第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话

Slides:



Advertisements
Similar presentations
第 8 章 IP 基礎與定址.
Advertisements

第6章 计算机网络基础 1.
2017/3/6 WIRESHARK 的安裝與基本操作.
第 4 章 网络层.
第10章 局域网与Internet互联 RCNA_T010.
数据转发过程.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
校園網路管理實電務 電子計算機中心 謝進利.
Netman Linux 的防火牆設計與應用 Netman
项目四 组建跨地区网络 授课教师:肖颖.
计算机网络 吴功宜 编著 欢迎辞.
網路基本概念與設定方法 林文宗 資管系助理教授
宽带路由器配置与应用.
第7章 网络安全.
PPP协议 点到点协议 深圳职业技术学院计算机系网络专业.
网络安全威胁与防御策略. TCP/IP Protocols  Contains Five Layers  Top three layers contains many protocols  Actual transmission at the physical layer.
Authentication, Authorization, and Accounting
第 6 章 IP 遶送.
Group multicast fanOut Procedure
Cisco網路設備之設定與管理 台大計資中心 李美雯
張晃崚 麟瑞科技股份有限公司 網路基本概念/網路Router設定 張晃崚 麟瑞科技股份有限公司.
網路指令 講師 : 郭育倫
5.5 网桥 网桥是用来连接局域网的互连设备,工作在数据链路层。 转发局域网之间的数据帧,必要时进行帧格式转换 能隔离以太网中的碰撞
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Access Control List (存取控制表)
第 6 章 IP 位址 著作權所有 © 旗標出版股份有限公司.
David liang 数据通信安全教程 防火墙技术及应用 David liang
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第八章 用访问列表初步管理 IP流量.
IGMP Snooping / Proxy / Server
網路技術管理進階班---網路連結 講師 : 陳鴻彬 國立東華大學 電子計算機中心.
路由器的安全配置 中国科技网工作交流会 2010年4月16日 何群辉.
第六章 差错与控制报文 (ICMP).
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
實驗 3:Layer 2 交換器裝置之安全性設定與操作
Socket 基本觀念.
附錄 通訊協定堆疊.
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
系統與網路管理工具.
DGS-1510 基隆教網教育訓練文件.
第4章 网络互联与广域网 4.1 网络互联概述 4.2 网络互联设备 4.3 广域网 4.4 ISDN 4.5 DDN
第 2 章 TCP / IP 簡介.
网络系统集成技术 访问控制列表 Access Control List 第七章.
HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
Access Control List (存取控制表)
江西财经大学信息管理学院 《组网技术》课程组
ACL与包过滤 技术培训中心.
第七讲 网际协议IP.
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
Wireshark DNS&HTTP封包分析
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
傳輸控制協議 /互聯網協議 TCP/IP.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
谢聪.
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
Chapter 10 Mobile IP TCP/IP Protocol Suite
谢聪.
Link Layer &一點點的Physical Layer
Introduction to Computer Security and Cryptography
实验六静态路由.
Routing Protocols and Concepts – Chapter 5
Presentation transcript:

第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话 第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话 ACL指南 验证ACL配置的命令 2018/12/8

访问控制列表概述-用途 按照优先级或用户队列处理数据包 检查和过滤数据包 限制对路由器虚拟终端的访问 对数据流进行限制以提高网络性能 定义发起DDR呼叫的数据 检查和过滤数据包 对数据流进行限制以提高网络性能 限制或减少路由更新的内容 2018/12/8

访问控制列表概述-类型 Standard Checks source address Generally permits or denies entire protocol suite Extended Checks source and destination address Generally permits or denies specific protocols 2018/12/8

访问控制列表概述-类型区分 Standard IP lists (1-99) test conditions of all IP packets from source addresses. Extended IP lists (100-199) test conditions of source and destination addresses, specific TCP/IP protocols, and destination ports. Standard IP lists (1300-1999) (expanded range). Extended IP lists (2000-2699) (expanded range). Other access list number ranges test conditions for other networking protocols. 2018/12/8

标准访问控制列表 2018/12/8

扩展访问控制列表 2018/12/8

出口ACL执行 如ACL中没有匹配语句,丢弃包(inbound:入站) 2018/12/8

ACL内部执行顺序 2018/12/8

通配符掩码(Wildcard Mask) 通配符掩码为0表示检查数据包的IP地址相对应的比特位 2018/12/8

通配符掩码(Wildcard Mask) Check all the address bits (match all). Verify an IP host address, for example: For example, 172.30.16.29 0.0.0.0 checks all the address bits. Abbreviate this wildcard mask using the IP address preceded by the keyword host (host 172.30.16.29). 2018/12/8

通配符掩码(Wildcard Mask) Ignore all the address bits (match any). An IP host address, for example: Accept any address: any Abbreviate the expression using the keyword any. 2018/12/8

通配符掩码(Wildcard Mask) Address and wildcard mask: 172.30.16.0 0.0.15.255 Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24. 2018/12/8

配置访问控制列表 Step 1: Set parameters for this access list test statement (which can be one of several statements). Router(config)#access-list access-list-number {permit | deny} {test conditions} Step 2: Enable an interface to use the specified access list. Router(config-if)#{protocol} access-group access-list-number {in | out} Standard IP lists (1-99) Extended IP lists (100-199) Standard IP lists (1300-1999) (expanded range) Extended IP lists (2000-2699) (expanded range) 2018/12/8

配置访问控制列表-标准 Sets parameters for this list entry Router(config)#access-list access-list-number {permit | deny | remark} source [mask] Sets parameters for this list entry IP standard access lists use 1 to 99 Default wildcard mask = 0.0.0.0 no access-list access-list-number removes entire access list remark option lets you add a description for the access list Router(config-if)#ip access-group access-list-number {in | out} Activates the list on an interface Sets inbound or outbound testing Default = outbound no ip access-group access-list-number removes access list from the interface 2018/12/8

配置访问控制列表-标准-例 禁止来自外部网络的数据流通过(允许内部主机访问外网) 2018/12/8

配置访问控制列表-标准-例 禁止来自某台主机的数据流通过(拒绝主机172.16.4.13访问网络172.16.3.0) 2018/12/8

配置访问控制列表-标准-例 禁止来自某个子网的数据流通过 2018/12/8

配置访问控制列表-扩展 Sets parameters for this list entry Router(config)#access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log] Sets parameters for this list entry Router(config-if)#ip access-group access-list-number {in | out} Activates the extended list on an interface 2018/12/8

配置访问控制列表-扩展-例 禁止来自子网 172.16.4.0 且前往子网172.16.3.0 的FTP数据流通过接口 E0. Permit all other traffic. 2018/12/8

配置访问控制列表-扩展-例 禁止来自特定子网的Telnet数据流通过. Permit all other traffic. 2018/12/8

命名的访问控制列表 Alphanumeric name string must be unique. Router(config)#ip access-list {standard | extended} name Alphanumeric name string must be unique. Router(config {std- | ext-}nacl)#{permit | deny} {ip access list test conditions} {permit | deny} {ip access list test conditions} no {permit | deny} {ip access list test conditions} Permit or deny statements have no prepended number. “no” removes the specific test from the named access list. Router(config-if)#ip access-group name {in | out} Activates the IP named access list on an interface. 2018/12/8

命名的访问控制列表 禁止来自特定子网的Telnet数据流通过的命名扩展访问列表 Router(config)#ip access-list extended screen Router(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#interface ethernet 0 Router(config-if)#ip access-group out 禁止来自特定子网的Telnet数据流通过的命名扩展访问列表 2018/12/8

控制Telnet会话 物理接口上设置访问控制列表?繁锁 在Telnet所使用的虚拟端口上设置ACL 2018/12/8

控制Telnet会话 创建一标准ACL,只允许所希望的主机能Telnet至路由器 进入vty配置模式 Router(config)#line vty {vty# | vty-range} 进入vty配置模式 Router(config-line)#access-class access-list-number {in | out} 使用access-class命令将ACL应用到VTY线路 2018/12/8

控制Telnet会话-例 仅允许 192.168.1.0 网络中主机过程登录到路由器 access-list 12 permit 192.168.1.0 0.0.0.255 (implicit deny all) ! line vty 0 4 access-class 12 in 仅允许 192.168.1.0 网络中主机过程登录到路由器 2018/12/8

ACL指南 每个接口、每个方向、每个协议只能有一个ACL 除了命名的ACL外,不能单独删除ACL中某个条件语句。可使用no access-list number删除整个列表 应把标准ACL放在靠近数据目标地址的路由器上,把扩展ACL放在靠近数据源发地的路由器上。 2018/12/8

ACL指南 ACL应放在边界路由器或防火墙上 2018/12/8

验证访问列表配置的命令 wg_ro_a#show ip interfaces e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted> 2018/12/8

验证访问列表配置的命令 wg_ro_a#show access-lists {access-list number} Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data 2018/12/8