接 * 4.1 Telnet会话管理 4.1.2 呼入Telnet会话管理 * 采用相对线号断开远程Telnet连接 * 用绝对线号断开远程Telnet连接 * 4.2 访问控制列表——ACL 4.2.1 访问控制列表概述 1．访问控制列表 访问控制列表是控制流入、流出路由器数据包的一种方法。它通过在数据流入或流出路由器时进行检查、过滤达到流量管理的目的，而且在很大程度上起到保护网络设备和服务器的关键作用。 是一个有序的语句集合，它通过匹配报文信息与访问列表参数来允许报文或拒接报文通过某个接口。 * 2．配置访问控制列表步骤： Step1：定义允许或禁止报文的描述语句（访问列表）； Step2：将访问列表应用到路由器的具体接口（应用访问组）。 * 表4-1 通过编号指定的访问列表所支持的协议 标准IP协议：1300～1999（IOS v12.0 and later） 扩展IP协议：2000～2699（IOS v12.0 and later） * IP访问控制列表： 标准IP访问控制列表：仅依据IP数据包的源地址决定是否过滤数据包； 扩展IP访问控制列表：不但可以检查源地址、目标地址，而且可以检查源和目标的端口号等字段。 * 4.2 访问控制——ACL 4.2.2 标准ACL配置方法 1．标准IP访问控制列表语句 ACCESS-LIST access-list-number {DENY|PERMIT|REMARK} {SOURCE [source-wildcard]|ANY} access-list-number 列表号码，范围1~99之间 DENY|PERMIT 指出该访问控制列表是允许还是拒绝数据包 SOURCE [source-wildcard]|ANY 主机或网络的源地址，或者是任何主机 注意：要匹配某个主机则需要输入该主机的IP地址；若要匹配某个网络，则需要输入网络号，后面跟上通配符掩码。通配符掩码为“1”，表示IP地址的对应位可以是1也可以是0，若通配符掩码为“0”，则表示IP地址对应位必须被精确匹配。 例如： 55 表示前三位域必须是210.31.10，最后一个位域什么值都可以（1~255） * 2．IP访问控制组语句（首先进入路由器的某个接口） IP