交換機(jī)路由器配置管理第二十二章訪問控制列表課件

1、24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理1第22章 訪問控制列表 主講：張平安教授24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理2學(xué)習(xí)目標(biāo)知識(shí)目標(biāo)掌握路由器的標(biāo)準(zhǔn)訪問控制列表的基本原理掌握路由器的擴(kuò)展訪問控制列表的基本原理技能目標(biāo)熟練掌握標(biāo)準(zhǔn)訪問控制列表的配置方法與技巧熟練掌握擴(kuò)展訪問控制列表的配置方法與技巧素養(yǎng)目標(biāo)培養(yǎng)初步的網(wǎng)絡(luò)訪問權(quán)限的設(shè)計(jì)能力培養(yǎng)自覺的信息安全意識(shí) 每課一屏了解網(wǎng)絡(luò)安全形勢(shì)24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理3路由器安全功能24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理4路由器主要功能是發(fā)現(xiàn)達(dá)到目標(biāo)網(wǎng)絡(luò)的路徑又是硬件防火墻配置訪問列表實(shí)現(xiàn)包過濾網(wǎng)絡(luò)地址轉(zhuǎn)換訪問列表24 七月 2022網(wǎng)絡(luò)

2、設(shè)備配置與管理5路由器配置訪問列表可以控制網(wǎng)絡(luò)流量，按規(guī)則過濾數(shù)據(jù)報(bào)文，提高網(wǎng)絡(luò)的安全性。 訪問控制列表分類24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理6包過濾規(guī)則稱為訪問列表。對(duì)于IP，IPX或Apple Talk網(wǎng)絡(luò)，其過濾規(guī)則有差異，IP網(wǎng)絡(luò)的稱為IP訪問列表(Access List)標(biāo)準(zhǔn)IP訪問列表 該種包過濾規(guī)則只對(duì)數(shù)據(jù)包中的源地址進(jìn)行檢查擴(kuò)展IP訪問列表 該種包過濾規(guī)則對(duì)數(shù)據(jù)包中的源地址、目的地址、協(xié)議(如TCP，UDP，ICMP，Telnet，F(xiàn)TP等)或者端口號(hào)進(jìn)行檢查認(rèn)識(shí)協(xié)議與端口號(hào)24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理7牢記ACL編號(hào)規(guī)則24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理8如

3、何判斷符合匹配規(guī)則24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理9標(biāo)準(zhǔn)和擴(kuò)展的IP ACL都允許用戶指定一個(gè)特定的IP地址或者一個(gè)IP地址范圍。如果數(shù)據(jù)包的地址屬于所配置的地址范圍之內(nèi)，那么數(shù)據(jù)包就符合匹配規(guī)則ACL的通配符掩碼定義了數(shù)據(jù)包地址中的哪部分需要匹配ACL中已列出的地址，以及哪些部分不需要匹配。特殊匹配地址24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理10訪問列表表項(xiàng)匹配規(guī)則用同一標(biāo)識(shí)號(hào)碼定義一系列access-list語(yǔ)句從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個(gè)語(yǔ)句的條件，則執(zhí)行該語(yǔ)句所定義的“允許”或者“拒絕”動(dòng)作，并且列表中的后續(xù)語(yǔ)句就不再處理。如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cis

4、co路由器默認(rèn)禁止該數(shù)據(jù)包通過，即丟掉該數(shù)據(jù)包。路由器在訪問列表最后默認(rèn)一條禁止所有數(shù)據(jù)包通過的語(yǔ)句。語(yǔ)句之間的排列順序很重要，因?yàn)榈谝淮纹ヅ浜?，剩下的語(yǔ)句就不再處理。24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理11思科兩個(gè)重要的ACL設(shè)計(jì)建議如何排列ACL陳述的順序?qū)⒈容^精確的陳述放在前面比較概括的陳述放在后面在網(wǎng)絡(luò)中的什么位置放置ACL有關(guān)對(duì)于標(biāo)準(zhǔn)ACL，Cisco建議將ACL盡可能的靠近目的主機(jī)對(duì)于擴(kuò)展ACL，應(yīng)盡可能地靠近源主機(jī)24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理12常用命令24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理13關(guān)于入站與出站24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理14入站表示流量從外源

5、進(jìn)入接口。對(duì)于入站ACL，在IOS將分組轉(zhuǎn)發(fā)到其他接口之前，ISO將分組和接口的ACL進(jìn)行比較。出站表示在流量出接口之前。對(duì)于出站ACL，在接口上接收分組，然后將分組轉(zhuǎn)發(fā)到出站接口，此時(shí)，IOS才將分組和ACL進(jìn)行比較。24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理15標(biāo)準(zhǔn)訪問控制列表學(xué)習(xí)情景24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理16擴(kuò)展訪問控制列表 學(xué)習(xí)情境24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理17任務(wù)與設(shè)計(jì)詳見標(biāo)準(zhǔn)訪問控制列表網(wǎng)絡(luò)系統(tǒng)參數(shù)設(shè)計(jì)擴(kuò)展訪問控制列表網(wǎng)絡(luò)系統(tǒng)參數(shù)設(shè)計(jì)訪問控制列表配置步驟確定訪問控制列表號(hào)設(shè)計(jì)訪問控制列表規(guī)則全局模式下配置訪問控制列表接口模式下綁定訪問控制列表24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理1824 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理19訪問控制列表任務(wù)實(shí)施相關(guān)準(zhǔn)備工作 配置交換機(jī)VLAN 配置路由器的IP 配置路由器的路由 配置ACL 驗(yàn)證拓展學(xué)習(xí)訪問控制列表除了上述介紹的標(biāo)準(zhǔn)ACL和擴(kuò)展ACL外，思科路由器產(chǎn)品還提供了命名ACL和基于時(shí)間的ACL，動(dòng)態(tài)ACL和自反ACL。24 七月 2022網(wǎng)絡(luò)設(shè)備配置與管理2024 七月 20