网络互联技术PPT第章网络安全技术.ppt

攻击工具更多更危险，更容易使用，工具者需要具有的知识则更少 第三十一页，共五十七页。 arp绑定 运行-cmd telnet 51 输入用户名uuuuuu 输入密码 mmmmmm show ip arp 显示ARP状况 en 进入编辑 config t 进入配置编辑状态 show mac- 显示mac号后处的交换口 arp ip地址 mac地址 arpa gi 0/4 绑定某IP的mac地址于交换机4口上 end 结束编辑 wr 写入配置文件中 exit 退出 no arp ip解开绑定 第三十二页，共五十七页。 保护园区网络安全 组件四：访问控制列表技术 第三十三页，共五十七页。 ISP 1、什么是访问列表 ? ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。 √ FTP 第三十四页，共五十七页。 RG-S2126 RG-S3512G /RG-S4009 RG-NBR1000 Internet RG-S2126 不同部门所属VLAN不同 1 2 2 2 1 1 1 2 技术部 VLAN20 财务部 VLAN10 隔离病毒源 隔离外网病毒 2、为什么要使用访问列表 第三十五页，共五十七页。 3、访问列表的组成 ? 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口／ＶＬＡＮ上 ? 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务 第三十六页，共五十七页。 4、访问列表规则的应用 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out） 第三十七页，共五十七页。 5、ACL的基本准则 ? 一切未被允许的就是禁止的 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 ? 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 ? 从头到尾，至顶向下的匹配方式 ? 匹配成功马上停止 ? 立刻使用该规则的“允许、拒绝……” 第三十八页，共五十七页。 Y 拒绝 Y 是否匹配测试条件1 ? 允许 N 拒绝 允许 是否匹配测试条件2 ? 拒绝 是否匹配最后一个测试条件? Y Y N Y Y 允许 被系统隐含拒绝 N 6、一个访问列表多个测试条件 第三十九页，共五十七页。 ? 标准访问列表 根据数据包源IP地址进行规则定义 ? 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 7、ACL分类 第四十页，共五十七页。 ? 标准访问列表 只根据源IP地址，进行数据包的过滤。 学生网段 校领导网段 教研网段 8、标准列表规则定义 第四十一页，共五十七页。 1）定义标准ACL Router(config)# access-list 1-99 { permit |deny } 源地址 [反掩码] Switch(config)# Ip access-list 1-99 { permit |deny } 源地址 [反掩码] 反掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。 55表示所有IP地址，全为1说明所有32位都不检查，可以用any来取代。 表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。 2）应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } 第四十二页，共五十七页。 access-list 1 permit 55 access-list 1 deny 55 interface serial 0 ip access-group 1 out F0 S0 F1 Internet IP标准访问列表配置实例1 只允许网络中的计算机访问互联网络 第四十三页，共五十七页。 IP标准访问列表配置实例2 阻止5主机通过E0访问网络，而允许其他的机器访问 Router（config） # access-list 1 deny host 5 Router（config） # access-list 1 permit any Router（config） # interface ethernet 0 Router（config-if） # ip access-group 1 in 第四十四页，共五十七页。 实习项目：配置标准访问列表控制网络流量 【工作任务】 如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（）