访问控制列表
- 格式:ppt
- 大小:1.05 MB
- 文档页数:38


网络安全保障的第一道关卡
访问列表的种类划分
标准IP访问表
扩展的IP访问控制列表
管理和使用访问表
网络安全保障的第一道关卡
对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形,以及其他的一些功能 都可以通过访问表来达到目的。
访问列表的种类划分
目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。
协议(Protocol) ACL表号的取值范围(ACL Range)
IP(Internet协议) 1-99
Extended IP(扩展Internet协议) 100-199
AppleTalk 600-699
IPX(互联网数据包交换) 800-899
Extended IPX(扩展互联网数据包交换) 900-999
IPX service Advertising Protocol(IPX服务通告协议) 1000-1099
由于篇幅所限,本文只对标准访问列表和扩展访问列表进行讨论。
标准IP访问表
标准IP访问表的基本格式为:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
- 1 - 13. 标准访问列表的实现
一.实训目的
1.理解标准访问控制列表的概念和工作原理。
2.掌握标准访问控制列表的配置方法。
3.掌握对路由器的管理位置加以限制的方法。
二.实训器材及环境
1.安装有packet tracer5.0模拟软件的计算机。
2.搭建实验环境如下:
三.实训理论基础
1.访问列表概述
访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。
访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。
数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。
访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。
2.访问列表类型
访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
- 2 - 3.ACL的相关特性
每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。
ACL语句包括两个动作,一个是拒绝(deny)即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。
在路由选择进行以前,应用在接口进入方向的ACL起作用。
在路由选择决定以后,应用在接口离开方向的ACL起作用。
每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。
4.ACL转发的过程
5.IP地址与通配符掩码的作用规
32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配。
访问控制列表:
编号访问控制列表
标准IP访问控制列表
全局模式: Access-list 1~99 deny|permit any|host IP|网段 反掩码
Acc 1 deny host 192.168.10.2
Acc 1 permit any
Acc 1 permit 192.168.10.0 0.0.0.255
接口模式:ip acc 1 out
例: access-list 1 deny host 192.168.10.2
access-list 1 permit any
access-list 2 deny 192.168.10.0 0.0.0.255
access-list 2 permit any
ip access-group 2 in
ip access-group 1 out
编号扩展IP访问控制列表
Acc 100~199 deny|permit 协议 源IP地址 子网反掩码 目的地址子网反掩码 eq|gt|it|neq| range目的端口号
协议:tcp udp ftp smtp pop3
端口:http 80 telnet 23 smtp 25 dns 53
ftp 20,21 https 443 mail 110 eq 等于
gt大于
it 小于
neq不等于
range 介于
全局:
acc 101 premit tcp 192.168.10.0 0.0.0.255 host 192.168.40.2 eq 80
acc 101 deny tcp 192.168.10.0 0.0.0.255 host 192.168.40.2 eq 20
acc 101 deny tcp 192.168.10.0 0.0.0.255 host 192.168.40.2 eq 21
1、在交换机上增加病毒访问控制列表步骤
示例:
首先登陆到交换机上
switch>enable
switch#
switch#config t
switch(config)# ;在配置模式下,将病毒控制列表worm内容复制粘贴到交换机上
病毒访问控制列表worm内容:
ip access-list extended worm
deny tcp any any eq 27665
deny tcp any any eq 16660
deny tcp any any eq 65000
deny tcp any any eq 33270
deny tcp any any eq 39168
deny tcp any any eq 6711
deny tcp any any eq 6712
deny tcp any any eq 6776
deny tcp any any eq 6669
deny tcp any any eq 2222
deny tcp any any eq 7000
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 4444
deny tcp any any eq 5554
deny tcp any any eq 9996
deny tcp any any eq 3332
deny tcp any any eq 1068
deny tcp any any eq 455
deny udp any any eq 31335