网络系统集成技术 访问控制列表 Access Control List 第七章.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

請按左鍵換頁 為人的藝術 ~善緣貴人多~ 廣結善緣 1. 有什麼觀念,就有什麼行為; 有什麼行為,就有什麼習慣; 有什麼習慣,就有什麼性格; 有什麼性格,就有什麼命運。 2. 對長輩謙虛是本分,對平輩謙虛是修養, 對 晚輩謙虛是高貴,對所有人謙虛是安全。 3. 廣結善緣,圓融的人際關係( EQ ):
打造活动品牌 推动队建发展 杨浦区少先队总辅导员 章希苓.
幼小課程統合與銜接 楊朝祥 中原大學講座教授.
第6章:计算机网络基础 网考小组.
機關改制(含員工權益保障)業務簡介 報告人:王奐寅 100年6月24日.
追求阳光心态 做一个心理健康的人 上海市徐汇区精神卫生中心 吴洪明.
数字化校园建设与思考 扬州大学信息中心 沈 洁 2017年3月3日.
第6章 计算机网络基础 1.
保良局何壽南小學 學校經驗分享: 學生成長的支援
笃·行 进·取 创·新 规·范 『专业·科学·务实』 2012年软件学院迎新工作总结汇报 软件学院2012级新生辅导员 侯雪莹.
主講者:林妙容 國立暨南國際大學 輔導與諮商研究所專任助理教授
冶金等工贸行业小微企业 安全生产标准化建设
教师应做学生的心理保健师 (之三) 昆明市心桥心理健康研究所 钱锡安
短促·匆忙 初二(10)班.
國中小教師甄試相關事宜 心理的準備 甄試日期 甄試方式 甄試內容 正式教師與代課教師差別 相關問題 關起門來說的問題 結語.
《计算机网络技术》 课程整体设计介绍.
校 長 翁世盟 家長會長 蔡宏奕 教師會長 葉蕙境 敬上
单招班主任培训会 生源地助学贷款解读 单招班主任工作要求 新生资助政策解读 学生工作处 2015年5月.
課程內容 態度決定高度 履歷及面試重點提要 履歷 面試服裝及注意事項 性向分析 性向分析測驗.
第10章 局域网与Internet互联 RCNA_T010.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
数据转发过程.
公主的月亮 最近看了一本友人劉清彥譯的書〔公主的月亮〕,極有趣味。 這個難題由一個生病的小公主提出,她嬌憨的告訴疼她的國王,
公主的月亮 最近看了一本友人劉清彥譯的書〔公主的月亮〕,極有趣味。 這個難題由一個生病的小公主提出,她嬌憨的告訴疼她的國王,
做一个智慧快乐的班主任.
典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表
第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.
专题5 RIP路由技术.
為人的藝術 ~善緣貴人多~ 請按左鍵換頁.
為人的藝術 ~善緣貴人多~ 請按左鍵換頁.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
中学生网络安全教育.
EQ劇場 ~ 李爾王.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
文档维护者:白金(platinum)、陈绪(bjchenxu)
Cisco網路設備之設定與管理 台大計資中心 李美雯
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
用教学实践解读课程标准.
Access Control List (存取控制表)
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第六章 差错与控制报文 (ICMP).
網路服務 家庭和小型企業網路 – 第六章.
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
第4章 OSI傳輸層.
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
江西财经大学信息管理学院 《组网技术》课程组
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
實驗23 NetSim - Network Address Translation (NAT)
防火墙.
傳輸控制協議 /互聯網協議 TCP/IP.
谢聪.
面試的準備 1.
沙田聖本篤堂 家庭牧民小組 簡介. 沙田聖本篤堂 家庭牧民小組 簡介 成立過程: 2000年教區會議期間,甘寶維神父邀請數對活躍於堂區夫婦商討籌辦家庭牧民小組的可行性 2000/01年間舉辦數次「家事談論會」凝聚有意投身服務人士,小組開始成型.
_01基本概念扫盲 本节课讲师——void* 视频提供:昆山爱达人信息技术有限公司 官网地址:
Chapter 11 使用者資料包通訊協定.
100學年度上學期 月亮班課程規劃.
香港大學教育應用資訊科技發展研究中心 資訊年代青年自學才能拓展計劃 (S計劃)
IP Layer Basics, Firewall, VPN, and NAT
【VA虚拟应用管理平台】专题培训 接入防火墙 陕西益和信息技术开发有限责任公司 2011年2月.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
班級經營--實務:疑難雜症 組員: 周雅文 李桂枝 顏純郁 黃福裕 戴曉真
IP Layer Basics & Firewall
Presentation transcript:

网络系统集成技术 访问控制列表 Access Control List 第七章

本章内容 理论环节 实践环节 案例分析环节 访问控制列表的作用 访问控制列表的概念 访问控制列表的分类 访问控制列表的应用 配置IP基本访问控制列表 配置IP扩展访问控制列表 案例分析环节

访问控制列表的作用 控制通信流量 例如,当网络访问流量较大时,需要对网络流量进行管理。 ISP

访问控制列表的作用(续) 实现网络的安全访问 如下图:ACL允许人力资源网内的主机A访问财务网,而拒 绝主机B访问。

访问控制列表的概念 一个访问控制列表(ACL,Access Control List)是由一 系列的检查条件及对符合该条件的数据包是否允许经过网 络边缘设备的决定构成的,是应用在网络边缘设备接口上 的一组有序的规则集合。 在被应用到网络边缘设备接口之前,ACL对网络边缘设备 没有影响。

基于TCP/IP访问控制列表的分类

访问控制列表的应用规则 路由器应用访问列表对流经接口的数据包进行控制 一个接口在一个方向只能应用一组访问控制列表 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表

访问控制列表的入栈应用 查找路由表 进行选路转发 N 是否应用 访问列表 ? Y Y 是否允许 ? N 以ICMP信息通知源发送方

访问控制列表的出栈应用 选择出口 S0 S0 查看访问列表 的陈述 S0 是否应用 访问列表 ? 是否允许 ? Y 路由表中是 否存在记录 ? S0 是否应用 访问列表 ? N N Y 是否允许 ? Y N

IP访问控制列表的基本准则 ACL中规则的顺序问题 一切未被允许的就是禁止的 按规则链来进行匹配 规则匹配原则 在定义ACL时,一定要将条件限制范围小的规则放到ACL 的前面,条件限制范围大的规则放到ACL的后面。 一切未被允许的就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒绝所有数 据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间 段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……”

IP访问控制列表的基本准则 一个访问列表多条过滤规则 拒绝 允许 拒绝 允许 拒绝 允许 隐含拒绝 是否匹配 规则条件1 ? Y Y N 是否匹配 规则条件2 ? Y Y 拒绝 允许 N Y 是否匹配 最后一个 条件 ? Y 拒绝 允许 N 隐含拒绝

标准访问控制列表 标准访问列表 根据数据包源IP地址进行规则定义 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表

标准访问控制列表 反掩码 0表示检查相应的地址比特 1表示不检查相应的地址比特 128 64 32 16 8 4 2 1 1 1 1

标准访问控制列表的配置 1.定义标准ACL 2.应用ACL到接口 编号的标准访问列表 Router(config)#access-list <1-99> <permit|deny> <源地 址> <反掩码> 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group <1-99> { in | out }

标准访问控制列表配置实例 access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (access-list 1 deny any)

标准访问控制列表配置实例 access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out

标准访问控制列表配置实例 access-list 11 deny 192.168.1.2 0.0.0.0 access-list 11 permit 192.168.1.0 0.0.0.255 int e0 ip access-group 11 in

标准访问控制列表配置实例

扩展访问控制列表 扩展访问控制列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进 行规则定义 100-199 号列表 eg.HDLC IP TCP/UDP 数据 端口号 协议 100-199 号列表 源地址 目的地址

扩展访问控制列表的配置 1.定义扩展的ACL 2.应用ACL到接口 编号的扩展ACL 命名的扩展ACL Router(config)#access-list <100-199> < permit /deny > <协议> <源地址> <反掩码> <源端口> <目的地址> <反掩码> < 目的端口 > 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group <100-199> { in | out }

扩展访问控制列表的配置 常用端口与协议对照表

扩展访问控制列表配置实例 如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络(192.168.x..x)的 所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所 有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103

扩展访问控制列表配置实例

扩展访问控制列表配置实例 利用ACL隔离冲击波病毒 access-list 115 deny udp any any eq 69   access-list 115 deny tcp any any eq 135   access-list 115 deny udp any any eq 135   access-list 115 deny udp any any eq 137   access-list 115 deny udp any any eq 138   access-list 115 deny tcp any any eq 139   access-list 115 deny udp any any eq 139   access-list 115 deny tcp any any eq 445   access-list 115 deny tcp any any eq 593   access-list 115 deny tcp any any eq 4444   access-list 115 permit ip any any   interface <type> <number>   ip access-group 115 in   ip access-group 115 out 利用ACL隔离冲击波病毒

案例分析 案例背景 某公司机关的计算机网络接入互联网以来,公司的相关 负责人要求: 限制员工在工作时间利用QQ进行聊天 限制员工访问无聊的网站

案例分析 案例分析 若要限制工作人员利用QQ聊天,只要使用扩展访问控 制列表就可以做到。由于QQ采用的是UDP协议,因此只要 可构造如下扩展访问控制列表: access-list 102 deny udp any any

案例分析 案例分析 若要限制工作人员访问无聊网站,只需要找到无聊站点 的IP地址即可。根据公司WEB服务器日志,得到地址 172.16.1.1/16为公司禁止访问的站点。这样可构造如下扩展 访问控制列表: access-list 102 deny tcp any host 172.16.1.1 eq www

案例分析 具体路由器上的配置 略