HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.

Slides:



Advertisements
Similar presentations
Copyright©2013 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without.
Advertisements

南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
NAT与ICMP交互.
第 8 章 IP 基礎與定址.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
第 4 章 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第10章 局域网与Internet互联 RCNA_T010.
数据转发过程.
学习目标 学习完本课程,您应该能够: 掌握Sybase的启动和关闭、备份与恢复 掌握Sybase的基本信息及配置的查询
目录 第一节 NTP简介 第二节 NTP工作原理简介 第三节 NTP报文格式 第四节 NTP中的几个重要概念 第五节 NTP网络结构
前 言 VLAN的产生为传统的LAN网络注入了新的活力,引起了LAN应用的一场变革。 Page 1.
实验八 配置动态路由-OSPF协议.
路由协议概述 ISSUE 1.0 日期: 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
校園網路管理實電務 電子計算機中心 謝進利.
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
Netman Linux 的防火牆設計與應用 Netman
项目四 组建跨地区网络 授课教师:肖颖.
《交换机/路由器的配置与管理》 (第2版).
前 言 本课程着重介绍了各种常用链路层协议HDLC、PPP/MP、X.25、FR、POS和ATM基本概念、原理和应用,学完之后您会对他们有更深入的理解。 Page 1.
宽带路由器配置与应用.
第7章 网络安全.
网络地址转换(NAT) 及其实现.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
文档维护者:白金(platinum)、陈绪(bjchenxu)
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
HL-010 路由器基础及配置 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
David liang 数据通信安全教程 防火墙技术及应用 David liang
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
TCP和UDP基本原理.
Internet Protocol (IP)
HL-014 DCC、ISDN原理及配置 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
NetFilter IPTables.
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
系統與網路管理工具.
第 2 章 TCP / IP 簡介.
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
IP路由原理.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
实用组网技术 第一章 网络基础知识.
网络系统集成技术 访问控制列表 Access Control List 第七章.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
第4章 OSI傳輸層.
江西财经大学信息管理学院 《组网技术》课程组
ACL与包过滤 技术培训中心.
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
Wireshark DNS&HTTP封包分析
實驗23 NetSim - Network Address Translation (NAT)
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
Source: Journal of Network and Computer Applications, Vol. 125, No
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
IP Layer Basics, Firewall, VPN, and NAT
第10讲 Web服务.
实验六静态路由.
第 4 章 网络层.
Presentation transcript:

HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院

课程目标 学习完本课程,您应该能够: 理解访问控制列表的基本原理 掌握基本和高级访问控制列表的配置方法 掌握地址转换的基本原理和配置方法

目录 访问控制列表 地址转换 访问控制列表与地址转换实例

IP包过滤技术介绍 对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 未授权用户 公司总部 内部网络 办事处 Internet 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 对于只授课用的胶片,文字字体可以调整,但必须统一: 一级文字为24号,二级文字为20号,三级文字为18号,四级文字为16号。 该页在授课和胶片+注释中都要使用。

访问控制列表的作用 访问控制列表可以用于防火墙; 访问控制列表可以用于QoS(Quality of Service),对数据流量进行控制; 在DCC中,访问控制列表还可用来规定触发拨号的条件; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。

对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则 访问控制列表的定义 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP): IP报头 TCP/UDP报头 数据 协议号 源地址 目的地址 源端口 目的端口 对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则

访问控制列表的分类 按照访问控制列表的用途可以分为四类: 基本的访问控制列表(basic acl) 高级的访问控制列表(advanced acl) 基于接口的访问控制列表(interface-based acl) 基于MAC的访问控制列表(mac-based acl)

访问控制列表的标识 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 列表的种类 数字标识的范围 基于接口的访问控制列表 1000~1999 基本的访问控制列表 2000~2999 高级的访问控制列表 3000~3999 基于MAC地址访问控制列表 4000~4999

基本访问控制列表 基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。 从202.110.10.0/24来的数据包可以通过! 从192.110.10.0/24来的数据包不能通过! 路由器

基本访问控制列表的配置 配置基本访问列表的命令格式如下: acl number acl-number [ match-order { config | auto } ] rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instanc-name ] 怎样利用 IP 地址 和反掩码 wildcard-mask 来表示 一个网段?

反掩码的使用 反掩码和子网掩码相似,但写法不同: 反掩码和IP地址结合使用,可以描述一个地址范围。 255 3 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用,可以描述一个地址范围。 255 只比较前24位 3 只比较前22位 只比较前8位

高级访问控制列表 高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。 从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过! 路由器

高级访问控制列表的配置 高级访问控制列表规则的配置命令: rule [ rule-id ] { permit | deny } protocol [ source sour-addr sour-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soucre-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type { icmp-message |icmp-type icmp-code} ] [ precedence precedence ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instanc-name ]

高级访问控制列表操作符 操作符及语法 意义 eq portnumber 等于端口号 portnumber gt portnumber lt portnumber 小于端口号portnumber neq portnumber 不等于端口号portnumber range portnumber1 portnumber2 介于端口号portnumber1 和portnumber2之间

高级访问控制列表举例 rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect ICMP主机重定向报文 10.1.0.0/16 rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging TCP报文 129.9.0.0/16 202.38.160.0/24 WWW 端口

基于接口的访问控制列表 基于接口的访问控制列表的配置 acl number acl-number [ match-order { config | auto } ] rule { permit | deny } [ interface interface-name ] [ time-range time-name ] [ logging ] undo rule rule-id

访问控制列表的使用 防火墙配置常见步骤: 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上 Internet 启用防火墙 公司总部网络 启用防火墙 将访问控制列表应用到接口上 Internet 防火墙配置常见步骤: 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上

防火墙的属性配置命令 打开或者关闭防火墙 设置防火墙的缺省过滤模式 显示防火墙的统计信息 打开防火墙包过滤调试信息开关 firewall { enable | disable } 设置防火墙的缺省过滤模式 firewall default { permit|deny } 显示防火墙的统计信息 display firewall-statistics { all | interface interface-name | fragments-inspect } 打开防火墙包过滤调试信息开关 debugging firewall { all | icmp | tcp | udp | others } [ interface interface-name ]

访问控制列表的显示 访问控制列表的显示与调试 display acl { all | acl-number } reset acl counter { all | acl-number }

在接口上应用访问控制列表 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置: firewall packet-filter acl-number { inbound | outbound } [ match-fragments { normally | exactly } ] 访问控制列表2000 作用在Serial0/0接口上在IN方向上有效 访问控制列表3000 作用在Ethernet0/0接口在OUT方向有效 Ethernet0/0 Serial0/0

基于时间段的包过滤 “特殊时间段内应用特殊的规则” Internet 上班时间 (上午8:00 -下午5:00) 只能访问特定的站点;其余 时间可以访问其他站点 Internet

时间段的配置命令 time range 命令 显示 time range 命令 time-range time-name [ start-time to end-time ] [ days ] [ from time1 date1 ] [ to time2 date2 ] 显示 time range 命令 display time-range { all | time-name }

访问控制列表的匹配规则 一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny 202.38.0.0 0.0.255.255 rule permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。 规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。

目录 访问控制列表 地址转换 访问控制列表与地址转换实例

地址转换的提出背景 地址转换(nat)是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了达到所有的内部主机都可以连接Internet网络的目的,可以使用地址转换。 地址转换(nat)技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。 地址转换(nat)可以按照用户的需要,在局域网内部提供给外部FTP、WWW、Telnet等服务。

私有地址和公有地址 Internet LAN2 LAN1 私有地址范围: 10.0.0.0 - 10.255.255.255 LAN3 10.0.0.1 192.168.0.1 172.16.0.1 私有地址范围: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255

地址转换的原理 Internet IP 报文 PC1 地址转换 PC2 局域网 IP:192.168.0.1 Port:3000

设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。 利用ACL控制地址转换 PC1 局域网 PC2 设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。 Internet 可以使用访问控制列表来决定哪些主机可以访问Internet,哪些不能。

地址转换的配置任务列表 定义一个访问控制列表,规定什么样的主机可以访问Internet。 采用EASY IP或地址池方式提供公有地址。 根据选择的方式(EASY IP方式还是地址池方式),在连接Internet接口上允许地址转换。 根据局域网的需要,定义合适的内部服务器。

EASY IP 配置 EASY IP:在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置: nat outbound acl-number 局域网 PC2 PC1 PC1 和 PC2 可以直接使用 S0/0接口的IP 地址作为地址转换后的公用IP地址 S0/0:202.0.0.1 Internet

使用地址池进行地址转换 PC1 202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4 地址池 Internet PC2 局域网 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合,利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。

使用地址池进行地址转换 定义地址池 在接口上使用地址池进行地址转换 nat address-group group-number start-addr end-addr 在接口上使用地址池进行地址转换 nat outbound acl-number address-group group-number [ no-pat ]

一对一的地址转换 配置从内部地址到外部地址的一对一转换 使已经配置的NAT一对一转换在接口上生效 nat static ip-addr1 ip-addr2 使已经配置的NAT一对一转换在接口上生效 nat outbound static

内部服务器的应用 Internet 内部服务器 内部地址:10.0.1.1 内部端口:80 E0/0 S0/0 外部用户 E0/0 S0/0 内部地址:10.0.1.1 内部端口:80 外部地址:202.38.160.1 外部端口:80 IP:202.39.2.3 配置地址转换: IP地址: 10.0.1.1←→202.38.160.1 端口: 80←→80 允许外部用户访问 Internet

内部服务器的配置 内部服务器配置命令 此例的配置 nat server [ vpn-instance vpn-instance-name ] protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ] nat server [ vpn-instance vpn-instance-name ] protocol pro-type global global-addr global-port 1 global-port2 inside host-addr1 host-addr2 host-port 此例的配置 nat server protocol tcp global 202.38.160.1 80 inside 10.0.1.1 80

NAT的监控与维护 显示地址转换配置 设置地址转换连接有效时间 清除地址转换连接 打开nat调试开关 display nat { address-group | aging-time | all | outbound | server | statistics | session [ vpn-instance vpn-instance-name ] [ slot slot-number ] [ destination ip-addr ] [source global global-addr | source inside inside-addr ] } 设置地址转换连接有效时间 nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds } 清除地址转换连接 reset nat{ log-entry | session slot slot-number } 打开nat调试开关 debugging nat { alg | event | packet [ interface interface-type interface-number ] }

地址转换的缺点 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址,有时候会使网络调试变得复杂。

目录 访问控制列表 地址转换 访问控制列表与地址转换实例

访问列表和地址转换应用实例 Internet FTP 服务器 10.38.1.1 Telnet 服务器 10.38.1.2 WWW 服务器 10.38.1.3 公司内部局域网 E0/0:10.38.1.5 内部特定主机 10.38.1.4 S0/0:202.38.160.1 外部特定主机 202.39.2.3 Internet

配置步骤 按照实际情况需要以下几个步骤: 允许防火墙 定义扩展的访问控制列表 在接口上应用访问控制列表 在接口上利用访问控制列表定义地址转换 配置内部服务器的地址映射关系

配置命令 [H3C]firewall enable [H3C]firewall default permit [H3C]acl number 3000 match-order auto [H3C-acl-adv-3000]rule deny ip source any destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.1 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.2 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.3 0 destination any [H3C-acl-adv-3000]rule permit ip source 129.38.1.4 0 destination any [H3C]acl number 3001 match-order auto [H3C-acl-adv-3001]rule deny ip source any destination any [H3C-acl-adv-3001]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

配置命令(续) [H3C-acl-adv-3001]rule permit tcp source any destination 202.38.160.1 0 destination-port gt 1024 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound [H3C-Serial0/0]firewall packet-filter 3001 inbound [H3C-Serial0/0]nat outbound 3000 [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.1 ftp [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.2 telnet [H3C-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.3 www

本章总结 包过滤技术的基本规则和原理 基本和高级访问控制列表的配置方法 访问控制列表用于防火墙 地址转换的基本概念和规则 地址转换的配置方法