实训11-1 标准IP访问控制列表的配置
【实训目的】
(1)理解IP访问控制列表的原理及功能;
(2)掌握编号的标准IP访问控制列表的配置方法;
【实训技术原理】
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性;
IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、1300~1999,100~199、2000~2699;
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;
IP ACL 基于接口进行规则的应用,分为:入栈应用和出栈应用;
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
1.什么是访问控制列表
ACLs 的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃。按照其使用的范围,可以分为安全ACLs 和QoS ACLs。
对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。
总的来说,安全ACLs 用于控制哪些数据流允许从网络设备通过,Qos 策略对这些数据流进行优先级分类和处理。
ACLs 由一系列的表项组成,我们称之为接入控制列表表项(Access Control Entry:ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。
访问列表规则可以针对数据流的源地址、目标地址、上层协议,时间区域等信息。
访问控制列表语句的执行必须严格按照表中语句的顺序,从第一条语句开始比较,一旦一个数据包的报头跟表中的某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
2.基本IP访问控制列表
创建访问列表时,定义的规则将应用于设备上所有的分组报文,设备通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。
基本访问列表包括标准访问列表和扩展访问列表,访问列表中定义的典型规则主要有以下:
●源地址
●目标地址
●上层协议
●时间区域
标准IP 访问列表(编号为1 - 99,1300 - 1999)主要是根据源IP 地址来进行转发或阻断分组的,扩展IP 访问列表(编号为100 –199,2000 - 2699)使用以上四种组合来进行转发或阻断分组的。其他类型的访问列表根据相关特征来转发或阻断分组的。
对于单一的访问列表来说,可以使用多条独立的访问列表语句来定义多种规则,其中所有的语句引用同一个编号或名字,以便将这些语句绑定到同一个访问列表。不过,使用的语句越多,阅读和理解访问列表就越来越困难。
1)隐含“拒绝所有数据流”规则语句
在每个访问列表的末尾隐含着一条“拒绝所有数据流”规则语句,因此如果分组与任何规则都不匹配,将被拒绝。
如下例:
access-list 1 permit host 192.168.4.12
此列表只允许源主机为192.168.4.12 的报文通过,其它主机都将被拒绝。因为这条访问列表最后包含了一条规则语句:access-list 1 deny any。
又如:
Access-list 1 deny host 192.168.4.12
如果列表只包含以上这一条语句,则任何主机报文通过该端口时都将被拒绝。
2)输入规则语句的顺序
加入的每条规则都被追加到访问列表的最后,语句被创建以后,就无法单独
删除它,而只能删除整个访问列表。所以访问列表语句的次序非常重要。设备在决定转发还是阻断分组时,设备按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他规则语句。
假设创建了一条语句,它允许所有的数据流通过,则后面的语句将不被检查。如下例:
access-list 101 deny ip any any
access-list 101 permit tcp 192.168.12.0 0.0.0.255 eq telnet any
由于第一条规则语句拒绝了所有的IP 报文,所以192.168.12.0/24 网络的主机Telnet 报文将被拒绝,因为设备在检查到报文和第一条规则语句匹配,便不再检查后面的规则语句。
3)配置IP地址访问控制列表
基本访问列表的配置包括以下两步:
●定义基本访问列表
●将基本访问列表应用于特定接口
要配置基本访问列表,有以下两种方式:
方式一在全局配置模式下执行以下命令:
方式二在ACL 配置模式下执行以下命令:
4)显示IP 列表的配置
要监控访问列表,请在特权用户模式执行以下命令:
Ruijie# show access-lists [ id | name ] //此命令可以查看IP 访问列表
【实现功能】
实现网段间互相访问的安全控制;
【实训背景描述】
你是公司的网络管理员,公司的经理部、财务部门和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问;
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机【实训设备】
R1700(2台),PC(2台)、直连线(3条)、V.35线(1条)
【实训内容】
(1)按照拓扑进行网络连接
(2)配置路由器接口IP地址
(3)配置路由器静态路由
(4)配置编号的IP标准访问控制列表
(5)将访问列表应用到接口
【实训拓扑图】
【实训步骤】
(1)配置路由器R1、R2接口IP地址;
(2)配置R1、R2静态路由;
R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
用show ip route查看路由表,此时有直连路由,如R1
R1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.2.0 is directly connected, FastEthernet1/1
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.1.0 is directly connected, FastEthernet1/0
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.3.0 is directly connected, serial1/2
S 172.16.4.0 [1/0] via 172.16.3.2
(3)R2配置编号的IP标准访问控制列表
R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过
R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0网段的流量通过
验证测试
R2#show access-lists 1
Standard IP access list 1
1 deny 172.16.2.0 0.0.0.255 (0 matches)
1 permit 172.16.1.0 0.0.0.255 (0 matches)
(3)将访问列表应用到接口
R2(config)#interface fastethernet 1/0
R2(config-if)#ip access-group 1 out
【实训测试】
(1)用销售部主机172.16.2.8ping财务部主机172.16.4.2,不能ping通;
(2)用经理部主机172.16.1.2ping财务部主机172.16.4.2,能ping通;【实训问题】
(1)访问控制列表能否应用到其他接口,结果会怎样?
(2)为什么标准访问控制列表要尽量靠近目的地址的接口?
(3)访问控制列表应用到接口时,in和out方向有什么不同?
【实训注意事项】
(1)注意在访问控制列表的网络掩码是反掩码;
(2)标准控制列表要应用在尽量靠近目的地址的接口;
一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
计算机网络ACL配置实验报告 件)学院《计算机网络》综合性、设计性实验成绩单开设时间:xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验,模拟实现了对ACL的配置。在实验中,理解ACL对某些数据流进行过滤,达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解,如何控制非法地址访问自己的网络,以及为什么要进行数据过滤,对数据进行有效的过滤,可以使不良数据进入青少年中的视野,危害青少年的身心健康发展。该实验加深了我对网络的理解,同时加强了自身的动手能力,并将理论知识应用到实践当中。教师评语评价指标:l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R
1、R 2、R37(1)配置路由器R17(2)配置路由器R27(3)配置路由器R3 83、配置主机PC0、PC18(1)配置PC0的信息8(2)配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验,可以掌握如下技能: (1) ACL的概念(2) ACL的作用(3)根据网络的开放性,限制某些ip的访问(4)如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2,而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准,扩展以及命名ACL
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
防火墙如何阻止ip地址 防火墙阻止ip地址方法一: win7防火墙阻止ip的步骤: 1、点开始——控制面板; 2、点系统和安全; 3、点windows防火墙; 4、点高级设置; 5、点入站规则,点新建规则; 注:入站规则:别人电脑访问自己电脑。 6、选中自定义,不断地点下一步,一直到如下图所示窗口,选中【下列ip地址】,点添加按钮; 7、输入限制的ip地址,点确定; 8、返回到上级窗口,点下一步; 9、选中阻止连接,点下一步; 10、然后设置默认直到下级窗口,输入ip规则名称,点完成。 防火墙阻止ip地址方法二: win7防火墙不能对ip设置规则,可指定开放端口。 设置步骤如下: 1、点击开始,点击控制面板,点击windows防火墙; 2、点击高级设置; 3、点击入站规则,点击新建规则;
4、点击端口,点击下一步; 5、点击特定本地端口,输入18186,点击下一步; 6、点击允许连接; 7、点击下一步; 8、输入名称,点击完成即可。 相关阅读: ip原理 网络互联 nnt流量 网协是怎样实现的?网络互连设备,如以太网、分组交换网等,它们相互之间不能互通,不能互通的主要原因是因为它们所传送数据的基本单元(技术上称之为“帧”)的格式不同。ip协议实际上是一套由软件、程序组成的协议软件,它把各种不同“帧”统一转换成“网协数据包”格式,这种转换是因特网的一个最重要的特点,使所有各种计算机都能在因特网上实现互通,即具有“开放性”的特点。 数据包 那么,“数据包(data packet)”是什么?它又有什么特点呢?数据包也是分组交换的一种形式,就是把所传送的数据分段打成“包”,再传送出去。但是,与传统的“连接型”分组交换不同,它属于“无连接型”,是把打成的每个“包”(分组)都作为一个“独立的报文”传送出去,所以叫做“数据包”。这样,在开始通信之前就不需要先连接好一条电路,各个数据包不一定都通过同一条路径传输,所以叫做“无连接型”。这一特点非常重要,它大大提
南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
如何禁止修改TCP/IP属性 方法一:修改注册表法 注册表在Windows操作系统中起着很关键的作用,利用注册表的键值,可以屏蔽“Internet协议(TCP/IP)属性”对话框。 1.单击“开始→“运行”,在“运行”对话框的“打开”下拉文本框中输入命令“Regedit”(仅双引号内文字)后,单击“确定”按钮。 2.在“注册表编辑器”窗口中,依次展开左侧子窗口中的 “HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections分支; 3.在右侧子窗口的空白处单击鼠标右键,选择“新建→DWORD值”菜单(或者直接单击菜单栏中的“编辑→新建→DWORD值”),新建一个DWORD键值。 4.将新建的DWORD键值命名为“NC_LanChangeProperties”,并赋值为“0”, 5.新建的DWORD键值命名为“NC_EnableAdminProhibits”,并赋值为“1”,关闭“注册表编辑器”窗口。 方法二:停止服务法 服务是Windows 2000/XP/2003操作系统中新增的功能,与“本地连接属性”对话框直接关联的服务是“Network Connections”。因此只要停止该服务的运行,就不能打开“本地连接属性”对话框,也就无法修改IP地址了。 1.单击“开始→运行”菜单,在“打开”下拉文本框中输入命令“services.msc”(仅双引号内文字)后,单击“确定”按钮。或者,单击“开始→控制面板”,在“控制面板”窗口中双击“管理工具”图标,再双击“服务”图标。 2.在“服务”窗口右侧子窗口中,双击名为“Network Connections”的服务,单击“服务状态”处的“停止”按钮停止该服务的运行,再将“启动类型”处的值设为“已禁用”选项,最后单击“确定”按钮即可。 从此以后,虽然在“网络连接”窗口中仍可看见“本地连接”图标,但单击右键快捷菜单中的“属性”后,会提示“出现意外错误”,无法打开“本地连接属性”对话框,这样就无法修改IP地址了。 注意: 这种方法存在两个弊端: 1.当用户单击“查看→刷新”后,会得到错误信息对话框。稍微“懂行”的用户按提示信息就能轻而易举地破解。 2.由于“Network Connections”服务与网络连接有关,所以该服务被禁用后会影响到所有访问网络的操作,而且依赖此服务的“Windows防火墙”功能和“Internet连接共享”功能也将停止工作。 因此,除非计算机不接入任何网络中,否则不要使用这种方法。
4种方法限制修改ip地址 方法一:注销动态链接库文件法 在Windows 2000/XP/2003 Server操作系统中,有三个动态链接库文件(Netcfgx.dll、Netshell.dll和Netman.dll)与网络功能有关。只要将这三个文件注销,就能屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。 1.单击“开始→运行”菜单,在“打开”下拉文本框中输入命令“regsvr32 Netcfgx.dll /u”(仅双引号内文字)后,单击“确定”。如果执行成功,将显示提示信息。注意:命令中的regsvr32与Netcfgx.dll之间,Netcfgx.dll与/u之间,均需用空格间隔开。 2.将Netcfgx.dll换成Netshell. dll 和Netman.dll重复执行即可。 以后,无论是单击“网上邻居”右键菜单中的“属性”,还是双击“控制面板”窗口中的“网络连接”图标(实际上图标也更改了),都无法打开“网络连接”窗口,这样就无法通过“本地连接属性”对话框来修改IP地址了。如果要恢复修改IP地址的功能,只要将上述命令中的“/u”参数删除,然后重新执行一遍就行了。 方法二:修改组策略法 在Windows 2000/XP/2003 Server操作系统中“系统策略管理器”工具是默认的安装组件,用户只需运行命令“gpedit.msc”就可打开该工具,但名称更改为“组策略”(Windows 2000/XP 系统)或“组策略编辑器”(Windows 2003 Server系统)。 1.单击“开始→运行”,在“打开”下拉文本框中输入命令“gpedit.msc”(仅双引号内文字)后,单击“确定”按钮。 2.在“组策略”或“组策略编辑器”窗口中,依次展开左侧子窗口中的“本地计算机策略→用户配置→管理模板→网络→网络连接”项目。 3.双击右侧子窗口中的“禁止访问LAN连接组件的属性”选项,再单击“禁止访问LAN连接组件属性”对话框中的“已启用”单选按钮,单击“确定”按钮。 4.最后,关闭“组策略”或“组策略编辑器”窗口即可。以后,当普通用户打开“本地连接属性”对话框,选中“此连接使用下列项目”列表框中的“Internet协议(TCP/IP)”项目时,会发现其下的“属性”按钮已经变为灰色了,不能打开“Internet协议(TCP/IP)属性”对话框了,也就无法更改IP地址了。但是,此方法对以管理员身份登录系统的用户而言可能会无效,此时就还需启用“为管理员启用网络连接设置”选项,才能禁用“属性”按钮。 方法三:修改注册表法 注册表在Windows操作系统中起着很关键的作用,利用注册表的键值,可以屏蔽“Internet 协议(TCP/IP)属性”对话框。 1.单击“开始→“运行”,在“运行”对话框的“打开”下拉文本框中输入命令“Regedit”(仅双引号内文字)后,单击“确定”按钮。 2.在“注册表编辑器”窗口中,依次展开左侧子窗口中的 “HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections分 支; 3.在右侧子窗口的空白处单击鼠标右键,选择“新建→DWORD值”菜单(或者直接单击 菜单栏中的“编辑→新建→DWORD值”),新建一个DWORD键值。 4.将新建的DWORD键值命名为“NC_LanChangeProperties”,并赋值为“0”, 5.新建的DWORD键值命名为 “NC_EnableAdminProhibits”,并赋值为“1”,关闭“注册表编辑器”窗口。 方法四:停止服务法 服务是Windows 2000/XP/2003操作系统中新增的功能,与“本地连接属性”对话框直接关联的服务是“Network Connections”。因此只要停止该服务的运行,就不能打开“本地连接属性”对话框,也就无法修改IP地址了。 1.单击“开始→运行”菜单,在“打开”下拉文本框中输入命令“services.msc”(仅双引号内文字)后,单击“确定”按钮。或者,单击“开始→控制面板”,在“控制面板”窗口中双击“管理工具”图标,再双击“服务”图标。 2.
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
计算机如何禁止别人修改ip地址? 本人是微机室的负责人,最近在进行教学的时候总是有的网络连接不上,后来经检查才发现,计算机的ip被学生改乱,或者被停用,但改回来后又被改回,屡禁不止。后来我想到一个办法,问题终于得到解决。现在就将我的操作方法和大家共享一下. 开始---运行---gpedit.msc---管理模板---网络---网络连接,进行如下设置: 禁止访问LAN连接的属性:已启用 启用/禁用LAN连接的能力:已禁用 为管理员启用windows2000网络连接设置:已启用 这样本地连接属性中的停用按钮和属性按钮就变为灰色,不可用了。 下一步就是把gpedit.msc改名,文件在c:\windows\system文件夹中 将其改成只用你自己知道的名字(扩展名不能改)。 如果还不满意,就将改名的文件设为隐藏属性。 然后将下面的代码放入记事本: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\
CurrentVersion\\Explorer\\Advanced" "Text"="显示所有文件和文件夹" "Type"="radio" "CheckedValue"=dword:00000000 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 将其保存为reg文件,然后双击运行。 再将工具菜单-文件夹选项-查看-不显示隐藏的文件和文件夹。 哈哈!!!这时一般的学生恐怕很难找到你的文件了(工具-文件夹选项-查看-显示所有文件和文件夹也看不到)。可以通过修改注册表再改回来(自己思考怎么改,我就不多说了) 即使有高手找到了也没关系,现在再教你一招。就是干脆将.msc 文件移到他处保存起来,别人就无从下手了。或者使用证书进行加密(需改成NTFS文件系统),只要有证书在手,别人休想解密。具体方法我就不说了,有时间可以到网上查一下。 如果有必要,你可以删除开始菜单中的运行命令,并且禁用命令符。嘿嘿,不要太苛刻嘛!!! 那么自己以后再次修改ip(如192.168.1.19)怎么办呢?我是采用的方法非常简单:
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
使用IP地址来禁止内部用户上网 在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。 至于如何使用身份验证来禁止用户上网,会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。 在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。 如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。 就策略的选用上来说,我个人倾向于后面的那种,可能是因为我比较懒的原因:)。不过相信在大多数网络环境中都是采用的宽松定义的策略,我下面就以明确禁止客户上网来给大家讲讲如何进行设置。 一、通过IP来禁止 首先谈禁止IP的部分,这个适合于固定IP配置的用户。 操作步骤如下: 1、对需要禁止上网的客户新建一个地址集或者计算机集; 2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。 3、在防火墙策略中新建一个访问规则; 在这篇文章中,我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。 首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”;
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
HCNA实验手册 组名:一班一组 班级:网络安全一班
目录 实验一:HCNA 综合实验 (2) 实验目的: (2) 技术原理: (3) 实验拓扑: (3) 操作步骤: (4) 要求一: 内部客户端A属于VLAN 10,内部客户端B属于VLAN 20; (4) 要求二:内部三台交换机之间的双链路使用以太通道将链路聚合; (6) 要求三:内部三台交换机使用GVRP协议同步VLAN数据,内部三层交换机为SERVER角色; (9) 要求五: 边界两台路由器实现网关冗余,要求默认流量从边界路由器A向外传输;10要求六:内部路由使用OSPF协 (10) 要求七:分别映射两台WEB服务器的TCP 80端口至两台边界路由器的外部端口; (11) 要求八:不允许内部客户端A访问WEB服务器A;不允许内部客户端B访问WEB服务器的TCP 80端口。 (12) 基本配置九:ip地址的配置和一些vlan (13) 步骤七:测试 (15) 注意事项 (16) 实验:HCNA 综合实验 实验目的: 1 掌握hcna所学的所有技术的原理 2 掌握HCNA所学的所有技术的命令配置 1所使用的技术: vlan acl 三层技术 nat gvrp vrrp stp ip
技术原理: 1 vlan :虚拟局域网 2 acl:访问控制列表 3 三层技术:实验vlan间互通 4 nat :网络地址转换 5 gvrp:vlan 注册技术 6 vrrp : 虚拟路由冗余协议 7 stp :生成树 8 ip : 网际协议: 实验拓扑:
操作步骤: 要求一: 内部客户端A属于VLAN 10,内部客户端B属于VLAN 20; 1.内部客户端A属于VLAN 10 二层交换机 Sys SYSname 2SWA 1.2SWA 创建vlan vlan batch 10 interface Ethernet0/0/5 port link-type access port default vlan 10 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 #
标准ACL 实验人:高承旺 实验名称:标准acl 实验要求: 不让1.1.1.1 ping通3.3.3.3 实验拓扑: 实验步骤: 网络之间开启RIP协议! [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0
[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后,测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound
教你一招把本机的真实ip地址屏蔽 Windows 的安全要从Ping 抓起 Ping 探测是Windows系统中最常用的工具之一,它同时也是“网络流氓”寻找下手目标的最常用的工具,当“网络流氓”一次发送的数据包大于或等于65532K時,系统就很有可能死机,通过Ping 命令可以制造ICMP风暴,堵塞网络,所以Ping 命令对于系统的危害不可小覤,那么我们在Windows 200系统中,在没有防火墙保护的状态下,如何屏蔽Ping探测,避免系统被“网络流氓”盯上呢?你可以通过以下方法来实现。 步骤1 点击“网上邻居”,选择“属性”再指向要配置的“网卡”,再用右键选取“属性”,再依次点“TCP/IP”->“高级”->“选项”->“TCP/IP筛选”。 步骤 2 接着在TCP端口编辑框中点击“只允许”,在下面加上需要开的端口,一般打开80、20、21、25端口,应用于浏览网页,上传文件、收发邮件便行了。 步骤 3 编辑UDP端口,选择“全部不允许”,最右边的一个编辑框是定义IP协议过滤的,我们选择只允许TCP协议通过,点“确定”关闭设置框。 上面设置了“只允许TCP协议通过”,只可惜微软在这里的IP协议过滤并不包括ICMP协议,所以还需要在IP安全机制(IP Security)上着手。 步骤1 打开“本地安全策略”,选择“IP安全策略”,再指向“管理IP筛选器”,在IP过滤规则:ICMP_A NY_IN,源地址选“任何IP ”,目标地址选“我的IP地址”(本机),协议类型是“ICMP”,切换到“管理过滤器操作”,增加一个名为“Deny”的操作,操作类型为“阻止”。 步骤2 接着再用右键选取本机的IP安全策略,选择“新建IP安全策略”,建立一个名称为“ICMP Filter”的过滤器,通过增加过滤规则向导,我们把刚刚定义的ICMP_ANY_IN过滤策略指定给“ICMP Filter”。 最后在操作选框中选择我们刚刚定义的Deny 操作,退出向导窗口,右击“ICMP Filter”并启用它,现在任何地址进入的ICMP报文就都会被丢弃了。 在本地安全策略里启用新的过滤策略后,就会有一个关闭所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。通过此番设置后,您就再也不用担心“网络流氓”对系统进行骚扰了。 使用下面的软件,鬼都找不到你。 Steganos Internet Anonym Pro 6 这是一套功能强大的网路身份隐藏工具软件,所以请使用在正当的防卫用途。我们在网路上浏览网页或是下载各式各样的文件的同时,有成千上万的人使用监视用或是入侵用的软件正在虎视眈眈的预备攻击我们,而这套软件就是用来防止如此攻击或是窥视的工具软件,你可以透过这套软件很简单的隐藏自已的身份(ip)或是将我们所经过的网站讯息、Cookkies、暂存文件都消除,所以你可以如有网路隐形人一般的出入所有的网路,而不留痕迹