第 網(wǎng)絡(luò)安全IP訪問控制列表

會計學(xué)1第網(wǎng)絡(luò)安全IP訪問控制列表訪問列表的應(yīng)用允許、拒絕數(shù)據(jù)包通過路由器允許、拒絕Telnet會話的建立沒有設(shè)置訪問列表時，所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸虛擬會話(IP)端口上的數(shù)據(jù)傳輸?shù)?頁/共41頁

標準檢查源地址通常允許、拒絕的是完整的協(xié)議

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是訪問列表--標準第2頁/共41頁

標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表--擴展第3頁/共41頁

標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議進方向和出方向

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表第4頁/共41頁Inbound

InterfacePacketsNYPacketDiscardBucketChooseInterface

NAccessList

?RoutingTable

Entry

?YOutbound

InterfacesPacketS0出端口方向上的訪問列表第5頁/共41頁Outbound

InterfacesPacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NPacketTestAccessListStatementsPermit

?Y出端口方向上的訪問列表AccessList

?YS0E0Inbound

InterfacePackets第6頁/共41頁NotifySender出端口方向上的訪問列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets第7頁/共41頁訪問列表的測試：允許和拒絕PacketstointerfacesintheaccessgroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit第8頁/共41頁訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第9頁/共41頁訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit第10頁/共41頁訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN第11頁/共41頁訪問列表配置指南訪問列表的編號指明了使用何種協(xié)議的訪問列表每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴格限制條件的語句應(yīng)放在訪問列表所有語句的最上面在訪問列表的最后有一條隱含聲明：denyany－每一條正確的訪問列表都至少應(yīng)該有一條允許語句先創(chuàng)建訪問列表，然后應(yīng)用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)第12頁/共41頁訪問列表設(shè)置命令Step1:設(shè)置訪問列表測試語句的參數(shù)access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#第13頁/共41頁Step1:設(shè)置訪問列表測試語句的參數(shù)Router(config)#Step2:在端口上應(yīng)用訪問列表ipaccess-groupaccess-list-number{in|out}Router(config-if)#訪問列表設(shè)置命令I(lǐng)P訪問列表的標號為1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}第14頁/共41頁如何識別訪問列表號編號范圍訪問列表類型IP

1-99Standard標準訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址第15頁/共41頁編號范圍訪問列表類型如何識別訪問列表號IP

1-99100-199StandardExtended標準訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址擴展訪問列表(100to199)檢查源地址和目的地址、具體的TCP/IP協(xié)議和目的端口第16頁/共41頁編號范圍1-991300-1999Name(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed訪問列表類型如何識別訪問列表號標準訪問列表檢查IP數(shù)據(jù)包的源地址擴展訪問列表

檢查源地址和目的地址、具體的TCP/IP協(xié)議和目的端口其它訪問列表編號范圍表示不同協(xié)議的訪問列表ExtendNamed第17頁/共41頁例如9檢查所有的地址位可以簡寫為host(host9)Testconditions:Checkalltheaddressbits(matchall)9

(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩碼指明特定的主機第18頁/共41頁所有主機:55可以用any簡寫Testconditions:Ignorealltheaddressbits(matchany)

55(ignoreall)AnyIPaddressWildcardmask:通配符掩碼指明所有主機第19頁/共41頁標準IP訪問列表的配置access-listaccess-list-number{permit|deny}source[inverse-mask]Router(config)#為訪問列表設(shè)置參數(shù)IP標準訪問列表編號1到99“noaccess-listaccess-list-number”命令刪除訪問列表第20頁/共41頁access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上應(yīng)用訪問列表指明是進方向還是出方向“noipaccess-groupaccess-list-number”命令在端口上刪除訪問列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問列表設(shè)置參數(shù)IP標準訪問列表編號1到99缺省的通配符掩碼=“noaccess-listaccess-list-number”命令刪除訪問列表標準IP訪問列表的配置第21頁/共41頁3E0S0E1Non-標準訪問列表舉例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)第22頁/共41頁Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標準訪問列表舉例1第23頁/共41頁Denyaspecifichost標準訪問列表舉例23E0S0E1Non-access-list1deny3第24頁/共41頁標準訪問列表舉例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)第25頁/共41頁access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out標準訪問列表舉例23E0S0E1Non-Denyaspecifichost第26頁/共41頁在路由器上過濾vty五個虛擬通道(0到4)路由器的vty端口可以過濾數(shù)據(jù)在路由器上執(zhí)行vty訪問的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0第27頁/共41頁如何控制vty訪問01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用標準訪問列表語句用access-class

命令應(yīng)用訪問列表在所有vty通道上設(shè)置相同的限制條件Router#e0第28頁/共41頁虛擬通道的配置指明vty通道的范圍在訪問列表里指明方向access-classaccess-list-number{in|out}linevty#{vty#|vty-range}Router(config)#Router(config-line)#第29頁/共41頁虛擬通道訪問舉例只允許網(wǎng)絡(luò)

內(nèi)的主機連接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess第30頁/共41頁標準訪問列表和擴展訪問列表

比較標準擴展基于源地址基于源地址和目標地址允許和拒絕完整的TCP/IP協(xié)議指定TCP/IP的特定協(xié)議和端口號編號范圍100-199和2000-2699編號范圍1-99和1300-1999第31頁/共41頁擴展IP訪問列表的配置Router(config)#設(shè)置訪問列表的參數(shù)access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第32頁/共41頁Router(config-if)#ipaccess-groupaccess-list-number{in|out}擴展IP訪問列表的配置在端口上應(yīng)用訪問列表Router(config)#設(shè)置訪問列表的參數(shù)access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第33頁/共41頁拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)3E0S0E1Non-擴展訪問列表應(yīng)用舉例1access-list101denytcp

5555eq21access-list101denytcp5555eq20第34頁/共41頁拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例13E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)第35頁/共41頁access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例13E0S0E1Non-第36頁/共41頁拒絕子網(wǎng)

內(nèi)的主機使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例23E0S0E1Non-access-list101denytcp55anyeq