任务7.4 实施办公网络安全访问控制.pptx

项目7保护网络设备安全;;某电子商务公司为了实施内网安全防范措施。使用一台三层设备连接不同子网络：实现办公网互联互通，把办公网接入Internet网络。由于没有实施部门安全策略，出现非业务部门，登录到销售部网络，查看销售部销售数据。

网管员小明从公司内部网络管理的安全考虑，禁止非业务（后勤）部门访问销售部网络，其它业务部门，如财务部门则允许访问。;禁止一个网络访问另外一个网络，可以在三层设备实施访问控制列表ACL技术。ACL是包过滤技术，能对网络中通过数据包过滤。

ACL技术分标准ACL和扩展ACL；还可按照标识不同，分基于编号ACL和基于命名ACL类型。;7.4.1了解访问控制列表

1.什么是访问控制列表

访问控制列表（ACL）是一种包过滤技术。网络管理人员通过对网络互连设备进行配置，可以对网络中传输的数据包进行过滤，从而实现对网络资源的访问控制。配置在网络互连设备中的访问控制列表（ACL）实际上是一张规则检查表，该表中包含了很多简单的指令规则，告诉交换机或者路由器，哪些数据包可以接收，哪些数据包需要被拒绝。

;通过在网络互连设备中灵活地增加访问控制列表，可以作为一种网络控制的有力工具，过滤流入和流出的数据包，确保网络的安全。因此ACL技术也称为软件防火墙。;2.分访问控制列表类型

访问控制列表通常分为两类：标准访问控制列表（StandardACL）和扩展访问控制列表（ExtendedACL），二者在规则中使用不同的编号加以区别。标准访问控制列表的取值范围为1~99；扩展访问控制列表的取值范围为100~199。;标准ACL只匹配、检查数据包中携带的源地址信息；

扩展编号ACL不仅仅匹配数据包中源地址信息，还检查数据包的目的地址，以及数据包的特定协议类型、端口号等。

扩展访问控制列表规则大大扩展了对三层数据流的检查细节，为网络的安全访问提供了更多访问控制功能。;3.标准访问控制列表

如图某公司网络安全需求，/24网主机不可访问IP地址为服务器，其他主机不受限制。，需要在中心路由器配置标准型访问控制列表，实施网络安全。;7.4.2配置标准访问控制列表

配置标准访问控制列表规则，???用以下语法格式。;7.4.2配置标准访问控制列表

source-wildcard为需检测的源IP地址的反向子网掩码，是源IP地址通配符比较位，也称反掩码，限定匹配网络范围。

在本例中，只需要过滤源IP地址属于网段数据，因此源IP前3个字段为需要检查字段，所以在本例中IPACL规则可以写为：;7.4.2配置标准访问控制列表

在ACL中，默认规则是拒绝所有。也就是说，在上述访问控制列表规则中还有一条隐含规则：access-list1denyany。

ACL的检查原则是从上至下，逐条匹配，一旦匹配成功就执行动作，跳出列表。

如果访问控制列表中的所有规则都不匹配，就执行默认规则，拒绝所有。

如本例中的访问控制列表规则会拒绝所有的数量流量，所以编写访问控制列表规则的时候，一定需要注意最后的默认规则拒绝所有。;7.4.2配置标准访问控制列表

?如拒绝该网络中IP地址为0主机访问FTP服务器，可以使用下列语句：;7.4.2配置标准访问控制列表

对单台主机访问操作，使用host关键字简化操作。

host表示一种精确的匹配，屏蔽码为。如以上配置操作采用关键字host来表示，则可以书写为：access-list10denyhost0。

关键字“any”也可以作为网络中所有主机的源地址的缩写，代表通配符掩码55的涵义。

any是55的简写，表示网络中的所有主机。如55则指整个网络。;7.4.3应用标准访问控制列表

在网络设备上配置好访问控制列表规则，配置访问控制列表需要三个步骤：

(1)定义好访问控制列表规则。

(2)指定访问控制列表所应用的接口。

(3)定义访问控制列表作用于接口上的方向。;7.4.3应用标准访问控制列表

访问控制列表应用方向是接入（In）检查和流出（Out）检查。

In和Out参数可以控制接口不同方向数据包。相对于某一端口而言，当要对从设备外的数据经端口流入设备时做访问控制，就是入栈（In）应用；

当要对从设备内的数据经端口流出设备时做访问控制，就是出栈（Out）应用。如果不配置该参数，缺省为out。

;1.构建网络工作环境

如图所示网络拓扑，为某公司办公网连接工作场景。按照拓扑组建和连接网络，如表所示连接，注意接口连接标识，保证和后续配置保持一致。;

如图所示为某公司办公网连接工作场景。按照拓扑组建和连接网络，注意接口连接标识，保证和后续配置保持一致。;

第二步：配置交换机设备Vlan信息;2.配置交换机VLAN;3.配置交换机虚拟接口地址;;4.测