访问控制列表(ACL) Version 1.0.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

项目六 路由器基本配置与管理.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第6章:计算机网络基础 网考小组.
朝阳区统计系统 网络基础知识培训 计算机中心
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
《网络基础与Internet应用》.
第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.
第 4 章 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
实训十四、IE浏览器的基本应用.
网络协议及架构安全 培训机构名称 讲师名字.
第10章 局域网与Internet互联 RCNA_T010.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
电子商务的网络技术 德州学院计算机系.
数据转发过程.
网络实用技术基础 Internet技术及应用.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第2章 计算机网络体系结构 教学目标: 通过本章的学习,了解计算机网络体系结构和各个层次的相关协议,理解接口和服务等概念。掌握ISO/OSI模型和TCP/IP模型的各个层次及其所实现的功能。掌握IP地址的功能和划分,并对子网掩码和下一代互联网IPv6有相应的了解。
網路基本概念與設定方法 林文宗 資管系助理教授
宽带路由器配置与应用.
第7章 计算机网络基础.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
Cisco網路設備之設定與管理 台大計資中心 李美雯
網路概論.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Access Control List (存取控制表)
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
华南师范大学 防火墙 华南师范大学
第八章 用访问列表初步管理 IP流量.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
(C) Active Network CO., Ltd
第 16 章 Internet架構.
第六章 差错与控制报文 (ICMP).
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
TCP和UDP基本原理.
網路服務 家庭和小型企業網路 – 第六章.
计算机网络技术基础 任课老师: 田家华.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
第 2 章 TCP / IP 簡介.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
网络系统集成技术 访问控制列表 Access Control List 第七章.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
第4章 OSI傳輸層.
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
Westmont College 互联网应用软件 第二讲 (DNS, , TELNET, FTP)
Access Control List (存取控制表)
江西财经大学信息管理学院 《组网技术》课程组
NetST®防火墙培训教程 清华得实® 保留所有权利.
第十三章 TCP/IP 與 Internet 網路連結技術
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
Network Application Programming(3rd Edition)
Wireshark DNS&HTTP封包分析
實驗23 NetSim - Network Address Translation (NAT)
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
谢聪.
Chapter 11 使用者資料包通訊協定.
Speaker : 翁瑄伶 Advisor : 柯開維 博士 Date: 2016/07/31
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
Presentation transcript:

访问控制列表(ACL) Version 1.0

目标 理解访问控制列表的工作原理(访问控制列表的作用,路由器对访问控制列表的处理过程),访问控制列表的反码,访问控制列表的种类 掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制 2/47

访问控制列表概述 访问控制列表(ACL)是应用在路由器接口的指令列表 ,用来告诉路由器哪些数据包可以接收转发,哪些数据包需要拒绝 3/47

访问控制列表概述(Cont.) IP数据包(这里IP所承载的上层协议为TCP) IP报头 TCP报头 数据 源地址 源端口 目的地址 源端口 目的端口 访问控制列表利用这4个元素定义的规则 4/47

访问控制列表概述(Cont.) 使用ACL实现网络控制:实现访问控制列表的核心技术是包过滤 内部网络 访问控制列表 Internet 办事处 公司总部 未授权用户 5/47

访问控制列表概述(Cont.) ACL的两种基本类型 标准访问控制列表 扩展访问控制列表 6/47

访问控制列表的作用 提供网络访问的基本安全手段 可用于Qos,控制数据流量 控制通信量 7/47

使用ACL阻止某指定网络访问另一指定网络 访问控制列表的作用(Cont.) 主机A 主机B 人力资源网络 研发网络 使用ACL阻止某指定网络访问另一指定网络 8/47

路由器对访问控制列表的处理过程 到达访问控制组接口的数据包 匹配 第一步 Y Y N 拒绝 允许 匹配 下一步 Y Y 允许 拒绝 目的接口 隐含的 拒绝 拒绝 数据包 垃圾桶 9/47

访问控制列表入与出 否 是 是 否 是 否 Icmp消息 转发数据包 进入数据包 接口上有访问 控制列表吗? 列表中的 下一个条目 源地址 匹配吗? 查找路由表 是 否 是 有更多 条目吗? 应用条件 否 路由到接口 拒绝 允许 10/47 Icmp消息 转发数据包

访问控制列表入与出(Cont.) 否 是 源地址匹配吗? 否 是 是 有更多条目吗? 否 Icmp消息 转发数据包 外出数据包 查找路由表 接口上有访问 控制列表吗? 否 是 列表中的 下一个条目 源地址匹配吗? 否 是 是 有更多条目吗? 应用条件 否 拒绝 允许 11/47 Icmp消息 转发数据包

Deny和permit命令 允许数据包通过应用了访问控制列表的接口 路由器拒绝数据包通过 router(config)#access-list access-list-number {permit|deny} {test conditions} 允许数据包通过应用了访问控制列表的接口 路由器拒绝数据包通过 12/47

Deny和permit命令(Cont.) 第一步,创建访问控制列表 第二步,应用到接口e0的入方向上 Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 Router(config)#interface ethernet 0 Router(config-if)#ip access-group 1 in 13/47

应用访问控制列表 路由器B 路由器C S0 S0 E0 E0 S1 S1 E0 路由器A 路由器D 扩展acl E0 E1 E1 标准acl 14/47

使用反码 反掩码和子网掩码相似,但写法不同 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用,可以描述一个地址范围 15/47

使用反码(Cont.) 128 64 32 16 8 4 2 1 字节位的位置和对应的地址值 例子 检查所有的地址位 匹配所有 0 0 0 0 0 0 0 0 = 忽略最后6个地址位 0 0 1 1 1 1 1 1 = 忽略最后4个地址位 0 0 0 0 1 1 1 1 = 检查最后2个地址位 1 1 1 1 1 1 0 0 = 不检查地址位 忽略字节中的所有位 1 1 1 1 1 1 1 1 = 16/47

使用反码(Cont.) Ip访问控制列表检测条件:检查ip子网 从172.30.16.0到172.30.31.0 网络 172.30.16 主机 0 0 0 1 0 0 0 0 与位匹配的掩码:0000 检查 1111 忽略 地址和反码:172.30.16.0 0.0.15.255 第三个8位组=00001111=15 17/47

使用通配符any和host 通配符any可代替0.0.0.0 255.255.255.255 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 Router(config)#access-list 1 permit any 18/47

使用通配符any和host(Cont.) host表示与整个IP主机地址的所有位相匹配 Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0 Router(config)#access-list 1 permit host 172.30.16.29 19/47

访问控制列表的种类 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 20/47

标准访问控制列表 标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包 标准IP访问控制列表的访问控制列表号从1到99 21/47

标准访问控制列表(Cont.) 标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝 从172.16.4.0/24来的数据包可以通过! 从172.16.3.0/24来的数据包不能通过! 路由器 22/47

标准访问访问控制列表 否 有访问控制列表吗? 是 匹配 不匹配 源地址 否 更多条目? 应用条件 是 列表中的下一个条目 拒绝 允许 如果在访问控制列表中有的话 Icmp消息 转发数据包 23/47

标准访问控制列表的配置 第一步,使用access-list命令创建访问控制列表 Router(config)#access-list access-list-number { permit | deny } source [source- wildcard-mask ] [log] 第二步,使用ip access-group命令把访问控制列表应用到某接口 Router(config-if)#ip access-group access-list-number { in | out } 24/47

标准ACL应用1:允许特定源的流量 示例的网络拓扑 Non-172.16.0.0 172.16.3.0 172.16.4.0 S0 E0 172.16.4.13 示例的网络拓扑 25/47

标准ACL应用:允许特定源的流量(Cont.) 第二步,应用到接口E0和E1的出方向上 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 1 out Router(config)#interface Ethernet 1 26/47

标准ACL应用:拒绝特定主机的通信流量 any 第一步,创建拒绝来自172.16.4.13的流量的ACL 第二步,应用到接口E0的出方向 Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 1 out 27/47

标准ACL应用:拒绝特定子网的流量 第一步,创建拒绝来自子网172.16.4.0的流量的ACL 第二步,应用到接口E0的出方向 Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255 Router(config)#access—list 1 permit any 0.0.0.0 255.255.255.255 Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 1 out 28/47

扩展访问控制列表 扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制 扩展访问控制列表行中的每个条件都必须匹配,才认为该行被匹配,才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 使用的数字号在100到199之间 29/47

扩展访问控制列表(Cont.) 扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝 从172.16.3.0/24来的,到172.16.4.13的, 使用TCP协议, 利用HTTP访问的 数据包可以通过! 路由器 30/47

扩展访问访问控制列表(Cont.) 否 有访问控制列表吗? 是 不匹配 匹配 源地址 不匹配 匹配 目的地址 不匹配 匹配 协议 不匹配 协议任选项 否 应用条件 更多条目? 是 拒绝 允许 列表中的下一个条目 31/47 如果在访问控制列表中有的话 Icmp消息 转发数据包

扩展访问访问控制列表(Cont.) 常见端口号 端口号 (十进制) 关键字 描述 TCP/UDP 20 FTP-DATA 21 FTP (文件传输协议)FTP 23 TELNET 终端连接 25 SMTP 简单邮件传输协议 42 NAMESERVER 主机名字服务器 UDP 53 DOMAIN 域名服务器(DNS) 69 TFTP 普通文件传输协议(TFTP) 80 WWW 常见端口号 32/47

扩展访问控制列表的配置 第一步,使用access-list命令创建一个扩展访问控制列表 Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port][established][log] 33/47

扩展访问控制列表的配置(Cont.) 操作符及语法 意义 扩展访问控制列表操作符的含义 eq portnumber gt portnumber 大于端口号portnumber lt portnumber 小于端口号portnumber neq portnumber 不等于端口号portnumber 扩展访问控制列表操作符的含义 34/47

扩展访问控制列表的配置(Cont.) 第二步,使用ip access-group命令把一个扩展访问控制列表应用到某接口 Router(config-if)#ip access-group access-list-number { in | out } 35/47

扩展ACL应用1:拒绝ftp流量通过E0 第一步,创建拒绝来自172.16.4.0去往172.16.3.0的ftp流量的ACL Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Router(config)#access-list 101 permit ip any any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 101 out 36/47

扩展ACL应用2: 第一步,创建拒绝来自172.16.4.0去往172.16.3.0的telnet流量的ACL Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config)#access-list 101 permit ip any any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 101 out 37/47

命名的访问控制列表 可以在标准ACL和扩展ACL中,使用一个字母数字组合的字符串(名字)代替来表示ACL的表号 命名IP访问列表允许从指定的访问列表删除单个条目。但如果添加一个条目到列表中,那么该条目被添加到列表末尾 不能以同一个名字命名多个ACL 在命名的访问控制列表下 ,permit和deny命令的语法格式与前述有所不同 38/47

命名的访问控制列表(Cont.) 第一步,创建名为cisco的命名访问控制列表 第二步,指定一个或多个permit(允许)及deny(拒绝)条件 第三步,应用到接口E0的出方向 Router(config)#ip access-list extended cisco Router(config ext-nacl)# deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config ext-nacl)# permit ip any any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group cisco out 39/47

总结 访问控制列表(ACL)是应用在路由器接口的指令列表(即规则) 40/47

总结(Cont.) ACL可以分为两种基本类型 标准访问控制列表:检查被路由的数据包的源地址。其结果基于源网络/子网/主机IP地址来决定是允许还是拒绝转发数据包。它使用1到99之间的数字作为表号 扩展访问控制列表:对数据包的原地址与目标地址均进行检查。它也能检查特定的协议、端口号以及其它参数。它使用100到199之间的数字作为表号 41/47

总结(Cont.) 应用访问控制列表首先使用access-list命令创建访问控制列表,再用ip access-group命令把该访问控制列表应用到某一接口 可以使用一个字母数字组合的字符串(名字)代替前面所使用的数字(1~199)来表示ACL的表号 42/47

实验目标 掌握标准访问控制列表的配置和检验 掌握扩展访问控制列表的配置和检验 43/47

实验拓扑 网段1的测试PC 网段2的测试PC 10.10.1.10/24 10.10.2.10/24 网段1 网段2 E 1/0 10.10.1.1/24 E 1/1 10.10.2.1/24 公共外部路由器 Fa0/1 192.168.1.10/24 Fa0/1 192.168.1.1/24 Fa0/1 192.168.1.5/24 实验路由器1 实验路由器5 一共5组 Fa0/0 172.16.1.1/24 Fa0/0 172.16.5.1/24 测试服务器 172.16.1.10/24 测试服务器 172.16.5.10/24 44/47

实验完成标准 标准访问控制列表:按照要求,配置相应访问控制列表,实现要求中相应的访问控制 在网段1上的PC上,ping 172.16.1.10,测试结果是网络连通 在网段2上的PC上,ping 172.16.1.10,测试结果是网络不能到达 45/47

实验完成标准 扩展访问控制列表: 按要求配置相应的访问控制列表,实现要求中相应的访问控制 在网段1的PC上ping 172.16.1.10,测试结果是网络连通 在网段1的PC上访问内部服务器的WWW服务,成功 在网段1的PC上访问内部服务器的tenet服务,不成功 在网段2的PC上ping 172.16.1.10,测试结果是网络连通 在网段2的PC上访问内部服务器的WWW服务,不成功 在网段2的PC上访问内部服务器的tenet服务,成功 46/47