任務(wù)11 用訪問控制列表(ACL)限制計算機訪問

1、任務(wù)11：用訪問控制列表（acl）限制計算機訪問 了解訪問控制列表（1,訪問控制列表（access list,acl）是cisco ios所提供的一種訪問控制技術(shù)，是應(yīng)用到路由器接口的一組指令列表，路由器根據(jù)這些指令列表來決定是接收數(shù)據(jù)包還是拒絕數(shù)據(jù)包,acl使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對數(shù)據(jù)包進行過濾，從而達到訪問控制的目的,acl是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達到e

2、nd to end的權(quán)限控制目的，還需要和系統(tǒng)級以及應(yīng)用級的訪問權(quán)限控制結(jié)合使用,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 了解訪問控制列表（2,1、了解訪問控制列表（acl）的分類,標(biāo)準(zhǔn)訪問控制列表利用源ip地址來做過濾決定，配置簡單，但應(yīng)用場合有限，不能夠進行復(fù)雜條件的過濾；而擴展訪問控制列表則可以利用多個條件來做過濾：源ip地址、目標(biāo)ip地址、網(wǎng)絡(luò)層的協(xié)議字段和傳輸層的端口號,標(biāo)準(zhǔn)號碼式訪問控制列表的表號范圍為199，而擴展號碼式訪問控制列表的表號范圍為100199,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 了解訪問控制列表（3,2、了解訪問控制列表（acl）設(shè)置規(guī)則,設(shè)

3、置acl的目的一方面是保護資源結(jié)點，阻止非法用戶對資源結(jié)點的訪問；另一方面是限制特定的用戶結(jié)點所能具備的訪問權(quán)限,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 了解訪問控制列表（4,3、了解訪問控制列表中的協(xié)議,從圖中可以看出telnet、ftp、smtp協(xié)議依賴于tcp協(xié)議，而tcp協(xié)議又依賴于ip協(xié)議,因此，如果我們在訪問控制列表中只禁止ftp報文通過路由器，那么，其他的報文，如telnet、smtp的報文仍然可以通過路由器,下面的擴展訪問控制列表就是只禁止依賴于tcp協(xié)議的ftp報文通過路由器，其他報文都可以通過路由器,如果沒有后面的eq ftp，所有依賴于tcp協(xié)議的報文都不能通過

4、路由器，那么telnet、smtp和ftp的報文也就都不能通過路由器,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 了解訪問控制列表（5,4、理解訪問控制列表中的端口號,端口分為硬件領(lǐng)域的端口和軟件領(lǐng)域的端口。硬件領(lǐng)域的端口又稱接口，如計算機的com口、usb口、路由器的局域網(wǎng)口等；軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議接口，是一種抽象的軟件結(jié)構(gòu)，包括一些數(shù)據(jù)結(jié)構(gòu)和i/o（基本輸入輸出）緩沖區(qū),訪問控制列表中的端口號指的是軟件領(lǐng)域的端口編號。按端口號可分為3大類,公認(rèn)端口（wellknown ports）。編號從0到1023，它們緊密綁定（binding）于一些服務(wù)，

5、明確表明了某種服務(wù)的協(xié)議。例如：21端口總是ftp通訊，80端口總是http通訊。 注冊端口（registered ports）。編號從1024到49151，它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。 動態(tài)/私有端口（dynamic and/or private ports）。從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實際上，計算機通常從1024起分配動態(tài)端口,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 了解訪問控制列表（6,一些端口常常會被黑客利用，還會被一些木馬病毒利用

6、，對計算機系統(tǒng)進行攻擊，了解這些端口可以幫助網(wǎng)絡(luò)管理員針對這些端口進行限制,l8080端口 8080端口同80端口，是被用于www代理服務(wù)的，可以實現(xiàn)網(wǎng)頁瀏覽，經(jīng)常在訪問某個網(wǎng)站或使用代理服務(wù)器的時候，會加上“:8080”端口號,l21端口 ftp服務(wù)，ftp服務(wù)器所開放的端口。用于上傳、下載文件,l23端口 telnet遠程登錄服務(wù),l25端口 smtp簡單郵件傳輸服務(wù)。smtp服務(wù)器所開放的端口，用于發(fā)送郵件,l80端口 http服務(wù)，用于網(wǎng)頁瀏覽,l110端口 pop3服務(wù)，pop3服務(wù)器開放此端口，用于接收郵件，客戶端訪問服務(wù)器端的郵件服務(wù)。pop3服務(wù)有許多公認(rèn)的弱點,任務(wù)11：用訪

7、問控制列表（acl）限制計算機訪問 了解訪問控制列表（7,l119端口 news新聞組傳輸協(xié)議端口，承載usenet通信。這個端口的連接通常是人們在尋找usenet服務(wù)器。多數(shù)isp限制，只有他們的客戶才能訪問他們的新聞組服務(wù)器,l135端口 location service服務(wù)。 hacker掃描計算機的這個端口是為了找到這個計算機上運行exchange server嗎？什么版本？還有些dos攻擊直接針對這個端口,l137、138、139端口 netbios name service服務(wù),l161端口 snmp服務(wù),snmp允許遠程管理設(shè)備。所有配置和運行的信息都儲存在數(shù)據(jù)庫中，通過snmp

8、可獲得這些信息,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （1,號碼式acl分為標(biāo)準(zhǔn)號碼式acl和擴展號碼式acl兩種。前者基于源地址過濾，后者可以基于源地址、目標(biāo)地址、第三層協(xié)議和第四層端口進行復(fù)雜的組合過濾,當(dāng)網(wǎng)絡(luò)管理員想要阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許某一特定網(wǎng)絡(luò)的所有流量通過某個路由器的出口時可以使用標(biāo)準(zhǔn)號碼式acl,由于標(biāo)準(zhǔn)號碼式acl只基于源地址來過濾數(shù)據(jù)包，所以一些復(fù)雜的過濾要求就不能實現(xiàn)，這時就需要使用擴展號碼式acl來進行過濾,1、配置標(biāo)準(zhǔn)號碼式acl 限制計算機訪問,1）了解標(biāo)準(zhǔn)號碼式acl的設(shè)置命令,標(biāo)準(zhǔn)號

9、碼式acl的配置是使用全局配置命令access-list來定義訪問控制列表,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （2,可以在全局配置模式下通過執(zhí)行access-list命令前面加no的形式，來移去一個已經(jīng)遍歷的標(biāo)準(zhǔn)acl,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （3,為了說明對通配符掩碼的操作，假設(shè)企業(yè)擁有一個c類網(wǎng)絡(luò)。如果不使用子網(wǎng)，當(dāng)配置網(wǎng)絡(luò)中的工作站時，使用的子網(wǎng)掩碼為。在這種情況下，tcp/ip協(xié)議棧只匹配報文中的網(wǎng)絡(luò)地

10、址，而不匹配主機地址。而標(biāo)準(zhǔn)訪問列表中，如果是 55，則表示匹配源網(wǎng)絡(luò)地址中的所有報文,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （4,2）了解在路由器接口上應(yīng)用標(biāo)準(zhǔn)號碼式acl的命令,將一個訪問控制列表應(yīng)用于接口分為三步：首先要定義一個訪問控制列表，然后指定應(yīng)用的接口，最后用ip access-group命令定義數(shù)據(jù)流的方向,要將訪問列表1應(yīng)用于快速以太網(wǎng)接口0/1的出口方向需要使用如下命令定義接口,要將訪問列表50應(yīng)用于串行接口0/1的入口方向需要使用如下命令定義接口,在接口上應(yīng)用訪問列表時需要指定

11、方向，用ip access-group命令來定義,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （5,2）了解在路由器接口上應(yīng)用標(biāo)準(zhǔn)號碼式acl的命令,如果是在vty線路上使用訪問控制列表則使用access-class list-numberin|out格式的命令。而不是使用ip access-group命令,例如，只允許指定的計算機telnet登錄到路由器，可以用以下方式,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （6,3）配置標(biāo)準(zhǔn)號碼式acl并應(yīng)用于路由器端口,企業(yè)的財務(wù)部、銷售部和

12、其他部門分屬于三個不同的網(wǎng)段，部門之間的數(shù)據(jù)通過路由器，企業(yè)規(guī)定只有銷售部可以訪問財務(wù)部，其他部門的計算機不允許訪問財務(wù)部。 網(wǎng)絡(luò)管理員分配財務(wù)部地址/24，網(wǎng)絡(luò)接入路由器的f0/0接口；銷售部地址/24，銷售部網(wǎng)絡(luò)接入路由器的f0/1接口；其他部門地址為/24，網(wǎng)絡(luò)接入路由器的f1/0接口,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （7,2、配置擴展號碼式acl限制計算機訪問,標(biāo)準(zhǔn)號碼式acl只是利用報文字段中源地址進行過濾，而擴展號碼式acl則可以根據(jù)源和目的地址、協(xié)議

13、、源和目的的端口號以及一些選項來進行過濾，提供了更廣闊的控制范圍，應(yīng)用也更為廣泛,1）了解擴展號碼式acl的設(shè)置命令,擴展號碼式acl中的參數(shù)有些和標(biāo)準(zhǔn)號碼式acl中的參數(shù)一樣,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （8,eq、gt、lt、neq、range等操作符的意思解釋如表所示,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （9,2）配置擴展號碼式acl并應(yīng)用于路由器端口,某企業(yè)銷售部網(wǎng)絡(luò)地址/24，連接于路由器的f0/0口；研發(fā)部網(wǎng)絡(luò)地址192.168.

14、2.0/24，連接于路由器的f0/1口；服務(wù)器群地址為/24，連接于路由器的f1/0口。銷售部禁止訪問ftp服務(wù)器，允許其他訪問,注意擴展號碼式acl盡量應(yīng)用在離源地址近的接口上,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （10,3）按要求完成擴展號碼式acl配置,路由器r1、r2、r3按下圖連接，r1的局域網(wǎng)口e1/0、e1/1、e1/2和e1/3分別連接a、b、c和d四臺計算機，地址分配如圖中所示，所有路由器運行rip協(xié)議。網(wǎng)絡(luò)已經(jīng)可以互聯(lián)互通。以下的幾個要求都是基于這個網(wǎng)絡(luò)環(huán)境，我們根據(jù)不同要求來配置擴展號碼式

15、訪問控制列表,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （11,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置號碼式訪問控制列表（acl）限制計算機訪問 （12,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置命名式訪問控制列表（acl）限制計算機訪問 （1,號碼式acl不能從列表中刪除某一條控制條目，刪除一條相當(dāng)于去除整個訪問控制列表。而命名式訪問控制列表可以刪除某一特定的條目，有助于網(wǎng)絡(luò)管理員修改acl,命名式訪問控制列表分為標(biāo)準(zhǔn)命名式訪問控制列表和擴展命名式訪問控制列表,命名式訪問控制列表是在標(biāo)準(zhǔn)acl和擴展acl中，

16、使用一個名稱來代替列表號。這個名稱是字母和數(shù)字的組合字符串。這個字符串可以用一個有意義的名字來幫助網(wǎng)絡(luò)管理員記憶所設(shè)置的訪問控制列表的用途,1、配置標(biāo)準(zhǔn)命名式acl限制計算機訪問,命名式訪問控制列表分為標(biāo)準(zhǔn)命名式訪問控制列表和擴展命名式訪問控制列表,list-name是標(biāo)準(zhǔn)命名式訪問控制列表的表名，可以是199的數(shù)字或是字母和數(shù)字的任意組合,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 配置命名式訪問控制列表（acl）限制計算機訪問 （2,還是拿前面標(biāo)準(zhǔn)號碼式的例子來做對比，標(biāo)準(zhǔn)號碼式配置如下,而如果采用標(biāo)準(zhǔn)命名式，配置就變?yōu)槿缦?列表號20被名稱denyqtbm代替了,任務(wù)11：用訪問控

17、制列表（acl）限制計算機訪問 配置命名式訪問控制列表（acl）限制計算機訪問 （3,2、配置擴展命名式acl限制計算機訪問,list-name是擴展命名式訪問控制列表的表名，可以是100199的數(shù)字，也可以是字母和數(shù)字的任意組合,擴展命名式訪問控制列表分兩步來定義,下面將擴展命名式訪問控制列表的配置與擴展號碼式做一個比較。還是利用前面的例子，擴展號碼式配置如下,而采用擴展命名式訪問控制列表，利用名稱denyftp來代替列表號101，配置變成如下,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （1,一、實訓(xùn)名稱 用訪問控制列表實現(xiàn)企業(yè)網(wǎng)中部分計算機訪問互聯(lián)網(wǎng)

18、 二、實訓(xùn)目的 1、了解號碼式訪問控制列表和命名式訪問控制列表。 2、掌握標(biāo)準(zhǔn)號碼式訪問列表的配置方法。 3、掌握訪問控制列表的查看方法。 三、實訓(xùn)內(nèi)容 企業(yè)內(nèi)部部門和部門之間的訪問經(jīng)常需要加以限制，如銷售部經(jīng)理可以訪問財務(wù)部，而銷售部其他成員不允許訪問財務(wù)部；有些企業(yè)只允許部分計算機訪問互聯(lián)網(wǎng)；學(xué)校里教師辦公室的計算機允許訪問ftp服務(wù)器，而學(xué)生宿舍計算機不允許訪問ftp服務(wù)器。學(xué)生可以根據(jù)自己的實訓(xùn)條件模擬各種情況。本實訓(xùn)就是模擬一個企業(yè)的部分計算機可以訪問互聯(lián)網(wǎng)的情境,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （2,四、實訓(xùn)環(huán)境 1、用兩臺cisc

19、o2621路由器、一臺二層交換機和兩臺計算機按如圖所示的方式連接，組成實驗環(huán)境。其中，一臺路由器模擬互聯(lián)網(wǎng)環(huán)境，打開一個環(huán)回接口loopback 0，供計算機訪問；另一臺路由器作為企業(yè)網(wǎng)絡(luò)的接入路由器。 2、交換機上有沒有劃分vlan，如果有劃分，刪除劃分的vlan。 3、配置路由器主機名、接口和路由表，配置計算機的ip地址、網(wǎng)關(guān)等，在兩臺計算機上可以ping通isp路由器的loopback 0口。 4、routerb上配置訪問列表,禁止pc1訪問routera上的loopback 0口(模擬互聯(lián)網(wǎng)),而允許/24網(wǎng)絡(luò)上的其他計算機訪問routera上的loopback

20、0口,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （3,五、實訓(xùn)要求分析和設(shè)備準(zhǔn)備,1、分析實訓(xùn)要求。 2、要完成這個實訓(xùn)任務(wù)，就需要首先找到滿足實訓(xùn)要求的路由器2臺，每個路由器至少要有一個廣域網(wǎng)接口，需要準(zhǔn)備一根公頭的連接廣域網(wǎng)口的電纜，和一根母頭的連接廣域網(wǎng)口的電纜，把兩個路由器連接起來。 3、需要一臺沒有劃分vlan的交換機。由于學(xué)校實訓(xùn)室的交換機經(jīng)常被使用的學(xué)生劃分vlan,可能導(dǎo)致實訓(xùn)無法完成，所以，學(xué)生要注意查看有沒有劃分vlan。 4、至少需要兩臺計算機。因為要實現(xiàn)部分計算機能訪問互聯(lián)網(wǎng)，其他計算機不能訪問互聯(lián)網(wǎng)。 5、要根據(jù)實驗環(huán)境考慮使用

21、直通雙絞線還是交叉雙絞線、需要幾根。 6、需要預(yù)先規(guī)劃好每個網(wǎng)絡(luò)的ip地址。以表格的形式填寫路由器每個接口需要配置的信息，并對照要求檢查配置是否完整。 分析工作要有一個組織者，要統(tǒng)一大家的意見。這個組織者最終也是這個實訓(xùn)任務(wù)的決策、計劃、實施、檢查的組織者和調(diào)度者,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （4,六、決策和計劃,1、準(zhǔn)備網(wǎng)絡(luò)拓?fù)鋱D,2、規(guī)劃ip地址。必須在規(guī)劃好ip地址后能夠完成后續(xù)的工作,3、準(zhǔn)備各種表格。這一點是很重要的，因為沒有預(yù)先準(zhǔn)備好各種表格，大家就無法協(xié)同完成任務(wù),4、進行任務(wù)分配。誰來完成線纜的準(zhǔn)備、誰來完成設(shè)備的連接、誰來

22、完成設(shè)備的配置,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （5,七、實施與檢查步驟,1、路由器a的參考配置（模擬互聯(lián)網(wǎng),2、路由器b的參考配置,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （6,3、配置訪問列表,這里定義了一個標(biāo)準(zhǔn)號碼式訪問控制列表，表號50，這個訪問列表被應(yīng)用于快速以太網(wǎng)口f0/0，并指定了數(shù)據(jù)流進入的訪問為in。該訪問控制列表禁止主機的ip數(shù)據(jù)包進入路由器的f0/0端口，而允許網(wǎng)絡(luò)/24內(nèi)的其他主機的ip數(shù)據(jù)包流入,可以用如下命令查看某個指定的訪問控制列

23、表。 show access-list list-number|list-name,也可以用show access-list命令查看所有的訪問控制列表。 如果只想顯示ip的訪問控制列表，也可以用show ip access-list命令,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （7,4、驗證訪問控制列表,此時，從pc1(ip地址為)上已經(jīng)不能ping通isp路由器的loopback 0口，而pc2（ip地址為）可以ping通isp路由器的loopback 0口。說明訪問控制列表已經(jīng)生效,到這里，我們的任務(wù)就已

24、經(jīng)完成了。下面開始我們來進行一些探究性的研究，有助于我們更好地掌握訪問控制列表知識,任務(wù)11：用訪問控制列表（acl）限制計算機訪問 訪問控制列表（acl）配置實訓(xùn) （8,5、刪除訪問列表，看看從pc1上能不能ping通isp路由器的loopback 0口?應(yīng)該是可以ping通的。 routerb(config)#no access-list 50 執(zhí)行上述命令后，50號訪問控制列表就被去除了,6、如果在路由器b上再做如下配置，又重新加上了50號訪問控制列表，只是這次50號訪問控制列表中只有一條語句。這樣配置后，pc1和pc2都不能ping通，因為在訪問列表中沒有peimit語句,而在訪問控制列表的最后隱含了deny語句。也就是說，訪問控制列表拒絕了所有的ip數(shù)據(jù)包，不僅僅是拒絕pc1的訪問。 routerb(config)#access-lis