一、实验项目名称
访问控制实验
二、实验目的
掌握Linux环境下用户管理和进程管理的常用命令,了解Linux用户管理的一般原则,掌握Linux中用户管理、授权管理和PAM等相关的系统安全配置方法,建立起Linux操作系统的基本安全框架。
三、实验内容与实验步骤
Linux访问控制实验、linux文件系统访问控制实验
四、实验环境
在计算机或虚拟机上安装Linux环境,本实验在VMware Workstation虚拟机上安装的Ubuntu 10.04上进行。
五、实验过程与分析
(一)、linux访问控制实验
任务一:用户管理
步骤1:查看和添加名为mylist的新账户。用su命令切换到新建的账户,检查shadow文件的权限设置是否安全。设置安全时,普通用户mylist没有查看该系统文件的权限。
步骤2:添加和更改密码(与实验3一致,不再截图)
步骤3:账户的禁用与恢复
步骤3-1:输入下列命令行,以管理员身份锁定新建账户,试图再转入mylist账户发现无法转入。检查用户mylist的当前状态,L表示账户已经被锁定了。将锁定账户解锁
步骤4:建立名为mygroup的用户组。将新建的用户组更名为mygroup1,将新建用户mylist 加入到新建的组mygroup1中。将mylist设置为该用户组的管理员;用su命令转换到mylist 用户下,并将系统中的一个普通用户testuser1加入到mygroup1中,被设置为组管理员的用户可以将其他用户加入到该组中,普通用户则没有此权限。
步骤5:设置密码规则
编辑/etc/login.defs目录下的defs文件;在文件中找到有关口令信息相应内容
步骤6:为账户和组相关系统文件加上不可更改属性,防止非授权用户获得权限
锁定 /etc/passwd,再次建立新用户friend时,由于系统文件被锁定,无法完成操作命令。解除对于passwd文件的锁定,再分别用同样的方法锁定/etc/shadow(用户口令加密文件),
无法创建用户,锁定/etc/group(用户组名列表)/etc/gshadow(组密码文件),无法创建组。
步骤7:删除用户和用户组
步骤8:编写一个简单的账号木马,并且运行木马程序,输入正确口令信息报错,再次输入才能正确登陆。这时就可以到/tmp/下看到刚才输入的密码已被存到/tmp/catchpass文件中。
任务二:授权管理
步骤1:超级用户权限授权管理:使用su命令对用户授权:使用su命令对用户授权添加新用户testuser1;首先修改su的PAM配置文件(/etc/pam.d/su),然后以testuser1用户登录系统,尝试命令su root,输入正确的root密码,也无法拥有root权限
此时,将PAM配置文件(/etc/pam.d/su)修改回原先状态,再次尝试su root,输入正确的root密码,可以正常拥有root权限。再次修改su的PAM配置文件(/etc/pam.d/su),以root身份登录系统,把testuser1用户加入到用户组wheel中后,又可以使用su命令了。
步骤1-3:使用sudo为用户授权:sudo命令提供了另一种授予用户管理权限的方法。用户在管理命令前加一个sudo命令,这个用户就会被提示输入他自己的口令。验证后,如果这个命令被授予该用户执行,它就会以根用户身份执行该命令。
以用户名zhang登录,没有权限为其他用户更改密码
在文件系统中的/etc目录下找到sudoers文件进行编辑。通过命令chmod 666 /etc/sudoers修改sudoers权限,在文件sudoers中添加语句
使用命令chmod 440 /etc/sudoers将文件修改为原先状态。
步骤1-4:以用户名hzb登录系统,发现其可以为testuser1改密码
步骤2:利用PAM进行权限控制
步骤2-1:控制使用ssh登录的用户。
步骤 2-2:控制密码可以重试三次,不提示输入旧密码
步骤2-3:密码强度控制。
新密码使用MD5方式加密,密码长度为10位,其中2位数字,2位其他字符,至少3位不得与旧密码相同;
然后使用一个用户名登录系统(不要使用root登录),试着为该用户更改口令。
步骤2-4:配置vsftp的认证方式。
下面是vsftp服务器利用PAM模块进行用户认证的三个步骤。首先用pam_ftp模块检查当前用户是否为匿名用户,如果是匿名用户,则sufficient控制标志表明无须再进行后面的认证步骤,直接通过认证;否则继续使用pam_unix_auth模块来进行标准的Linux认证,即用/etc/passwd和/etc/shadow进行认证;通过了pam_unix_auth模块的认证之后,还要继续用pam_listfile模块来检查该用户是否出现在文件/etc/ftpusers中,如果是则该用户被拒绝掉
步骤2-5:控制su的操作能够进入的其他用户。
创建/etc/security/suok 文件,其中的内容为允许进入的用户名,one,two,root 在/etc/pam.d/su中添加:
auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/security/suok
只有suok文件里的用户可以由su进入
尝试用su转入用户,由于one two 在suok中,所以可以由su进入,three则不行。
控制只有在root组中的用户可以通过密码su成为root,可以在/etc/pam.d/su中添加:auth sufficient pam_wheel.so group=root
在/etc/group中添加root组中的成员。将one添加到root组。尝试用one,two利用su进入root权限,只有root组中的one 可以。
(二)、linux文件系统访问控制实验
步骤1:新建文件夹和文件:在/home/hzb目录下新建名为myfolder的文件夹。用mkdir 命令在myfolder文件夹下建立一个名为child的子文件夹,用cd命令进入child文件夹,并新建一个名为newfile的文件。
步骤2:编辑文件:在“插入”模式下输入:this is a new file.
步骤3:查看文件内容及访问权限:用cat命令查看文件内容,用ll命令查看相关的文件信息
步骤4:文件的打开
使用gcc编译器编译程序,并生成可执行文件open_file
从中可以看到,系统成功打开(或创建)/home/hzb/hello文件,文件描述符为3。使用ls –l进一步查看该文件信息如下:
由此可见,文件的执行权限“rwxr-xr-x”与程序中的“MODE”宏定义是吻合的,文件的长度为0,这与“FLAGS”宏定义是吻合的。
步骤5:设置或管理文件所属用户、用户组和其他组用户的权限
方法一:用chmod命令将newfile文件的访问权限设置为所属用户有读、写和执行的权限,用户组有读、执行的权限,其他用户没有任何权限,再次查看并记录用户权限,发现修改成功。
方法二:以下用chmod函数编程实现改变文件访问权限:change_mode.c
使用gcc编译change_mode.c,并生成可执行文件change_mode,运行程序,得到输出结果
·
使用ll newfile命令查看文件/home/hzb/ myfolder/child/newfile的访问控制信息,发现访问权限改变。从中可以看到,显示的文件的执行权限信息与程序中的“MODE”
参数值0755是吻合的,即实验成功执行。
步骤6:改变文件或目录的所有权
首先进入root用户,进入/home路径,新建文件mytest1.txt,改变文件的访问控制权限为666,后查看文件权限;
打开mytest1.txt文件,在文件中输入数字“123456”并保存退出;此时将文件mytest1.txt复制到用户hzb目录下,进入/home/hzb目录下,查看文件mytest1.txt内容:得到123456。再次查看文件的访问控制权限,发现变成644但属组,属主没变。
使用zhang用户登录并查看文件的访问控制权限,权限还是644,属组,属主是root,此时,尝试在文件mytest1.txt中输入信息“testtext”,无权限无法写入
使用chown命令改变文件mytest1.txt的所有权,再次使用用户zhang对文件mytest1.txt 进行写操作,写入内容为“test test”,并用cat命令显示输出文件mytest1.txt的内容。可以看出在进行chown命令之前,zhang用户不能写mytest1.txt文件,在执行chown命令之后则可以对文件进行读写了。
在上面的实验中更改了mytest1.txt的属住,没有更改它的组,它的组仍然是root,下面把mytest1.txt文件所属的组修改为zhang
步骤7:配置并应用ACL管理文件的访问权限
步骤7-1:首先配置文件系统支持ACL:Linux系统默认可能支持ACL,若不支持,则需要进行配置。
(1)可以直接修改/etc/fstab文件。修改方法通常是打开/etc/fstab文件,在defaults 后面添加acl,然后输入命令#mount –o remount或者重启系统就可以了;
(2)或者也可以直接在命令行终端中安装ACL工具。
步骤7-2:以根用户身份登录系统,创建一个文件onn.txt,并查看/home/zhang目录下文件,看到onn.txt
步骤7-3:以zhang用户身份登录系统,进行写测试,以zhang用户身份进行写测试失败
步骤7-4:使用setfacl命令设置文件test.txt,使得用户hzb具有读写权限。可以使用getfacl命令查询文件ACL属性,可以看出设置ACL后,ll命令的输出中test.txt文件的权限后面多出一个“+”,这也是ACL执行的一个标志。
5.2.5 实验结果分析
(一)熟悉了su、sudo、useradd、passwd、groupadd、userdel、groupdel和chattr等Linux下常用命令的使用方法以及简单账号木马的工作原理。另一个是授权管理,进行了超级用户权限授权管理和利用插件式鉴别模块(PAM)认证机制进行权限控制。PAM是统一身份认证框架,基本思想是服务程序与认证机制的分离,在etc/pam/.d目录下存放配置文件,有四种模块,三种控制标记,任意组合能符合多种系统需求。
(二)进行了文件系统相关实验,包括文件的创建、打开与关闭以及文件的权限管理,对linux文件系统增强了解。其中文件的权限管理又包含设置或管理文件的访问权限、改变文件或目录的所有者和访问控制列表ACL三部分。 Linux针对多用户环境下文件管理提供套完善控制机制,但对于超级用户等角色文件操作危险性太高。
一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
计算机网络ACL配置实验报告 件)学院《计算机网络》综合性、设计性实验成绩单开设时间:xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验,模拟实现了对ACL的配置。在实验中,理解ACL对某些数据流进行过滤,达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解,如何控制非法地址访问自己的网络,以及为什么要进行数据过滤,对数据进行有效的过滤,可以使不良数据进入青少年中的视野,危害青少年的身心健康发展。该实验加深了我对网络的理解,同时加强了自身的动手能力,并将理论知识应用到实践当中。教师评语评价指标:l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R
1、R 2、R37(1)配置路由器R17(2)配置路由器R27(3)配置路由器R3 83、配置主机PC0、PC18(1)配置PC0的信息8(2)配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验,可以掌握如下技能: (1) ACL的概念(2) ACL的作用(3)根据网络的开放性,限制某些ip的访问(4)如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2,而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准,扩展以及命名ACL
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。
山西大学大学计算机与信息技术学院 实验报告 姓名学号专业班级计算机科学与技术 课程名称 Java实验实验日期2014/5/29 成绩指导教师陈千批改日期 实验名称实验7 成员访问控制与异常 一、实验目的 (l) 理解 Java 包的组织结构 ; (2) 学会编写带有包结构的程序 ; (3) 掌握包结构下的成员访问控制。 (4) 掌握基本异常的处理机制; (5) 熟悉 try 语句与 catch 语句的搭配使用; (6) 了解有异常处理与没有异常处理的差别; (7) 多重 catch 语句的使用; (8) 使用 Throws 声明异常和 Throw 抛出异常。 二、实验要求 编写 3 个类 , 类名分别为 Clock、A、B, 其中类 Clock 和类 A 放在同一个包 packone 中 , 而类 B 则放在另一个包 packtwo 中 , 包 packone 和包 packtwo 放在同一个目录下。类 Clock 中有 3 个整型数据 hour、minute、second, 它们分别是 public、private、protected, 类 Clock 还包含一些方法使用这些数据。类 A 和类 B 的功能相似 , 都是使用类 Clock 并调用类 C1ock 中的方法。请按照下面的实验步骤 , 循序渐进的完成实验 , 并回答后面的问题。 三、包的使用以及访问控制 (1) 首先在 c:\programming 目录下创建一个文件夹 , 命名为 packone, 然后在该文件夹下创建一个名叫 Clock.java 的程序 , 打开文本编辑器按程序清单输入该程序。 程序清单Clock.java package packone; public class Clock {
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
13.标准访问列表的实现 一.实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二.实训器材及环境 1.安装有packet tracer5.0模拟软件的计算机。 2.搭建实验环境如下: 三.实训理论基础 1.访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。 访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。 2.访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
3.ACL 的相关特性 每一个接口可以在进入(inbound )和离开(outbound )两个方向上分别应用一个ACL ,且每个方向上只能应用一个ACL 。 ACL 语句包括两个动作,一个是拒绝(deny )即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前,应用在接口进入方向的ACL 起作用。 在路由选择决定以后,应用在接口离开方向的ACL 起作用。 每个ACL 的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4.ACL 转发的过程 5.IP 地址与通配符掩码的作用规 32位的IP 地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP 地址的对应位必须匹配,通配符掩码为1的位所对应的IP 地址位不必匹配。 通配符掩码掩码的两种特殊形式: 一个是host 表示一种精确匹配,是通配符掩码掩码0.0.0.0的简写形式; 一个是any 表示全部不进行匹配,是通配符掩码掩码255.255.255.255的简写形式。 6.访问列表配置步骤 第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上。 7.访问列表注意事项 注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。如果必须要改变,只有先删除已存在的访问列表,然后创建一个新访问列表、然后将新访问列表用到相应的
成都工业学院计算机工程系 《路由与交换技术》实验报告 实验名称实验5、访问控制列表实验实验时间2016.05.09 21 学生姓名余铅波班级1405021 学号 指导教师张敏批阅教师成绩 一、实验目的: 在本练习中,您需要完成编址方案、配置路由并实施命名访问控制列表。 二、实验设备: 联网的PC机一台,安装有Windows操作系统,Packet Tracer。 三、实验拓扑图 四、实验内容(实验要求) a.将172.16.128.0/19 划分为两个相等的子网以用于Branch 。 1)将第二个子网的最后一个可用地址分配给Gigabit Ethernet 0/0 接口。 2)将第一个子网的最后一个可用地址分配给Gigabit Ethernet 0/1 接口。 3)将编址记录在地址分配表中。 4)使用适当的编址配置Branch 。 b.使用与B1 连接的网络的第一个可用地址,为B1 配置适当编址。将编址记录在地址分配表 中。 c.根据以下条件,使用增强型内部网关路由协议(EIGRP) 路由配置Branch 。 ?通告所有三个连接网络 ?分配AS 编号1 ?禁用自动总结。 ?将相应接口配置为被动接口 ?使用管理距离5 在序列0/0/0 接口上总结172.16.128.0/19。 d.在 HQ 上设置默认路由,将流量发送到S0/0/1 接口。将路由重新分配给Branch 。 e.使用管理距离5,总结Serial 0/0/0 接口上的 HQ LAN 子网。
f.设计命名访问列表HQServer 以防止任何连接Branch 路由器Gigabit Ethernet 0/0 接口的 计算机访问HQServer.pka 。允许所有其他流量。在相应的路由器上配置访问列表,将其 应用于相应的接口且保证方向正确。 g.设计命名访问列表 BranchServer 以防止任何连接HQ 路由器Gigabit Ethernet 0/0 接口 的计算机访问Branch 服务器的HTTP 和HTTPS 服务。允许所有其他流量。在相应的路由器上配置访问列表,将其应用于相应的接口且保证方向正确。 地址分配表 设备接口IP 地址子网掩码默认网关 HQ G0/0 172.16.127.254 255.255.192.0 未提供 G0/1 172.16.63.254 255.255.192.0 未提供 S0/0/0 192.168.0.1 255.255.255.252 未提供 S0/0/1 64.104.34.2 255.255.255.252 64.104.34.1 分支机构G0/0 未提供G0/1 未提供S0/0/0 192.168.0.2 255.255.255.252 未提供 HQ1 网卡172.16.64.1 255.255.192.0 172.16.127.254 HQ2 网卡172.16.0.2 255.255.192.0 172.16.63.254 HQServer.pka 网卡172.16.0.1 255.255.192.0 172.16.63.254 B1 网卡 B2 网卡172.16.128.2 255.255.240.0 172.16.143.254 BranchServer.pka 网卡172.16.128.1 255.255.240.0 172.16.143.254 五、实验步骤 步骤一:先对分配子网对分支机构的接口做配置 interface GigabitEthernet0/0 ip address 172.16.159.254 255.255.240.0 ip access-group HQServer in duplex auto speed auto interface GigabitEthernet0/1 ip address 172.16.143.254 255.255.240.0 duplex auto speed auto interface Serial0/0/0 ip address 192.168.0.2 255.255.255.252 ip summary-address eigrp 1 172.16.128.0 255.255.224.0 5 步骤二:配置ERGIP协议完成相关配置 router eigrp 1 passive-interface GigabitEthernet0/0
第十三章标准IP访问控制列表配置 实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 实验背景 你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。 技术原理 ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性; IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699; 标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤; 扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤; IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用; 实验步骤 新建Packet Tracer拓扑图 (1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP地址。 (3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1上编号的IP标准访问控制 (5)将标准IP访问控制应用到接口上。 (6)验证主机之间的互通性。
实验报告如有雷同,雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表(ACL)实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为和)。 【实验原理】 基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选 项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在 此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生 效,其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效,一般需要下面的配置步骤。 (1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】
步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。(2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装和和配置路由器。 (3)在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U,下载安装后见如下界面。 先新建域:
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 分类: 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表:
《网络互联技术》练习题 第七章:访问控制列表 参考答案 一、填空题 1、_访问控制列表_是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。 2、访问控制列表主要分为_标准访问控制列表_和扩展访问控制列表。 3、访问控制列表最基本的功能是_数据包过滤_。 4、标准访问控制列表的列表号范围是_1-99_。 5、将 66 号列表应用到fastethernet 0/0接口的in方向上去,其命令是_ip access-group 66 in 。 5、定义 77 号列表,只禁止192.168.5.0网络的访问,其命令是_access-list 77 deny 192.168.5.0 0.0.0.255;access-list 77 permit any_。 6、基于时间的访问控制列表,定义时间范围的关键字主要有两个,它们是_absolute_和_periodic_。 二、选择题 1、标准访问控制列表应被放置的最佳位置是在( B )。 A、越靠近数据包的源越好 B、越靠近数据包的目的地越好 C、无论放在什么位置都行 D、入接口方向的任何位置 2、标准访问控制列表的数字标识范围是( B )。 A、1-50 B、1-99 C、1-100 D、1-199 3、标准访问控制列表以( B )作为判别条件。 A、数据包的大小 B、数据包的源地址 C、数据包的端口号 D、数据包的目的地址 4、IP扩展访问列表的数字标示范围是多少? ( C )。 A、0-99 B、1-99 C、100-199 D、101-200 5、下面哪个操作可以使访问控制列表真正生效:( A )。 A、将访问控制列表应用到接口上 B、定义扩展访问控制列表 C、定义多条访问控制列表的组合 D、用access-list命令配置访问控制列表 6、以下对思科系列路由器的访问列表设置规则描述不正确的是( B )。 A、一条访问列表可以有多条规则组成 B、一个接口只可以应用一条访问列表
实验十二访问控制列表 一、试验目的 1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法 二、相关知识 访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配,一旦获得匹配,则后续的指令将被忽略。 路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围:1-99;扩展IP协议的ACL取值范围:100-199。 1标准ACL的相关知识 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 (1)标准ACL列表的定义 Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号(1-99) Deny:若测试条件成立,则拒绝相应的数据包 Permit:若测试条件成立,则接受相应的数据包 Source:源IP地址(网络或主机均可) Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 (2)标准ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。 注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表 2扩展ACL的相关知识 扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况
标准ACL(海映蓝天) 实验拓扑 实验目的 定义标准ACL 应用标准ACL access-class 应用 定义命名标准ACL 基本配置 R1(config)# access-list 2 remark ONLY HOST PC1 CAN TELNET R1(config)# access-list 2 permit host 192.168.1.2 R1(config)# line vty 0 4 R1(config-line)# access-class 2 in R1(config-line)# password cisco R1(config-line)# login
R2(config)# access-list 2 remark ONLY HOST PC1 CAN TELNET R2(config)# access-list 2 permit host 192.168.1.2 R2(config)# line vty 0 4 R2(config-line)# access-class 2 in R2(config-line)# password cisco R2(config-line)# login R3(config)# access-list 2 remark ONLY HOST PC1 CAN TELNET R3(config)# access-list 2 permit host 192.168.1.2 R3(config)#access-list 1 remark DENY NETWORK 192.168.2.0 FROM R1 R3(config)# access-list 1 deny 192.168.2.0 0.0.0.255 R3(config)# access-list 1 permit any R3(config)# interface serial3/0 R3(config-if)# ip access-group 1 in R3(config-if)# line vty 0 4 R3(config-line)# access-class 2 in R3(config-line)# password cisco R3(config-line)# login 定义ACL应用: 接口应用
实验报告 实验名称实验11访问控制列表及配置 实验拓扑图如下所示: PC1PC2 F0/0F0/0 10.1.1.2172.16.1.22960 192.168.100.2192.168.100.1 一、对设备连线并进行子网规划和基本配置 (1)R2: R2(config)#no ip domain lookup R2(config)#line console 0 R2(config-line)#logging synchronous R2(config-line)#exec-timeout 0 0 R2(config)#int s0/0/1 R2(config-if)#ip add 192.168.100.1 255.255.255.0 R2(config-if)#no shut R2(config-if)#int f0/0 R2(config-if)#ip add 10.1.1.1 255.0.0.0 R2(config-if)#no shut 配置RIP 协议 R2(config)#router rip R2(config-router)#network 192.168.100.0 R2(config-router)#network 10.0.0.0
(2)R3: R3(config)#int s0/2/1 R3(config-if)#ip add 192.168.100.2 255.255.255.0 R3(config-if)#no shut R3(config-if)#exit R3(config)#int f0/0 R3(config-if)#ip add 172.16.1.1 255.255.0.0 R3(config-if)#no shut 配置RIP协议 R2(config)#router rip R2(config-router)#network 192.168.100.0 R2(config-router)#network 10.0.0.0 PC1 ping PC2 R2#ping 172.16.1.2 Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 PC2 ping PC1 R3#ping 10.1.1.2 Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms 二、根据拓扑图,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。 (1)在R3 上配置标准ACL R3(config)#access-list 2 deny 10.0.0.0 0.255.255.255 R3(config)#access-list 2 permit any R3(config)#int f0/0 R3(config-if)#ip access-group 2 out PC1所在网络不能访问PC2所在网络(不可达) C:\Documents and Settings\Administrator>ping 172.16.1.2 Pinging 172.16.1.2 with 32 bytes of data: Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Ping statistics for 172.16.1.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms PC2 所在网络不能访问PC1 所在网络(超时)
全网以互联互通!如有什么疑问去看上一篇文章(拓扑图)! 下面我们来配置阻止VLAN 4的PC 拒绝访问我们VLAN2 里的 PC 因为是控制流量所有我们就用标准的控制列表(列表号1-99 1300-1999) 标准ACL(访问控制列表)我们做在离被访问越近越好!这里我们就应该放在虚拟VLAN2 接口 接下来配置 Multilayer Switch2 Switch>enable Switch#configure terminal Switch(config)#access-list 1 deny 192.168.4.0 0.0.0.255 (配置标准ACL 列表号1 拒绝 192.168.4.0网段) Switch(config)#access-list 1 permit any (允许其他所有) Switch(config)#interface vlan 2
Switch(config-if)#ip access-group 1 out (把控制列表放在VLAN2 接口出的方向) 结果! PC>ping 192.168.2.2 Pinging 192.168.2.2 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.2.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 不通! 成功!!(拒绝其他VLAN访问另外一个VLAN 只需稍稍改动) 下面配置扩展访问控制列表(由于功能配置相似,所以放在一个章节便于区分他们的不同) 扩展访问控制列表只是对应用服务的访问限制(例如:阻止一个网段不允许访问我WWW服务或FTP服务)! 由于实验要用到应用服务我们把VLAN2 一台主机换成服务器下面是TP!