學(xué)習(xí)情境2企業(yè)內(nèi)網(wǎng)安全控制.ppt

企業(yè)內(nèi)網(wǎng)安全控制,學(xué)習(xí)情境2,復(fù)雜程度,Internet飛速增長,時間,第一代 引導(dǎo)性病毒,第二代 宏病毒 DOS 電子郵件 有限的黑客攻擊,第三代 網(wǎng)絡(luò)DOS攻擊 混合威脅（蠕蟲+病毒+特洛伊） 廣泛的系統(tǒng)黑客攻擊,下一代 網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊 瞬間威脅 大規(guī)模蠕蟲 DDoS 破壞有效負(fù)載的病毒和蠕蟲,波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu) 地區(qū)網(wǎng)絡(luò) 多個網(wǎng)絡(luò) 單個網(wǎng)絡(luò) 單臺計算機,周,天,分鐘,秒,影響目標(biāo),1980s,1990s,今天,未來,安全事件對我們的威脅越來越快,網(wǎng)絡(luò)安全的演化,VLAN,北京總部,廣州分公司,上海分公司,VLAN,VLAN,VLAN,VLAN,VLAN,VLAN,情景二：構(gòu)建企業(yè)交換式局域網(wǎng),情景三：企業(yè)內(nèi)部路由配置 情景四：企業(yè)內(nèi)網(wǎng)安全控制,情景五：企業(yè)廣域網(wǎng)接入配置,課程綜合項目：Center公司網(wǎng)絡(luò)改造項目,Internet,情景一：網(wǎng)絡(luò)設(shè)備選型,課程項目進(jìn)度,本章目標(biāo),了解網(wǎng)絡(luò)安全的基礎(chǔ)知識 掌握網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制保護措施 掌握交換機端口的安全知識 學(xué)習(xí)訪問控制列表技術(shù) 區(qū)別不同的訪問控制列表技術(shù),任務(wù)分解,3,配置擴展訪問控制列表訪問安全技術(shù),任務(wù)進(jìn)度,2.1 網(wǎng)絡(luò)安全概述,安全威脅 竊聽 、重傳 、篡改 、拒絕服務(wù)攻擊 、行為否認(rèn) 、電子欺騙 、非授權(quán)訪問 、傳播病毒 網(wǎng)絡(luò)攻擊方法 獲取口令 放置木馬程序 WWW的欺騙技術(shù) 電子郵件攻擊 通過一個節(jié)點來攻擊其他節(jié)點 網(wǎng)絡(luò)監(jiān)聽 尋找系統(tǒng)漏洞 利用帳號進(jìn)行攻擊 偷取特權(quán),手段多樣的網(wǎng)絡(luò)攻擊：,網(wǎng)絡(luò)攻擊的防御技術(shù),身份認(rèn)證技術(shù) 加解密技術(shù) 邊界防護技術(shù) 訪問控制技術(shù) 主機加固技術(shù) 安全審計技術(shù) 檢測監(jiān)控技術(shù),2.2 管理設(shè)備控制臺安全,對于大多數(shù)企業(yè)內(nèi)部網(wǎng)來說，連接網(wǎng)絡(luò)中各個節(jié)點的互聯(lián)設(shè)備，是整個網(wǎng)絡(luò)規(guī)劃中最需要重要保護的對象。大多數(shù)網(wǎng)絡(luò)都有一、二個主要的接入點，對這個接入點的破壞，直接造成整個網(wǎng)絡(luò)癱瘓。如果網(wǎng)絡(luò)互相設(shè)備沒有很好的安全防護措施，來自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，將對網(wǎng)絡(luò)的打擊是最致命的。因此設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備防護措施是保護網(wǎng)絡(luò)安全的重要手段之一。 據(jù)國外調(diào)查顯示，80%的安全破壞事件都是由薄弱的口令引起的，因此為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個恰當(dāng)口令，是保護網(wǎng)絡(luò)不受侵犯最根本保護,保護設(shè)備控制臺的安全措施,通過一根配置線纜連接到交換機的配置端口（Console），另一端連接到配置計算機的串口。通過如下命令，配置登入交換機控制臺特權(quán)密碼 Switch Switch#configure terminal Switch(config)#enable secret mypassword ！配置特權(quán)密文密碼 Switch(config)#login ！配置登陸時需要驗證密碼,配置線纜,配置交換機的連接模式,配置線纜,配置交換機遠(yuǎn)程登錄的安全措施,除通過Console端口與設(shè)備直接相連管理設(shè)備之外，用戶還可以通過Telnet程序和交換機RJ45口建立遠(yuǎn)程連接，以方便管理員對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理。 配置交換機遠(yuǎn)程登錄密碼過程如下（路由器遠(yuǎn)程登錄密碼的配置與之相同）。 Switch Switch#configure terminal Switch(config)#line vty 0 4 ！開啟Telnet線路 Switch(config-line)#password mypassword ！配置Telnet登錄密碼 Switch(config-line)#login ！配置登陸時需要驗證密碼,2.3交換機端口安全,端口安全概述 大部分網(wǎng)絡(luò)攻擊行為都采用欺騙源IP或源MAC地址的方法，對網(wǎng)絡(luò)的核心設(shè)備進(jìn)行連續(xù)的數(shù)據(jù)包攻擊，如典型的ARP攻擊、MAC攻擊和DHCP攻擊等。這些針對交換機端口產(chǎn)生的攻擊行為，可以通過啟用交換機端口安全功能特性加以防范。,FF.FF.FF.FF.FF.FF,廣播MAC地址,00.d0.f8. 00.07.3c,前3個字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備制造廠商的,后3個字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商自行分配的，不重復(fù)，生產(chǎn)時寫入設(shè)備,MAC地址：鏈路層唯一標(biāo)識,接入交換機,MAC Port A 1 B 2 C 3,MAC地址表：空間有限,MAC攻擊,攻擊： MAC地址表空間是有限，MAC攻擊會占滿交換機地址表; 使得單播包在交換機內(nèi)部也變成廣播包, 向所有端口轉(zhuǎn)發(fā)，每個連在端口上客戶端都可以收到該報文; 交換機變成了一個Hub，用戶的信息傳輸也沒有安全保障了,MAC攻擊,端口安全配置方式,配置安全地址：當(dāng)開啟交換機端口安全功能并為交換機端口配置安全MAC地址，則這個端口將不轉(zhuǎn)發(fā)除安全源MAC地址外的其他任何數(shù)據(jù)幀。 配置安全地址數(shù)：交換機安全端口不僅可以配置安全MAC地址，也可以設(shè)置安全地址數(shù)目，也就是說，一個安全端口可以配置多個安全MAC地址。 配置安全違例處理方式：當(dāng)發(fā)生安全違規(guī)事件時，可以指定不同的處理方式。 配置老化時間和處理方式：可以為安全端口設(shè)置老化時間和處理方式，可以清除長時間不活動的安全MAC地址。 將IP地址綁定到MAC地址：可以在交換機上將IP地址綁定到MAC地址，以實現(xiàn)在特定端口上允許特定的IP終端接入。,端口安全的配置和維護,配置安全端口的過程包括啟用端口安全，設(shè)置安全MAC地址的最大數(shù)量、配置安全地址、設(shè)置違例發(fā)生后的處理方式、配置老化時間和將MAC地址與IP地址綁定等。 對于Cisco交換機，需要注意的是： Cisco系列交換機可以做基于2層的端口安全，即MAC地址與端口進(jìn)行綁定。 Cisco3550以上交換機均可做基于2層和3層的端口安全，即MAC地址與端口綁定以及MAC地址與IP地址綁定。,交換機端口安全功能,交換機的端口安全功能，防止網(wǎng)內(nèi)部攻擊, 如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等。 交換機端口安全的基本功能 1、端口安全地址綁定, 解決網(wǎng)中IP地址沖突、ARP欺騙 例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙。 2、限制端口最大連接數(shù) ，控制惡意擴展接入 例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機或HUB擴展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞。,配置端口安全MAC地址,下面以以Cisco交換機為例，來介紹端口安全地址綁定。MAC地址與端口綁定可以實現(xiàn)兩種應(yīng)用： （1）設(shè)定一端口只接受第一次連接該端口的計算機MAC地址，當(dāng)該端口第一次獲得某計算機MAC地址后，其他計算機接入到此端口所發(fā)送的數(shù)據(jù)幀則認(rèn)為非法，做丟棄處理。 Switch#config terminal Switch(config)#interface interface-id ！進(jìn)入端口 Switch(config-if)#switchport mode access ！配置端口為交換模式 Switch(config-if)#switchport port-security ！打開端口安全模式 Switch(config-if)#switchport port-security violation protect！設(shè)置違例處理,配置端口安全MAC地址,（2）設(shè)定一端口只接受某一特定計算機MAC地址，其他計算機均無法接入到此端口。 Switch#config terminal Switch(config)#interface interface-id Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect / 以上步驟與第一種應(yīng)用相同 Switch(config-if)#switchport port-security mac-address mac-address / 將端口綁定到特定的MAC地址,設(shè)置安全端口最大連接數(shù),可以通過MAC地址來限制端口流量。以下配置允許一接口最多通過100個MAC地址，超過100時，來自新主機的數(shù)據(jù)幀將丟失。具體配置如下： Switch#config terminal Switch(config)#interface fastEthernet 0/1 Switch(config)#Switchport mode access Switch(config-if)#switchport port-security maximum 100 / 允許通過的最大MAC地址數(shù)目為100 Switch(config-if)#switchport port-security violation protect / 當(dāng)主機MAC地址數(shù)超過100時，交換機繼續(xù)工作，但來自新主機的數(shù)據(jù)幀將丟失,配置安全違例,當(dāng)交換機端口配制成安全端口后，以下情況發(fā)生時就產(chǎn)生了一個安全違例事件： 端口安全地址數(shù)已達(dá)最大安全數(shù)目，這時，如果有一個安全MAC地址表外的MAC地址試圖訪問這個端口。 如果一個站點試圖訪問這個端口，而這個站點的源MAC地址已被配置為其他的端口的安全地址。,配置安全違例,當(dāng)安全違例產(chǎn)生時，可以選擇多種方式來處理違例： protect：當(dāng)MAC地址的數(shù)量達(dá)到了這個端口所最大允許的數(shù)目，帶有未知的源地址的數(shù)據(jù)幀就會被丟棄，直到刪除了足夠數(shù)量的MAC地址為止。 restrict：當(dāng)安全違例發(fā)生時，產(chǎn)生一個Trap消息并將“安全違規(guī)”計數(shù)器增加1。 shutdown：一旦違例發(fā)生，馬上關(guān)閉該端口，并且發(fā)送Trap消息。安全端口由于違例被關(guān)閉后處在error-disable狀態(tài)。如要恢復(fù)該端口，必須敲入全局命令errdisable recovery cause psecure-violation，或者手動的shutdown然后再no shutdown恢復(fù)該端口。這個是Cisco交換機端口安全違例的默認(rèn)處理方式。,配置安全端口與IP地址綁定,MAC地址與IP地址綁定基本原理是：在交換機內(nèi)建立MAC地址和IP地址映射的ARP表。端口獲得的IP和MAC地址將匹配該表，不符合則丟棄該端口發(fā)送的數(shù)據(jù)幀。具體實現(xiàn)方法如下： Switch#configure terminal Switch(config)#arp ip地址 mac地址 arpa 如下命令建立ip地址和mac地址0001.0001.1111綁定： Switch(config)#arp 0001.0001.1111 arpa 注意： 需要將網(wǎng)段內(nèi)所有IP都建立MAC地址映射，沒有使用的IP地址可以與0000.0000.0000建立映射。否則該綁定對于網(wǎng)段內(nèi)沒有建立映射的IP地址無效。,配置端口安全老化,當(dāng)為端口指定最大安全MAC地址數(shù)時，交換機可以不斷學(xué)習(xí)到新MAC地址，并將它添加到該端口的安全MAC地址表中。這時，安全MAC地址表中可能會有一些MAC地址長期處于不活動狀態(tài)。為了保障此端口能夠得以充分利用，可以采用設(shè)置端口安全老化時間和模式的方式，使系統(tǒng)能夠自動刪除長時間不活動的MAC地址，從而減少網(wǎng)絡(luò)維護的工作量。配置端口安全老化的過程如下： Switch(config)#interface interface_id ！指定欲配置端口安全老化的接口 Switch(config-if)#switchport port-security aging time aging_time / 為安全端口配置老化時間 Switch(config-if)#switchport port-security aging type absolute|inactivity / 為安全端口設(shè)置老化類型,查看端口安全設(shè)置,在完成端口安全相關(guān)設(shè)置后，可用下列命令查看端口安全配置： Switch#show port-security ！查看哪些接口啟用了端口安全 Switch#show port-security address ！查看安全端口mac地址綁定關(guān)系 Switch#show port-security interface f0/x,配置交換機端口安全,某公司拓?fù)淙鐖D所示，為了防止局域網(wǎng)內(nèi)部用戶的IP地址沖突，防范內(nèi)部網(wǎng)絡(luò)攻擊行為，公司要求網(wǎng)絡(luò)中心管理員為財務(wù)部中每一臺計算機配置固定IP地址，并限制只允許局域網(wǎng)內(nèi)部員工的電腦才可以使用網(wǎng)絡(luò)，不得隨意連接其他主機。此外，公司還需限制業(yè)務(wù)部的最大連接數(shù)目為2。,階段總結(jié),網(wǎng)絡(luò)安全概述 安全威脅 、網(wǎng)絡(luò)攻擊方法 、網(wǎng)絡(luò)攻擊的防御技術(shù) 管理設(shè)備控制臺安全 保護設(shè)備控制臺的安全措施 、配置交換機遠(yuǎn)程登錄的安全措施 交換機端口安全 端口安全概述 、端口安全的配置和維護,任務(wù)進(jìn)度,ISP,1、什么是訪問列表, ACL對經(jīng)過設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。,FTP,RG-S2126,RG-S3512G /RG-S4009,RG-NBR1000,Internet,RG-S2126,不同部門所屬VLAN不同,技術(shù)部 VLAN20,財務(wù)部 VLAN10,隔離病毒源,隔離外網(wǎng)病毒,2、為什么要使用訪問列表,ACL的功能,通過靈活地應(yīng)用訪問控制列表，可以把ACL作為一種網(wǎng)絡(luò)控制的有力工具，用來實現(xiàn)以下功能： 提供對通訊流量的控制手段。 提供網(wǎng)絡(luò)訪問的基本安全手段。 在路由器接口處，決定哪種類型的通訊流量被轉(zhuǎn)發(fā)，哪種類型的流量被丟棄。,ACL檢查數(shù)據(jù)包,交換機支持的訪問控制列表,交換機支持三種訪問控制列表的應(yīng)用過濾傳輸： 端口訪問控制列表：也稱MAC訪問控制列表。對進(jìn)入二層接口的通信實施訪問控制。交換機不支持外出訪問的訪問控制列表。在三層接口可以應(yīng)用IP訪問控制列表和端口訪問控制列表。 路由訪問控制列表：對VLAN之間以及三層接口之間通信實施訪問控制。并且可以控制進(jìn)、出雙向通信。 VLAN訪問控制列表：也稱VLAN映射，對所有包實現(xiàn)訪問控制。在同一VLAN的設(shè)備之間，可以采用VLAN ACL實施訪問控制。VLAN訪問控制列表的配置與訪問控制均基于IP地址，不支持基于MAC地址的訪問控制。,訪問控制列表的類型, 訪問控制列表的分類： 1、標(biāo)準(zhǔn) 2、擴展 3、命名（標(biāo)準(zhǔn)擴展）,訪問控制列表工作過程,配置標(biāo)準(zhǔn)訪問控制列表,標(biāo)準(zhǔn)ACL的工作過程 標(biāo)準(zhǔn)ACL只檢查可以被路由的數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機IP地址的所有流量通過路由器。 從路由器某一接口進(jìn)來的數(shù)據(jù)包經(jīng)過檢查其源地址和協(xié)議類型，并且與ACL條件判斷語句相匹配，如果匹配，則執(zhí)行允許或拒絕。如果該數(shù)據(jù)包被允許通過，就從路由器的出口轉(zhuǎn)發(fā)出去；如果該數(shù)據(jù)包被拒絕通過，就丟棄它。當(dāng)網(wǎng)絡(luò)管理員要允許或阻止來自某一網(wǎng)絡(luò)的所有通信流量，可以使用標(biāo)準(zhǔn)ACL來實現(xiàn)這一目標(biāo)。, 標(biāo)準(zhǔn)訪問列表 只根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過濾。,學(xué)生網(wǎng)段,校領(lǐng)導(dǎo)網(wǎng)段,教研網(wǎng)段,標(biāo)準(zhǔn)列表規(guī)則定義,源地址,TCP/UDP,數(shù)據(jù),IP,eg.HDLC,1-99 號列表,IP標(biāo)準(zhǔn)訪問列表,1、定義標(biāo)準(zhǔn)ACL Router(config)# access-list permit |deny 源地址 反掩碼 Switch(config)# Ip access-list permit |deny 源地址 反掩碼 2、應(yīng)用ACL到接口 Router(config-if)#ip access-group |name in | out ,0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特,0,0,0,0,0,0,0,0,反掩碼（通配符）,通配符掩碼是一個32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。,在IP子網(wǎng)掩碼中，數(shù)字1和0用來決定是網(wǎng)絡(luò)，還是主機的IP地址。 通配符掩碼與子網(wǎng)掩碼工作原理是不同的。如表示這個網(wǎng)段，使用通配符掩碼應(yīng)為55。 在通配符掩碼用55表示所有IP地址，全為1說明所有32位都不檢查，這是可以用any來取代。 的通配符掩碼則表示所有32位都要進(jìn)行匹配，這樣只表示一個IP地址，可以用host表示。,access-list 1 permit 55 (access-list 1 deny 55) interface serial 0 ip access-group 1 out,,,F0,S0,F1,Internet ,IP標(biāo)準(zhǔn)訪問列表配置,只允許網(wǎng)絡(luò)中的計算機訪問互聯(lián)網(wǎng)絡(luò),IP標(biāo)準(zhǔn)訪問列表配置技術(shù),阻止 5 主機通過E0訪問網(wǎng)絡(luò)，而允許其他的機器訪問 Router（config） # access-list 1 deny host 5 Router（config） # access-list 1 permit any Router（config） # interface ethernet 0 Router（config-if） # ip access-group 1 in,配置標(biāo)準(zhǔn)訪問控制列表,拓?fù)淙鐖D所示，要實現(xiàn)網(wǎng)絡(luò)一和網(wǎng)絡(luò)二隔離，可以在路由器R2上做標(biāo)準(zhǔn)ACL技術(shù)控制，以實現(xiàn)網(wǎng)絡(luò)之間的隔離。,訪問控制列表概述,訪問表（access list）是一個有序的語句集，它通過匹配報文中信息與訪問表參數(shù)，來允許報文通過或拒絕報文通過某個接口。,訪問控制列表概述,訪問控制列表總的說起來有下面三個作用: 安全控制 流量過濾 數(shù)據(jù)流量標(biāo)識,ACL工作原理及規(guī)則,ACL語句有兩個組件：一個是條件，一個是操作 條件：一個組的規(guī)則 操作：當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。,ACL工作原理及規(guī)則,入站ACL,ACL工作原理及規(guī)則,出站ACL,ACL工作原理及規(guī)則,基本規(guī)則、準(zhǔn)則和限制 ACL語句按名稱或編號分組； 每條ACL語句都只有一組條件和操作，如果需要多個條件或多個行動，則必須生成多個ACL語句； 如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句； 如果在ACL組的一條語句中找到匹配，則不再處理后面的語句； 如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包； 由于在ACL語句組的最后隱式拒絕，所以至少要有一個允許操作，否則，所有數(shù)據(jù)包都會被拒絕； 語句的順序很重要，約束性最強的語句應(yīng)該放在列表的頂部，約束性最弱的語句應(yīng)該放在列表的底部；,ACL工作原理及規(guī)則,基本規(guī)則、準(zhǔn)則和限制 一個空的ACL組允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句； 只能在每個接口、每個協(xié)議、每個方向上應(yīng)用一個ACL； 在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL； 在數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACL； 當(dāng)ACL應(yīng)用到一個接口時，這會影響通過接口的流量，但ACL不會過濾路由器本身產(chǎn)生的流量。,ACL工作原理及規(guī)則,ACL放置在什么位置: 只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方； 過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方； 只過濾數(shù)據(jù)包中的源地址的ACL有兩個局限性： 即使ACL應(yīng)用到路由器C的E0，任何用戶A來的流量都將被禁止訪問該網(wǎng)段的任何資源，包括數(shù)據(jù)庫服務(wù)器。 流量要經(jīng)過所有到達(dá)目的地的途徑，它在即將到達(dá)目的地時被丟棄，這是對帶寬的浪費。,ACL的種類,兩種基本的ACL：標(biāo)準(zhǔn)ACL和擴展ACL 標(biāo)準(zhǔn)IP ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址 擴展IP ACL可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標(biāo)志代碼）等，,訪問控制列表,標(biāo)準(zhǔn)ACL,標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址 標(biāo)準(zhǔn)ACL通常用在路由器配置以下功能： 限制通過VTY線路對路由器的訪問（telnet、SSH）； 限制通過HTTP或HTTPS對路由器的訪問； 過濾路由更新。,標(biāo)準(zhǔn)ACL,通過兩種方式創(chuàng)建標(biāo)準(zhǔn)ACL：編號或名稱 使用編號 使用編號創(chuàng)建ACL 在接口上應(yīng)用 In：當(dāng)流量從網(wǎng)絡(luò)網(wǎng)段進(jìn)入路由器接口時 Out：當(dāng)流量離開接口到網(wǎng)絡(luò)網(wǎng)段時,Router(config)#,access-list listnumber permit | deny address wildcardmask ,Router(config-if)#,ip access-group id|name in|out,允許/拒絕,標(biāo)準(zhǔn)ACL,使用命名 定義ACL名稱 定義規(guī)則 在接口上應(yīng)用,Router(config)#,ip access-list standard name,Router(config-std-nacl)#,deny|permit source wildcard any ,Router(config-if)#,ip access-group id|name in|out,配置標(biāo)準(zhǔn)ACL示例,54,54,訪問控制列表,實習(xí)項目：配置標(biāo)準(zhǔn)訪問列表控制網(wǎng)絡(luò)流量,【工作任務(wù)】 如圖所示的網(wǎng)絡(luò)拓?fù)涫悄炒髮W(xué)計算機科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場景，要實現(xiàn)學(xué)生網(wǎng)（）和行政辦公網(wǎng)（）的隔離，可以在其中R1路由器上做標(biāo)準(zhǔn)ACL技術(shù)控制，以實現(xiàn)網(wǎng)絡(luò)之間的隔離 【項目設(shè)備】路由器（2臺）；網(wǎng)線（若干）；測試PC（2臺）； 【實施過程】 ,階段總結(jié),ACL簡介 訪問列表功能 、交換機支持的訪問控制列表 、訪問控制列表的類型、訪問控制列表工作過程 配置標(biāo)準(zhǔn)訪問控制列表 標(biāo)準(zhǔn)ACL的工作過程 、配置標(biāo)準(zhǔn)ACL,任務(wù)進(jìn)度,3,配置擴展訪問控制列表訪問安全技術(shù),擴展型訪問控制列表,擴展型訪問控制列表（Extended IP ACL ）在數(shù)據(jù)包的過濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的ACL更強大數(shù)據(jù)包檢查功能。 擴展ACL不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址，源端口，目的端口、建立連接和IP優(yōu)先級等特征信息。利用這些選項對數(shù)據(jù)包特征信息進(jìn)行匹配 。,ACL分類-擴展訪問列表, 擴展ACL可以根據(jù)數(shù)據(jù)包內(nèi)的源、目的地址，應(yīng)用服務(wù)進(jìn)行過濾。,郵件server,WEBserver,目的地址,源地址,協(xié)議,端口號,100-199號列表,TCP/UDP,數(shù)據(jù),IP,eg.HDLC,IP擴展訪問列表（1）,擴展訪問控制列表,可以通過兩種方式為擴展ACL語句分組：通過編號或名稱 編號的擴展ACL 創(chuàng)建擴展ACL 接口上應(yīng)用,Router(config)#,access-list listnumber permit | deny protocol source source- wildcardmask destination destination-wildcardmask operator operand,Router(config-if)#,ip access-group id|name in|out,擴展訪問控制列表,命名的標(biāo)準(zhǔn)ACL 定義擴展ACL名稱 定義規(guī)則 在接口上應(yīng)用,Router(config)#,ip acess-list extended name,Router(config-if)#,ip access-group id|name in|out,Router(conig-ext-nacl)#,deny|permit protocol source source-wildcard |host source| anyoperator port,驗證ACL配置,顯示所有協(xié)議的所有ACL 查看接口應(yīng)用的ACL情況,Router#,show access-lists,Router#,show ip access-group,沖擊波（MS Blaster）病毒 蠕蟲病毒，大量ICMP掃描，導(dǎo)致網(wǎng)絡(luò)阻塞 利用ACL關(guān)閉ICMP服務(wù)，以及相應(yīng)端口。 益處：抑制蠕蟲攻擊，控制蠕蟲蔓延，保證網(wǎng)絡(luò)帶寬。 配置示例： access-list 101 deny tcp any any eq 135 阻止感染病毒的PC向其它正常PC的135端口發(fā)布攻擊代碼。 access-list 101 deny udp any any eq tftp 限制目標(biāo)主機通過tftp下載病毒。 access-list 101 deny icmp any any 阻斷感染病毒的PC向外發(fā)送大量的ICMP報文，防止其堵塞網(wǎng)絡(luò)。,接入交換機RG-S2126G防病毒配置 RG-2126G-2(config)# ip access-list extended deny_worms RG-2126G-2(config-ext-nacl)# deny tcp any any eq 135 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 136 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 137 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 138 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 139 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 445 RG-2126G-2(config-ext-nacl)# deny udp any any eq 135 RG-2126G-2(config-ext-nacl)# deny udp any any eq 136 RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-ns RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-dgm RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-ss RG-2126G-2(config-ext-nacl)# deny udp any any eq 445 RG-2126G-2(config-ext-nacl)# permit ip any any RG-2126G-2(config-ext-nacl)#exit RG-2126G-2(config)#interface range fa 0/1-24 RG-2126G-2(config-if-range)#ip access-group deny_worms in,配置擴展ACL示例,配置擴展ACL示例,項目：配置擴展訪問列表保護服務(wù)器安全,【工作任務(wù)】 如圖所示網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計算機科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場景，要實現(xiàn)教師網(wǎng)（）和學(xué)生網(wǎng)（）之間的互相連通，但不允許學(xué)生網(wǎng)訪問教師網(wǎng)中的FTP服務(wù)器，可以在路由器R2上做擴展ACL技術(shù)控制，以實現(xiàn)網(wǎng)絡(luò)之間的隔離 【項目設(shè)備】路由器（2臺）；網(wǎng)線（若干）；測試PC（2臺）； 【實施過程】 ,配置擴展訪問控制列表,擴展ACL的工作過程,擴展型訪問控制列表,擴展型訪問控制列表（Extended IP ACL ）在數(shù)據(jù)包的過濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的ACL更強大數(shù)據(jù)包檢查功能。 擴展ACL不僅檢查