第八章訪問控制列表與端口安全

第八章訪問控制列表與端口安全

10/26/20231本章課題8.1訪問控制列表簡介8.2編號訪問控制列表配置8.3命名訪問控制列表8.4基于時間訪問的控制列表8.5端口安全10/26/20232網(wǎng)絡(luò)安全隱患（1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。10/26/20233現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制10/26/20234VPN

虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測10/26/20235什么是訪問列表ISP√IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLIPACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進行數(shù)據(jù)包的過濾。10/26/20236訪問列表的作用訪問控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控制網(wǎng)絡(luò)通信流量等，同時ACL也是網(wǎng)絡(luò)訪問控制的基本安全手段。在路由器或交換機的接口上配置訪問控制列表后，可以對進出接口及通過接口中繼的數(shù)據(jù)包進行安全檢測。配置訪問控制列表的目的主要基于以下兩點。（1）限制路由更新。（2）限制網(wǎng)絡(luò)訪問。10/26/20237訪問控制列表類型標(biāo)準(zhǔn)IP訪問控制列表編號的標(biāo)準(zhǔn)IP訪問控制列表命名的標(biāo)準(zhǔn)IP訪問控制列表擴展IP訪問控制列表編號的擴展IP訪問控制列表命名的擴展IP訪問控制列表10/26/20238ACL的一些相關(guān)特性（1）每一個接口可以在進入（Inbound）和離開（Outbound）兩個方向上分別應(yīng)用一個ACL，且每個方向上只能應(yīng)用一個ACL。（2）ACL語句包括兩個動作，一個是拒絕（Deny），一個是允許（Permit）。（3）在路由器或交換機接口接收到報文時，應(yīng)用在接口進入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準(zhǔn)備從某一個接口輸出報文時，應(yīng)用在接口離開方向的ACL（外向ACL）起作用。（5）每個ACL的結(jié)尾有一個隱含的denyall（拒絕的所有數(shù)據(jù)包）語句。因此，如果包不匹配ACL中的任何語句，將被拒絕。

10/26/20239ACL的內(nèi)向匹配過程路由器取出內(nèi)向ACL的數(shù)據(jù)包進入路由器數(shù)據(jù)包進入路由器路由器取出內(nèi)向ACL的第一條語句允許還是拒絕？匹配項與數(shù)據(jù)包中的各項進行比較是否匹配匹配項與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL

下一條語句最后一條？允許進行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束10/26/202310ACL的外向匹配過程路由器取出外向ACL的第一條語句選擇離開接口是否匹配？匹配項與數(shù)據(jù)包中的各項進行比較取出外向ACL

下一條語句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開接口送出結(jié)束丟棄拒絕10/26/202311通配符掩碼通配符掩碼掩碼的二進制形式描述00000000.00000000.00000000.00000000整個lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配10/26/202312IP地址與通配符掩碼的作用規(guī)則

IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進行比較，通配符掩碼為0的位要求IP地址的對應(yīng)位必須匹配，通配符掩碼為1的位所對應(yīng)的IP地址位不必匹配，例如，IP地址 （相應(yīng)的二進制為11000000101010000000000100000000）通配符掩碼 55 （相應(yīng)的二進制為00000000000000000000000011111111）該通配符掩碼的前24位為0，對應(yīng)的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對應(yīng)的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說IP地址和通配符掩碼55匹配的結(jié)果是這個網(wǎng)段內(nèi)的所有主機。10/26/202313兩個特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼的簡寫形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語句。access-list10permit0或access-list10permithost0Any：表示全部不進行匹配，是通配符掩碼55的簡寫形式。例如，允許所有的IP地址的數(shù)據(jù)都通過，可使用以下兩種ACL語句。access-list10permit055或access-list10permitany10/26/202314配置訪問控制列表的步驟第一步是配置訪問控制列表語句第二步是把配置好的訪問控制列表應(yīng)用到某個端口上。10/26/202315訪問控制列表配置的注意事項（1）注意訪問控制列表中語句的次序，盡量把作用范圍小的語句放在前面。（2）新的表項只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問控制列表，然后創(chuàng)建一個新訪問控制列表，將新訪問控制列表用到相應(yīng)的接口上。（3）標(biāo)準(zhǔn)的IP訪問控制列表只匹配源地址，一般都使用擴展的IP訪問控制列表以達到精確的要求。（4）標(biāo)準(zhǔn)的訪問控制列表盡量靠近目的，擴展的訪問控制列表盡量靠近過濾源的位置，以免訪問控制列表影響其他接口上的數(shù)據(jù)流。（5）在應(yīng)用訪問控制列表時，要特別注意過濾的方向。（6）在編號ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫全面。10/26/202316配置標(biāo)準(zhǔn)IP訪問控制列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard-maskaccess-list-number的范圍是1~99訪問控制列表的動作：denylpermit10/26/202317應(yīng)用訪問控制列表到接口Ipaccess-groupaccess-list-numberin|out訪問控制列表只有被應(yīng)用到某個接口才能達到報文過濾的目的。接口上通過的報文有兩個方向，一個是通過接口進入路由器的報文，即in方向的報文，一個是通過接口離開路由器的報文，即out方向的報文，out也是訪問控制列表的默認方向。10/26/202318顯示訪問控制列表配置Showaccess-list[access-list-number]其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號的訪問控制列表配置細節(jié)，如果不指定則顯示所有訪問控制列表的配置細節(jié)。10/26/202319例8-1請在如圖8-3所示的路由器上配置ACL，實現(xiàn)PC1不能訪問網(wǎng)段，而PC2能訪問（假設(shè)各路由器各接口已配置好，并全網(wǎng)已連通）。

10/26/202320擴展IP訪問控制列表的配置access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcard-masksource-portdestination-addressdestination-wildcard-maskdestination-portlogoptions擴展IP訪問控制列表的編號范圍為100～199訪問控制列表的動作：permit或deny協(xié)議：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號：端口號的范圍是0~6553510/26/202321端口范圍運算符運算符及其語法描述例eqportnumber等于，用于指定單個的端口eq21或eqftpgtportnumber大于，用于指定大于某個端口的一個端口范圍gt1024ltportnumber小于，用于指定小于某個端口的一個端口范圍lt1024neqportnumber不等于，用于指定除了某個端口以外的所有端口neq21rangeportnumber1portnumber2指位于兩個端口號間的一個端口范圍range13514510/26/202322命名訪問控制列表的引入不管是標(biāo)準(zhǔn)IP訪問控制列表，還是擴展的IP訪問控制列表，其編號的范圍都不超過100個，這樣，就可能出現(xiàn)編號不夠用的情況；還有就是僅用編號區(qū)分的訪問控制列表不便于網(wǎng)絡(luò)管理員對訪問控制列表作用的識別。命名IP訪問控制列表是通過一個名稱而不是一個編號來引用的。命名的訪問控制列表可用于標(biāo)準(zhǔn)的和擴展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長度為100個字符。10/26/202323編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別（1）名字能更直觀地反映出訪問控制列表完成的功能。（2）命名訪問控制列表突破了99個標(biāo)準(zhǔn)訪問控制列表和100個擴展訪問控制列表的數(shù)目限制，能夠定義更多的訪問控制列表。（3）單個路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。（4）命名訪問控制列表是一個全局命令，它將使用者進入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動作的相關(guān)語句。（5）命名IP訪問控制列表允許刪除個別語句，當(dāng)一個命名訪問控制列表中的語句要被刪除時，只需將該語句刪除即可，而編號訪問控制列表中則需要將訪問控制列表中的所有語句刪除后再重新輸入。（6）命名訪問控制列表的命令為ipaccess-list，在命令中用standard和extended來區(qū)別標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表，而編號訪問控制列表的配置命令為access-list，并用編號來區(qū)別標(biāo)準(zhǔn)和擴展。10/26/202324創(chuàng)建標(biāo)準(zhǔn)命名IPACL的步驟（1）configureterminal進入全局配置模式。（2）ipaccess-liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進入access-list配置模式。（3）deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定報文是轉(zhuǎn)發(fā)或還是丟棄。hostsource代表一臺源主機，any代表任意主機。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。10/26/202325例8-3在三層交換機上進行ACL設(shè)置，以實現(xiàn)VLAN10的主機不能與VLAN30內(nèi)的主機進行通信，能與VLAN20內(nèi)的主機進行通信，而VLAN20可以和VLAN30的主機進行通信。10/26/202326命名擴展IP訪問控制列表配置（1）configureterminal進入全局配置模式。（2）ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進入access-list配置模式。（3）{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定匹配條件的報文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。操作符（operator）只能為eq。如果操作符在sourcesource-wildcard之后，則報文的源端口匹配指定值條件生效。如果操作符在destinationdestination-wildcard之后，則報文的目的端口匹配指定值條件生效。port為十進制值，它代表TCP或UDP的端口號，值范圍為0～65535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入訪問控制列表，如果不指定name參數(shù)，則顯示所有接入訪問控制列表。10/26/202327基于時間的訪問控制列表基于時間的訪問控制列表能夠應(yīng)用于編號訪問控制列表和命名訪問控制列表。為了實現(xiàn)基于時間的ACL功能，首先應(yīng)定義一個Time-range接口來指明日期時間范圍，與其他接口一樣，Time-range接口通過名稱來標(biāo)識。然后，將Time-range接口與對應(yīng)的ACL關(guān)聯(lián)起來，這是通過在ACL中用Time-range引用時間范圍實現(xiàn)的。10/26/202328路由器時鐘設(shè)置路由器時鐘設(shè)置在特權(quán)模式下進行，分為兩步：首先設(shè)置系統(tǒng)日期時間，然后用當(dāng)前系統(tǒng)時鐘更新路由器實時時鐘。配置命令為：Clocksethh:mm:ssdaymonthyear //設(shè)置系統(tǒng)日期時間Clockupdate-calender //更新路由器實時時鐘10/26/202329定義Time-range接口time-rangetime-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為Time-range接口的名稱，接口名稱長度為1～32個字符，中間不能有空格。Time-range接口命名后，就進入了時間定義模式，在此模式中還要使用absolute和periodic兩個命令定義具體的時間范圍。值得注意的是，一個時間范圍只能包括一個absolute絕對時間范圍和多個周期時間范圍。10/26/202330定義絕對時間范圍Absolute[startstart-ttmestart-date][endend-timeend-date]star-time、end-time分別用于指定開始和結(jié)束時間，使用24小時表示，其格式為“小時：分鐘”，start-date和end-date分別用于指定開始的日期和結(jié)束的日期，使用日/月/年的時間格式，而不是通常采用的月/日/年格式，這一點必須注意。命令中的start和end關(guān)鍵字都是可選的。當(dāng)省略start及其后面的時間、日期時，表示與之相聯(lián)系的ACL語句立即生效，并一直作用到end處的時間、日期為止；當(dāng)省略end及其后面的時間，表示與之相聯(lián)系的ACL語句在start處表示的時間、日期開始生效，并且永遠發(fā)生作用，當(dāng)然把訪問控制列表刪除了的話就不會起作用了。10/26/202331常用的時間定義形式時間定義描述Absolutestart17:00Absolutestart17:001decemdber2000Absoluteend17:00Absoluteend17:00ldecemdber2000Absolutestart8:00end20:00Absolutestart17:001decemdber2000end5:0031decemdber2000從配置的當(dāng)天17:00開始直到永遠從2000年12月1日17:00開始直到永遠從配置時開始直到當(dāng)天的17:00結(jié)束從配置時開始直到2000年12月1日17:00結(jié)束從8點開始到20點結(jié)束從2000年12月1日17:00開始直到2000年12月31日5:00結(jié)束10/26/202332定義周期、重復(fù)使用的時間范圍

Periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來定義時間范圍的一個命令。它可以使用大量的參數(shù)，其范圍可以是一個星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。10/26/202333periodic中的參數(shù)參數(shù)描述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日10/26/202334常用的時間范圍定義形式時間范圍定義描述Periodicweekend7:00to19:00Periodicweekday8:00to17:00Periodicdaily7:00to17:00Periodicstaturday17:00toMonday7:00PeriodicMondayFriday7:00to20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:0010/26/202335應(yīng)用時間訪問控制列表的注意事項

由于使用帶時間范圍的訪問控制列表依賴于路由器的系統(tǒng)時鐘，所以要保證路由器時鐘設(shè)置的準(zhǔn)確性。在time-range范圍命令中同時使用absolute和periodic語句10/26/202336例8-5要求從2008年1月1日起在每周工作時間段8:00到18:00內(nèi)禁止網(wǎng)段的主機訪問HTTP的數(shù)據(jù)流。10/26/202337交換機端口安全利用交換機的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)端口的安全地址綁定10/26/202338交換機端口安全如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后;如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。RestrictTrap：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。10/26/202339配置安全端口

端口安全最大連接數(shù)配置switchportport-security 打開該接口的端口安全功能switchportport-securitymaximumvalue 設(shè)置接口上安全地址的最大個數(shù)，范圍是1－128，缺省值為128。switchportport-securityviolation{protect|restrict|shutdown} 設(shè)置處理違例的方式注：1、端口安全功能只能在access端口上進行配置。2、當(dāng)端口因為違例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。10/26/202340配置安全端口端口的安全地址綁定switchportport-security打開該接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address] 手工配置接口上的安全地址。注：1、端口安全功能只能在access端口上進行配置。2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP10/26/202341端口安全的限制（1）一個安全端口不能是一個AggregatePort。（2）一個安全端口只能是一個AccessPort。（3）在端口上聲明的安全地址的數(shù)量限制。一個靜態(tài)模塊上的百兆端口（FastEthernet，固定在交換機上）上最多支持20個同時聲明IP地址和MAC地址的安全地址，一個動態(tài)模塊（可插拔模塊）上的端口最多支持110個同時聲明IP地址和MAC地址的安全地址。另外，由于這種同時聲明IP地址和MAC地址的安全地址占用的硬件資源與ACLs所占用的系統(tǒng)硬件資源共享，因此在某一個端口上應(yīng)用了ACLs，則相應(yīng)地該端口上所能設(shè)置的聲明IP地址的安全地址個數(shù)將會減少。（4）一個安全端口上的安全地址的格式保持一致，即一個端口上的安全地址要么全是綁定了IP地址的安全地址，要么都是綁定MAC地址的安全地址。10/26/202342例8-6在一個交