《交换与路由技术》课件第7讲-访问控制列表的应用.ppt

上传人(卖家):momomo 文档编号:7672948 上传时间:2024-06-29 格式:PPT 页数:21 大小:1.08MB
下载 相关 举报
《交换与路由技术》课件第7讲-访问控制列表的应用.ppt_第1页
第1页 / 共21页
《交换与路由技术》课件第7讲-访问控制列表的应用.ppt_第2页
第2页 / 共21页
《交换与路由技术》课件第7讲-访问控制列表的应用.ppt_第3页
第3页 / 共21页
《交换与路由技术》课件第7讲-访问控制列表的应用.ppt_第4页
第4页 / 共21页
《交换与路由技术》课件第7讲-访问控制列表的应用.ppt_第5页
第5页 / 共21页
点击查看更多>>
资源描述

1、成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院2024-6-291成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院内容要求内容要求访问控制列表的作用访问控制列表的作用访问控制列表的种类访问控制列表的种类访问控制列表的建立访问控制列表的建立重点重点访问控制列表的种类访问控制列表的种类访问控制列表的建立访问控制列表的建立难点难点访问控制列表的建立访问控制列表的建立2024-6-292成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院在路由器接口处,决定哪种类型的通信流量被转在路由器接口处,决定哪种类型的通信流量被转发,哪种类型的通信流量被阻塞。例如可

2、以允许发,哪种类型的通信流量被阻塞。例如可以允许e-mail通信流量被路由,同时拒绝所有的通信流量被路由,同时拒绝所有的telnet通通信流量。信流量。提供网络访问的基本安全手段。例如可以允许某提供网络访问的基本安全手段。例如可以允许某一主机访问你的网络,而阻止另一主机访问同样一主机访问你的网络,而阻止另一主机访问同样的网络。的网络。2024-6-293成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院2024-6-294成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院 在ACL中各描述语句的放置顺序很重要。当路由器决定某一数据包是被转发还是被阻塞时,路由器OS按

3、照各描述语句的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到某一匹配条件,就结束比较过程一旦找到某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。如果你创建了一个允许所有通信流量通过的条件判断语句,那么后面的所有条件判断语句形同虚设,是不会被检查。如果需要另外的条件判断语句,则必须删除该ACL,然后重新建立一个新的带有一系列条件判断语句的ACL。2024-6-295成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院标准访问控制列表标准访问控制列表只限制只限制IP数据包中的数据包中的源地址源地址.扩展访问控制列表扩展访问控制列表可针对可针对IP数据包五元素中

4、任一项进行限制数据包五元素中任一项进行限制.访问列表用号码来标识。使用什么号码可由你随访问列表用号码来标识。使用什么号码可由你随意决定,但必须符合:标准意决定,但必须符合:标准ACL使用使用199和和13001999,扩展扩展ACL使用使用100 199和和20002699。对一个表的所有语句必须使用相同的号码。对一个表的所有语句必须使用相同的号码。源源IP 目标目标IP 协议协议 源源Port 目标目标Port2024-6-296成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院OutgoingPacketE0S0IncomingPacketAccess List Proces

5、sesPermit?SourceStandardChecks Source addressGenerally permits or denies entire protocol suite2024-6-297成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol Extended Checks Source and Destination address Generally permits or denies

6、 specific protocols2024-6-298成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院第一步:定义标准第一步:定义标准ACL列表列表 Router(config)#access-list access-list-number permint|deny test-conditions第二步:第二步:选择要应用访问列表的接口选择要应用访问列表的接口 Router(config)#interface type number第三步:将第三步:将ACL应用到某一接口应用到某一接口 Router(config-if)#ip access-group access-lis

7、t-number in|out在定义在定义test-conditions时,要使用到时,要使用到反向掩码反向掩码(通配(通配符掩码)。同时,每一个符掩码)。同时,每一个ACL最后都隐藏了一个语最后都隐藏了一个语句句“deny any”。2024-6-299成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院输入准则语句的顺序输入准则语句的顺序 加入的每条准则都被追加到访问列表的最后,语加入的每条准则都被追加到访问列表的最后,语句被创建以后,就无法单独删除它,而只能删除句被创建以后,就无法单独删除它,而只能删除整个访问列表。所以访问列表语句的次序非常重整个访问列表。所以访问列表语句的

8、次序非常重要。路由器在决定转发还是阻断分组时,路由器要。路由器在决定转发还是阻断分组时,路由器按语句创建的次序将分组与语句进行比较,找到按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他准则语句匹配的语句后,便不再检查其他准则语句。2024-6-2910成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院反向掩码是一个反向掩码是一个32比特位的数字串,它被用点号比特位的数字串,它被用点号分成分成4个个8位组,每个位组,每个8位组包含位组包含8个比特。在反向个比特。在反向掩码中,掩码中,0表示表示“检查相应的位检查相应的位”,而,而1比示比示“不不检查相应的位检查

9、相应的位”。反向掩码跟。反向掩码跟IP地址是成对出现地址是成对出现的,通过的,通过“1”或或“0”来明确如何处理相应的来明确如何处理相应的IP地地址位。址位。在在IP子网掩码中子网掩码中“1”或或“0”是用来决定是网络还是用来决定是网络还是相应的主机是相应的主机IP地址。而在地址。而在ACL的反向掩码中,的反向掩码中,掩码位掩码位“1”或或“0”用来决定相应的用来决定相应的IP地址是被忽地址是被忽略,还是被检查。略,还是被检查。2024-6-2911成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院 表示一台主机表示一台主机172.30.16.29 0.0.0.0 host 17

10、2.30.16.29 表示一个网络表示一个网络172.30.0.0 0.0.255.255 表示任何网络表示任何网络0.0.0.0 255.255.255.255any反向掩码:反向掩码:192.168.0.99 0.0.0.255 192.168.0.0/24反向掩码反向掩码 192.168.0.99 255.255.255.0 以以99结尾的地址结尾的地址2024-6-2912成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院(1)access-list 1 deny host 192.168.0.99 (限制所有主机)(限制所有主机)(2)access-list 2 den

11、y host 192.168.0.99 access-list 2 permit any (只限制(只限制IP地址为地址为 192.168.0.99 的主机)的主机)(3)access-list 3 permit host 192.168.0.99 (除除192.168.0.99 的主机都的主机都deny)(4)access-list 4 deny 192.168.0.99 0.0.0.255 access-list 4 permit any (限制(限制99结尾的地址)结尾的地址)注意注意ACL后的缺省后的缺省语句,不指定就表语句,不指定就表示示deny any2024-6-2913成都信息

12、工程大学成都信息工程大学网络空间安全学院网络空间安全学院Router#config tRouter(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any (or Router(config)#access-list 10 permit 0.0.0.0 255.255.255.255)Router(config)#interface ethernet 0Router(config-if)#ip access-group 10 outRouter功能:拒绝来自于功能:拒绝来

13、自于172.16.40子网的所有主机访问子网的所有主机访问Server.2024-6-2914成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院access-list access-list-number deny|permit protocol source source-wildcard destination destination-wildcard operator port 参数参数参数说明参数说明access-list-number访问控制列表表号访问控制列表表号,使用范围如使用范围如100-199permit|deny 允许或者拒绝后面指定的特定地址通信流量允许或者

14、拒绝后面指定的特定地址通信流量protocol指定协议类型指定协议类型,如如IP,TCP,UDP,ICMP等等source destination标识源地址和目的地址标识源地址和目的地址source-Wildcard destination-Wildcard反向掩码反向掩码,与源地址和目的地址相对应与源地址和目的地址相对应operator operandlt,gt,eq,neg(小于,大于,等于,不等于小于,大于,等于,不等于)端口号端口号2024-6-2915成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院Router(config-if)#ip access-group a

15、ccess-list-numbe in|out参数参数参数说明参数说明access-list-number 指出连接到这个接口的访问控制列指出连接到这个接口的访问控制列表表号表表号in|out 通过选择通过选择in还是还是out来表示该来表示该ACL是是应用到入站接口还是出站接口。如应用到入站接口还是出站接口。如果没有指定,默认是果没有指定,默认是out。no ip access-group access-list-number in|out 取消访问列表和接口的关联,查看access-list可以用show access-listsshow ip access-lists2024-6-291

16、6成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院R2#config tR2(config)#access-list 120 deny tcp 10.2.23.0 0.0.0.255 host 10.1.12.1 eq 23 R2(config)#access-list 120 deny tcp 10.2.23.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 23R2(config)#access-list 120 deny tcp 10.2.23.0 0.0.0.255 host 10.1.12.1 eq 21R2(config)#access-lis

17、t 120 permit ip any any R2(config)#interface serial 0R2(config-if)#ip access-group 120 out 2024-6-2917成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院1)限制主机限制主机192.168.0.222到网络到网络131.107.0.0/16的的ICMP流量流量RB(config)#access 101 deny icmp host 192.168.0.222 131.107.0.0 0.0.255.255RB(config)#access 101 permit ip any any

18、RB(config)#int e0RB(config-if)#ip access-group 101 inRB(config-if)#no ip access-group 101 in2)限制网络限制网络192.168.0.0/24到所有网络的到所有网络的ICMP流量流量RB(config)#access 102 deny icmp 192.168.0.0 0.0.0.255 anyRB(config)#access 102 permit ip any anyRB(config)#int e0RB(config-if)#ip access-group 102 inRB(config-if)#n

19、o ip access-group 102 in2024-6-2918成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院3)只允许主机)只允许主机192.168.0.99通过通过Telnet访问访问131.107.0.0/16网段网段RB(config)#access 103 permit tcp host 192.168.0.99 131.107.0.0 0.0.255.255 eq 23RB(config)#int e0RB(config-if)#ip access-group 103 inRB(config-if)#no ip access-group 103 in4)使所

20、有其他网段只能访问)使所有其他网段只能访问192.168.0.0/24的的WWW、FTP、TELNET服务服务RB(config)#access 104 permit tcp any 192.168.0.0 0.0.0.255 eq wwwRB(config)#access 104 permit tcp any 192.168.0.0 0.0.0.255 eq ftpRB(config)#access 104 permit tcp any 192.168.0.0 0.0.0.255 eq telnet2024-6-2919成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院1、实验

21、内容:自行假设某企业需要建立对、实验内容:自行假设某企业需要建立对某些子网、主机限定访问财务服务器;同某些子网、主机限定访问财务服务器;同时还限定某些子网通过企业出口上网,以时还限定某些子网通过企业出口上网,以及实现企业中工作子网间相互限定性访问及实现企业中工作子网间相互限定性访问的安全性建设。的安全性建设。2、实验的步骤和结果写入实验报告。、实验的步骤和结果写入实验报告。3、每人一份实验报告,计入平时成绩。、每人一份实验报告,计入平时成绩。2024-6-2920成都信息工程大学成都信息工程大学网络空间安全学院网络空间安全学院标准标准ACL是否可以对目的地址限定?是否可以对目的地址限定?扩展扩展ACL的建立能够限定的建立能够限定ICMP、TCP、UDP协议,如何限定,举例说明?协议,如何限定,举例说明?ACL的缺省为的缺省为deny any吗?吗?2024-6-2921

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 大学
版权提示 | 免责声明

1,本文(《交换与路由技术》课件第7讲-访问控制列表的应用.ppt)为本站会员(momomo)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|