交換機路由器配置管理第二十二章訪問控制列表課件_第1頁
交換機路由器配置管理第二十二章訪問控制列表課件_第2頁
交換機路由器配置管理第二十二章訪問控制列表課件_第3頁
交換機路由器配置管理第二十二章訪問控制列表課件_第4頁
交換機路由器配置管理第二十二章訪問控制列表課件_第5頁
已閱讀5頁,還剩37頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

19十二月2022網絡設備配置與管理1第22章訪問控制列表主講:張平安教授16十二月2022網絡設備配置與管理1第22章訪問控制19十二月2022網絡設備配置與管理2學習目標知識目標掌握路由器的標準訪問控制列表的基本原理掌握路由器的擴展訪問控制列表的基本原理技能目標熟練掌握標準訪問控制列表的配置方法與技巧熟練掌握擴展訪問控制列表的配置方法與技巧素養(yǎng)目標培養(yǎng)初步的網絡訪問權限的設計能力培養(yǎng)自覺的信息安全意識16十二月2022網絡設備配置與管理2學習目標知識目標掌每課一屏了解網絡安全形勢19十二月2022網絡設備配置與管理3每課一屏了解網絡安全形勢16十二月2022網絡設備配置與路由器安全功能19十二月2022網絡設備配置與管理4路由器主要功能是發(fā)現達到目標網絡的路徑又是硬件防火墻配置訪問列表實現包過濾網絡地址轉換路由器安全功能16十二月2022網絡設備配置與管理4路由訪問列表19十二月2022網絡設備配置與管理5路由器配置訪問列表可以控制網絡流量,按規(guī)則過濾數據報文,提高網絡的安全性。訪問列表16十二月2022網絡設備配置與管理5路由器配置訪問控制列表分類19十二月2022網絡設備配置與管理6包過濾規(guī)則稱為訪問列表。對于IP,IPX或AppleTalk網絡,其過濾規(guī)則有差異,IP網絡的稱為IP訪問列表(AccessList)標準IP訪問列表該種包過濾規(guī)則只對數據包中的源地址進行檢查擴展IP訪問列表該種包過濾規(guī)則對數據包中的源地址、目的地址、協(xié)議(如TCP,UDP,ICMP,Telnet,FTP等)或者端口號進行檢查訪問控制列表分類16十二月2022網絡設備配置與管理6包認識協(xié)議與端口號19十二月2022網絡設備配置與管理7認識協(xié)議與端口號16十二月2022網絡設備配置與管理7牢記ACL編號規(guī)則19十二月2022網絡設備配置與管理8牢記ACL編號規(guī)則16十二月2022網絡設備配置與管理8如何判斷符合匹配規(guī)則19十二月2022網絡設備配置與管理9標準和擴展的IPACL都允許用戶指定一個特定的IP地址或者一個IP地址范圍。如果數據包的地址屬于所配置的地址范圍之內,那么數據包就符合匹配規(guī)則ACL的通配符掩碼定義了數據包地址中的哪部分需要匹配ACL中已列出的地址,以及哪些部分不需要匹配。如何判斷符合匹配規(guī)則16十二月2022網絡設備配置與管理特殊匹配地址19十二月2022網絡設備配置與管理10特殊匹配地址16十二月2022網絡設備配置與管理10訪問列表表項匹配規(guī)則用同一標識號碼定義一系列access-list語句從最先定義的條件開始依次檢查,如數據包滿足某個語句的條件,則執(zhí)行該語句所定義的“允許”或者“拒絕”動作,并且列表中的后續(xù)語句就不再處理。如果數據包不滿足規(guī)則中的所有條件,Cisco路由器默認禁止該數據包通過,即丟掉該數據包。路由器在訪問列表最后默認一條禁止所有數據包通過的語句。語句之間的排列順序很重要,因為第一次匹配后,剩下的語句就不再處理。19十二月2022網絡設備配置與管理11訪問列表表項匹配規(guī)則用同一標識號碼定義一系列access-l思科兩個重要的ACL設計建議如何排列ACL陳述的順序將比較精確的陳述放在前面比較概括的陳述放在后面在網絡中的什么位置放置ACL有關對于標準ACL,Cisco建議將ACL盡可能的靠近目的主機對于擴展ACL,應盡可能地靠近源主機19十二月2022網絡設備配置與管理12思科兩個重要的ACL設計建議如何排列ACL陳述的順序將比較精常用命令19十二月2022網絡設備配置與管理13常用命令16十二月2022網絡設備配置與管理13關于入站與出站19十二月2022網絡設備配置與管理14入站表示流量從外源進入接口。對于入站ACL,在IOS將分組轉發(fā)到其他接口之前,ISO將分組和接口的ACL進行比較。出站表示在流量出接口之前。對于出站ACL,在接口上接收分組,然后將分組轉發(fā)到出站接口,此時,IOS才將分組和ACL進行比較。關于入站與出站16十二月2022網絡設備配置與管理14入19十二月2022網絡設備配置與管理15標準訪問控制列表學習情景16十二月2022網絡設備配置與管理15標準訪問控制列表19十二月2022網絡設備配置與管理16擴展訪問控制列表學習情境16十二月2022網絡設備配置與管理16擴展訪問控制列表19十二月2022網絡設備配置與管理17任務與設計詳見標準訪問控制列表網絡系統(tǒng)參數設計擴展訪問控制列表網絡系統(tǒng)參數設計16十二月2022網絡設備配置與管理17任務與設計詳見訪問控制列表配置步驟確定訪問控制列表號設計訪問控制列表規(guī)則全局模式下配置訪問控制列表接口模式下綁定訪問控制列表19十二月2022網絡設備配置與管理18訪問控制列表配置步驟確定訪問控制列表號設計訪問控制列表規(guī)則全19十二月2022網絡設備配置與管理19訪問控制列表任務實施相關準備工作配置交換機VLAN配置路由器的IP配置路由器的路由配置ACL驗證16十二月2022網絡設備配置與管理19訪問控制列表任務拓展學習訪問控制列表除了上述介紹的標準ACL和擴展ACL外,思科路由器產品還提供了命名ACL和基于時間的ACL,動態(tài)ACL和自反ACL。19十二月2022網絡設備配置與管理20拓展學習訪問控制列表除了上述介紹的標準ACL和擴展ACL外,19十二月2022網絡設備配置與管理21思考題1.路由器防火墻功能的實現方式有哪些?2.仔細分析兩個訪問列表實例實現的工作原理。3.練習資源庫中有關第2章基于ACL的端口綁定技術的應用案例。16十二月2022網絡設備配置與管理21思考題1.路由器19十二月2022網絡設備配置與管理22第22章訪問控制列表主講:張平安教授16十二月2022網絡設備配置與管理1第22章訪問控制19十二月2022網絡設備配置與管理23學習目標知識目標掌握路由器的標準訪問控制列表的基本原理掌握路由器的擴展訪問控制列表的基本原理技能目標熟練掌握標準訪問控制列表的配置方法與技巧熟練掌握擴展訪問控制列表的配置方法與技巧素養(yǎng)目標培養(yǎng)初步的網絡訪問權限的設計能力培養(yǎng)自覺的信息安全意識16十二月2022網絡設備配置與管理2學習目標知識目標掌每課一屏了解網絡安全形勢19十二月2022網絡設備配置與管理24每課一屏了解網絡安全形勢16十二月2022網絡設備配置與路由器安全功能19十二月2022網絡設備配置與管理25路由器主要功能是發(fā)現達到目標網絡的路徑又是硬件防火墻配置訪問列表實現包過濾網絡地址轉換路由器安全功能16十二月2022網絡設備配置與管理4路由訪問列表19十二月2022網絡設備配置與管理26路由器配置訪問列表可以控制網絡流量,按規(guī)則過濾數據報文,提高網絡的安全性。訪問列表16十二月2022網絡設備配置與管理5路由器配置訪問控制列表分類19十二月2022網絡設備配置與管理27包過濾規(guī)則稱為訪問列表。對于IP,IPX或AppleTalk網絡,其過濾規(guī)則有差異,IP網絡的稱為IP訪問列表(AccessList)標準IP訪問列表該種包過濾規(guī)則只對數據包中的源地址進行檢查擴展IP訪問列表該種包過濾規(guī)則對數據包中的源地址、目的地址、協(xié)議(如TCP,UDP,ICMP,Telnet,FTP等)或者端口號進行檢查訪問控制列表分類16十二月2022網絡設備配置與管理6包認識協(xié)議與端口號19十二月2022網絡設備配置與管理28認識協(xié)議與端口號16十二月2022網絡設備配置與管理7牢記ACL編號規(guī)則19十二月2022網絡設備配置與管理29牢記ACL編號規(guī)則16十二月2022網絡設備配置與管理8如何判斷符合匹配規(guī)則19十二月2022網絡設備配置與管理30標準和擴展的IPACL都允許用戶指定一個特定的IP地址或者一個IP地址范圍。如果數據包的地址屬于所配置的地址范圍之內,那么數據包就符合匹配規(guī)則ACL的通配符掩碼定義了數據包地址中的哪部分需要匹配ACL中已列出的地址,以及哪些部分不需要匹配。如何判斷符合匹配規(guī)則16十二月2022網絡設備配置與管理特殊匹配地址19十二月2022網絡設備配置與管理31特殊匹配地址16十二月2022網絡設備配置與管理10訪問列表表項匹配規(guī)則用同一標識號碼定義一系列access-list語句從最先定義的條件開始依次檢查,如數據包滿足某個語句的條件,則執(zhí)行該語句所定義的“允許”或者“拒絕”動作,并且列表中的后續(xù)語句就不再處理。如果數據包不滿足規(guī)則中的所有條件,Cisco路由器默認禁止該數據包通過,即丟掉該數據包。路由器在訪問列表最后默認一條禁止所有數據包通過的語句。語句之間的排列順序很重要,因為第一次匹配后,剩下的語句就不再處理。19十二月2022網絡設備配置與管理32訪問列表表項匹配規(guī)則用同一標識號碼定義一系列access-l思科兩個重要的ACL設計建議如何排列ACL陳述的順序將比較精確的陳述放在前面比較概括的陳述放在后面在網絡中的什么位置放置ACL有關對于標準ACL,Cisco建議將ACL盡可能的靠近目的主機對于擴展ACL,應盡可能地靠近源主機19十二月2022網絡設備配置與管理33思科兩個重要的ACL設計建議如何排列ACL陳述的順序將比較精常用命令19十二月2022網絡設備配置與管理34常用命令16十二月2022網絡設備配置與管理13關于入站與出站19十二月2022網絡設備配置與管理35入站表示流量從外源進入接口。對于入站ACL,在IOS將分組轉發(fā)到其他接口之前,ISO將分組和接口的ACL進行比較。出站表示在流量出接口之前。對于出站ACL,在接口上接收分組,然后將分組轉發(fā)到出站接口,此時,IOS才將分組和ACL進行比較。關于入站與出站16十二月2022網絡設備配置與管理14入19十二月2022網絡設備配置與管理36標準訪問控制列表學習情景16十二月2022網絡設備配置與管理15標準訪問控制列表19十二月2022網絡設備配置與管理37擴展訪問控制列表學習情境16十二月2022網絡設備配置與管理16擴展訪問控制列表19十二月2022網絡設備配置與管理38任務與設計詳見標準訪問控制列表網絡系統(tǒng)參數設計擴展訪問控制列表網絡系統(tǒng)參數設計16十二月2022網絡設備配置與管理17任務與設計詳見訪問控制列表配置步驟確定訪問控制列表號設計訪問控制列表規(guī)則全局模式下配置訪問控制列表接口模式下綁定訪問控制列表19十二月2022網絡設備配置與管理39訪問控制列表配置步驟確定訪問控制列表號設計訪問控制列表規(guī)則全19十二月2022網絡設備配置與管理40訪問控制列表任務實施相關準備工作配置交換機VLAN配置路由器的IP配置路由器的路由配置ACL驗證16十二月2022網絡設備配置與管理19訪問控制列表任務拓展學習訪問控制列表除了

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論