网络安全与管理项目教程（微课版）课件 1-3使用高级ACL实现安全访问.pptx

《网络安全设备配置》授课教师：申巧俐QQ电话课程导入基本ACL的规划配置扩展ACL的规划配置基本NAT的规划配置AAA的规划配置PPP的规划配置链路聚合及其应用VRRP及其应用DHCP技术及应用NAPT的规划配置防火墙、IDS的规划配置教学内容出口网关的规划配置岗位工作任务需要的技术能力链路聚合及VRRP的规划部署实施能力、职业能力管理与维护网络设备安全课程导入DHCP的规划部署实施能力根据安全需求进行认证规划配置的能力根据需求进行地址转换的规划配置能力根据安全需求进行访问控制的能力其他网络安全设备的规划部署实施能力

学习目标理解访问控制列表（ACL）的基本原理和基本作用掌握访问控制列表（ACL）的分类及其配置

1访问控制列表1.1需求导入1.2ACL基本原理1.3基本ACL和扩展ACL1.4ACL典型应用2项目小结

1.1项目需求导入-1

1.1项目需求导入-2作为公司网络管理员，当公司领导提出下列要求时你该怎么办？为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。

1.2ACL基本原理ACL基本概念访问控制列表ACL（AccessControlList）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。

一个ACL通常由若干条“deny｜permit”语句组成，每条语句就是该ACL的一条规则，每条语句中的“deny｜permit”就是与这条规则相对应的处理动作：“permit”的含义是“允许”“deny”的含义是“拒绝”1.2ACL基本原理

1.2ACL基本原理访问控制列表（ACL）读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则9

1.2ACL基本原理ACL规则ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。ACL规则管理基本思想如下：每个ACL作为一个规则组，一般可以包含多个规则ACL中的每一条规则通过规则ID（rule-id）来标识，规则ID可以自行设置，也可以由系统根据步长自动生成，即设备会在创建ACL的过程中自动为每一条规则分配一个ID默认情况下，ACL中的所有规则均按照规则ID从小到大的顺序与规则进行匹配规则ID之间会留下一定的间隔。如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定

1.2ACL基本原理ACL规则匹配（1）配置了ACL的设备在接收到一个报文之后，会将该报文与ACL中的规则逐条进行匹配；（2）如果不能匹配上当前这条规则，则会继续尝试去匹配下一条规则；（3）一旦报文匹配上了某条规则，则会对该报文执行这条规则中定义的处理动作（permit或deny），并且不再继续尝试与后续规则进行匹配；（4）如果报文不能匹配上ACL的任何一条规则，则设备会对该报文执行“permit”这个处理动作。允许允许允许允许到达访问控制组接口的数据包匹配第一条目的接口隐含的允许转发YYYYYYNNN匹配下一条拒绝拒绝拒绝匹配下一条丢弃

1.2ACL基本原理ACL分类根据ACL所具备的特性不同，可将ACL分成不同类型，如：基本ACL、高级ACL、二层ACL、用户自定义ACL，其中应用最广泛的是基本ACL和高级ACL。各种类型ACL区别，如表所示。ACL类型编号范围规则制订的主要依据基本ACL2000～2999报文源IP地址等信息。高级ACL3000～3999报文源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息。二层ACL4000～4999报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息用户自定义ACL5000～5999用户自定义报文的偏移位置和偏移量、从报文中提取出相关内容等信息

ACL是一种应用非常广泛的网络安全技术，配置ACL网络设备的工作过程可分为以下两个步骤：根据事先设定好的报文匹配规则对经过该设备的报文进行匹配对匹配的报文执行事先设定好的处理动作1.2ACL基本原理

1.3基本ACL和扩展ACL基本ACL命令格式基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。配置基本ACL规则命令具有如下结构：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment