交換機(jī)路由器配置管理第二十二章訪問(wèn)控制列表

2023/12/7可編輯1第22章訪問(wèn)控制列表主講：張平安教授2023/12/7可編輯2學(xué)習(xí)目標(biāo)知識(shí)目標(biāo)掌握路由器的標(biāo)準(zhǔn)訪問(wèn)控制列表的基本原理掌握路由器的擴(kuò)展訪問(wèn)控制列表的基本原理技能目標(biāo)熟練掌握標(biāo)準(zhǔn)訪問(wèn)控制列表的配置方法與技巧熟練掌握擴(kuò)展訪問(wèn)控制列表的配置方法與技巧素養(yǎng)目標(biāo)培養(yǎng)初步的網(wǎng)絡(luò)訪問(wèn)權(quán)限的設(shè)計(jì)能力培養(yǎng)自覺(jué)的信息安全意識(shí)每課一屏了解網(wǎng)絡(luò)安全形勢(shì)2023/12/7可編輯3路由器安全功能2023/12/7可編輯4路由器主要功能是發(fā)現(xiàn)達(dá)到目標(biāo)網(wǎng)絡(luò)的路徑又是硬件防火墻配置訪問(wèn)列表實(shí)現(xiàn)包過(guò)濾網(wǎng)絡(luò)地址轉(zhuǎn)換訪問(wèn)列表2023/12/7可編輯5路由器配置訪問(wèn)列表可以控制網(wǎng)絡(luò)流量，按規(guī)則過(guò)濾數(shù)據(jù)報(bào)文，提高網(wǎng)絡(luò)的安全性。訪問(wèn)控制列表分類(lèi)2023/12/7可編輯6包過(guò)濾規(guī)則稱為訪問(wèn)列表。對(duì)于IP，IPX或AppleTalk網(wǎng)絡(luò)，其過(guò)濾規(guī)則有差異，IP網(wǎng)絡(luò)的稱為IP訪問(wèn)列表(AccessList)標(biāo)準(zhǔn)IP訪問(wèn)列表該種包過(guò)濾規(guī)則只對(duì)數(shù)據(jù)包中的源地址進(jìn)行檢查擴(kuò)展IP訪問(wèn)列表該種包過(guò)濾規(guī)則對(duì)數(shù)據(jù)包中的源地址、目的地址、協(xié)議(如TCP，UDP，ICMP，Telnet，F(xiàn)TP等)或者端口號(hào)進(jìn)行檢查認(rèn)識(shí)協(xié)議與端口號(hào)2023/12/7可編輯7牢記ACL編號(hào)規(guī)則2023/12/7可編輯8如何判斷符合匹配規(guī)則2023/12/7可編輯9標(biāo)準(zhǔn)和擴(kuò)展的IPACL都允許用戶指定一個(gè)特定的IP地址或者一個(gè)IP地址范圍。如果數(shù)據(jù)包的地址屬于所配置的地址范圍之內(nèi)，那么數(shù)據(jù)包就符合匹配規(guī)則ACL的通配符掩碼定義了數(shù)據(jù)包地址中的哪部分需要匹配ACL中已列出的地址，以及哪些部分不需要匹配。特殊匹配地址2023/12/7可編輯10訪問(wèn)列表表項(xiàng)匹配規(guī)則用同一標(biāo)識(shí)號(hào)碼定義一系列access-list語(yǔ)句從最先定義的條件開(kāi)始依次檢查，如數(shù)據(jù)包滿足某個(gè)語(yǔ)句的條件，則執(zhí)行該語(yǔ)句所定義的“允許”或者“拒絕”動(dòng)作，并且列表中的后續(xù)語(yǔ)句就不再處理。如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由器默認(rèn)禁止該數(shù)據(jù)包通過(guò)，即丟掉該數(shù)據(jù)包。路由器在訪問(wèn)列表最后默認(rèn)一條禁止所有數(shù)據(jù)包通過(guò)的語(yǔ)句。語(yǔ)句之間的排列順序很重要，因?yàn)榈谝淮纹ヅ浜?，剩下的語(yǔ)句就不再處理。2023/12/7可編輯11思科兩個(gè)重要的ACL設(shè)計(jì)建議如何排列ACL陳述的順序?qū)⒈容^精確的陳述放在前面比較概括的陳述放在后面在網(wǎng)絡(luò)中的什么位置放置ACL有關(guān)對(duì)于標(biāo)準(zhǔn)ACL，Cisco建議將ACL盡可能的靠近目的主機(jī)對(duì)于擴(kuò)展ACL，應(yīng)盡可能地靠近源主機(jī)2023/12/7可編輯12常用命令2023/12/7可編輯13關(guān)于入站與出站2023/12/7可編輯14入站表示流量從外源進(jìn)入接口。對(duì)于入站ACL，在IOS將分組轉(zhuǎn)發(fā)到其他接口之前，ISO將分組和接口的ACL進(jìn)行比較。出站表示在流量出接口之前。對(duì)于出站ACL，在接口上接收分組，然后將分組轉(zhuǎn)發(fā)到出站接口，此時(shí)，IOS才將分組和ACL進(jìn)行比較。2023/12/7可編輯15標(biāo)準(zhǔn)訪問(wèn)控制列表學(xué)習(xí)情景2023/12/7可編輯16擴(kuò)展訪問(wèn)控制列表學(xué)習(xí)情境2023/12/7可編輯17任務(wù)與設(shè)計(jì)詳見(jiàn)標(biāo)準(zhǔn)訪問(wèn)控制列表網(wǎng)絡(luò)系統(tǒng)參數(shù)設(shè)計(jì)擴(kuò)展訪問(wèn)控制列表網(wǎng)絡(luò)系統(tǒng)參數(shù)設(shè)計(jì)訪問(wèn)控制列表配置步驟確定訪問(wèn)控制列表號(hào)設(shè)計(jì)訪問(wèn)控制列表規(guī)則全局模式下配置訪問(wèn)控制列表接口模式下綁定訪問(wèn)控制列表2023/12/7可編輯182023/12/7可編輯19訪問(wèn)控制列表任務(wù)實(shí)施相關(guān)準(zhǔn)備工作配置交換機(jī)VLAN配置路由器的IP配置路由器的路由配置ACL驗(yàn)證拓展學(xué)習(xí)訪問(wèn)控制列表除了上述介紹的標(biāo)準(zhǔn)ACL和擴(kuò)展ACL外，思科路由器產(chǎn)品還提供了命名ACL和基于時(shí)間的ACL，動(dòng)態(tài)ACL和自反ACL。2023/12/7可編輯202023/12/7