1、2022年12月22日星期四网络设备配置与管理1第22章 访问控制列表 主讲:张平安教授2022年12月22日星期四网络设备配置与管理2学习目标知识目标 掌握路由器的标准访问控制列表的基本原理 掌握路由器的扩展访问控制列表的基本原理技能目标 熟练掌握标准访问控制列表的配置方法与技巧 熟练掌握扩展访问控制列表的配置方法与技巧素养目标 培养初步的网络访问权限的设计能力 培养自觉的信息安全意识 每课一屏了解网络了解网络安全形势安全形势2022年12月22日星期四网络设备配置与管理3路由器安全功能2022年12月22日星期四网络设备配置与管理4路由器主要功能是发现达到目标网络的路径又是硬件防火墙配置访
2、问列表实现包过滤网络地址转换访问列表2022年12月22日星期四网络设备配置与管理5路由器配置访问列表可以控制网络流量,按规则过滤数据报文,提高网络的安全性。访问控制列表分类2022年12月22日星期四网络设备配置与管理6包过滤规则称为访问列表。对于IP,IPX或Apple Talk网络,其过滤规则有差异,IP网络的称为IP访问列表(Access List)标准IP访问列表 该种包过滤规则只对数据包中的源地址进行检查扩展IP访问列表 该种包过滤规则对数据包中的源地址、目的地址、协议(如TCP,UDP,ICMP,Telnet,FTP等)或者端口号进行检查认识协议与端口号2022年12月22日星期
3、四网络设备配置与管理7牢记ACL编号规则2022年12月22日星期四网络设备配置与管理8如何判断符合匹配规则2022年12月22日星期四网络设备配置与管理9标准和扩展的IP ACL都允许用户指定一个特定的IP地址或者一个IP地址范围。如果数据包的地址属于所配置的地址范围之内,那么数据包就符合匹配规则ACL的通配符掩码定义了数据包地址中的哪部分需要匹配ACL中已列出的地址,以及哪些部分不需要匹配。特殊匹配地址2022年12月22日星期四网络设备配置与管理10访问列表表项匹配规则2022年12月22日星期四网络设备配置与管理11思科两个重要的ACL设计建议如何排列ACL陈述的顺序 将比较精确的陈述
4、放在前面 比较概括的陈述放在后面在网络中的什么位置放置ACL有关 对于标准ACL,Cisco建议将ACL尽可能的靠近目的主机 对于扩展ACL,应尽可能地靠近源主机2022年12月22日星期四网络设备配置与管理12常用命令2022年12月22日星期四网络设备配置与管理13关于入站与出站2022年12月22日星期四网络设备配置与管理14入站表示流量从外源进入接口。对于入站ACL,在IOS将分组转发到其他接口之前,ISO将分组和接口的ACL进行比较。出站表示在流量出接口之前。对于出站ACL,在接口上接收分组,然后将分组转发到出站接口,此时,IOS才将分组和ACL进行比较。2022年12月22日星期四
5、网络设备配置与管理15标准访问控制列表学习情景2022年12月22日星期四网络设备配置与管理16扩展访问控制列表 学习情境2022年12月22日星期四网络设备配置与管理17任务与设计访问控制列表配置步骤确定访问控制列表号设计访问控制列表规则全局模式下配置访问控制列表接口模式下绑定访问控制列表2022年12月22日星期四网络设备配置与管理182022年12月22日星期四网络设备配置与管理19访问控制列表任务实施相关准备工作 配置交换机VLAN 配置路由器的IP 配置路由器的路由 配置ACL 验证拓展学习访问控制列表除了上述介绍的标准ACL和扩展ACL外,思科路由器产品还提供了命名ACL和基于时间的ACL,动态ACL和自反ACL。2022年12月22日星期四网络设备配置与管理202022年12月22日星期四网络设备配置与管理21思考题1.路由器防火墙功能的实现方式有哪些?2.仔细分析两个访问列表实例实现的工作原理。3.练习资源库中有关第2章基于ACL的端口绑定技术的应用案例。
