校园网安全控制.pptVIP

准备知识（四） 标准和扩展ACL ACL的种类 ACL种类： 标准ACL：只能过滤IP数据包头中的源IP地址 扩展ACL：可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等 时间ACL：可以根据时间段进行扩展ACL过滤 专家ACL：可以过滤源IP、源MAC、源端口、目标IP、目标MAC、目标端口、时间等 标准ACL 标准ACL只能过滤IP数据包头中的源IP地址 标准ACL通常配置在路由器上实现以下功能：? 限制通过VTY线路对路由器的访问（telnet、SSH） 限制通过HTTP或HTTPS对路由器的访问 过滤路由更新 标准ACL 通过两种方式创建标准ACL：编号或名称 使用编号创建 创建ACL (config)#access-list listnumber { permit | deny } address [ wildcard–mask ] 在接口上应用 (config-if)#ip access-group {id|name} {in|out} In：当数据流入路由器接口时 Out：当数据流出路由器接口时 使用命名创建 定义ACL名称 (config)#ip access-list standard name 定义规则 (config-std-nacl)#deny|permit [ source wildcard any ] 在接口上应用 扩展访问控制列表 扩展的IP访问表用于扩展报文过滤的能力。 扩展访问列表允许过滤内容： 源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。 扩展访问控制列表 通过两种方式创建扩展ACL：编号或名称 使用编号创建 创建ACL (config)#access-list listnumber { permit | deny } protocol source source- wildcard–mask destination destination-wildcard–mask [operator operand] 在接口上应用 (config-if)#ip access-group {id|name} {in|out} 使用命名创建 定义ACL名称 (config)#ip access-list extended name 定义规则 (config-ext-nacl)#{deny|permit} protocol {source source-wildcard |host source| any}[operator port] 在接口上应用 配置标准ACL示例 配置扩展ACL示例 验证ACL配置 显示所有协议的所有ACL 查看接口应用的ACL情况 Router# show access-lists Router# show ip access-group 六、项目实施 （一）项目实施流程 项目开始 了解项目情境 理解项目需求分析 学习并掌握新技术 项目实施设备选型 网络设备连接 网络设备配置调试 项目测试 项目验收 项目总结 项目报告 项目结束 理论复习 分析问题 记录问题 收集问题 解决方案 测试失败 测试成功 项目实施流程图 项目实施详见实验 七、项目总结 项目总结 园区网的安全隐患有很多种，有人为的，也有非人为的，也有来自园区网外部和内部人员的恶意攻击和破坏 可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案 访问控制列表包括标准的访问控制列表和扩展的访问控制列表 谢 谢！ * * 　　 * * * * * * * * 子情境二 校园网园区安全控制 学习情境三：广域网的接入与安全控制 项目准备：分组 学习情境 用户需求 需求分析 培养目标 知识准备 项目实施 项目测试及验收 实施流程 一、学习情境描述 学习情境描述 校园网规模不断的扩大，网络安全问题也浮出了水面。在网络安全中盛行着“28规则”的说法，20%的攻击来自于外网，80%的攻击来自内网。私自接入网络、ip地址冲突、内网恶意攻击、网络病毒盛行等等，让人头疼的问题让小王叫苦不适。学院要求对网络进行严格控制。小王准备从交换机端口和ACL下手，整治网络。 学院网络设计图 百兆光纤线 百兆双绞线 核心交换机 学院办公大楼 计算机技术系 经贸系 ...... 机械系 其他系 三层交换机 二、用户需求 用户需求 需求2 需求3 安全 畅通 需求4 需求5 需求1 三、需求分析 需求分析 为了防止校园网络受到攻击，我们不得不在核心交换机前端安装防火墙，在校园网内的各个终端上强行安装杀毒软件，除此之外，我们还应该从交换机的端口和ACL入手，通过合理的配置来