Access Control List (存取控制表)

Slides:



Advertisements
Similar presentations
Copyright©2013 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without.
Advertisements

打造活动品牌 推动队建发展 杨浦区少先队总辅导员 章希苓.
朝阳区统计系统 网络基础知识培训 计算机中心
第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
《计算机网络技术》 课程整体设计介绍.
第10章 局域网与Internet互联 RCNA_T010.
计算机网络的组成 资源子网:   主机 终端 终端控制器   外设 软件资源 信息资源    .
数据转发过程.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表
第3章 路由技术—动态路由.
實驗六 路由器操作設定實驗 教師: 助教:.
第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
校園網路管理實電務 電子計算機中心 謝進利.
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
宽带路由器配置与应用.
第 6 章 IP 遶送.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
Cisco網路設備之設定與管理 台大計資中心 李美雯
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Router 設定 B 許雅婷 B 呂東烜 B 梁琨貿 B 陳人豪.
传输层是整个协议层次的核心,其任务是在源机器和目标机器之间提供可靠的、性价比合理的数据传输功能,并与当前所使用的物理网络完全独立
Access Control List (存取控制表)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第八章 用访问列表初步管理 IP流量.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第 16 章 Internet架構.
TCP協定 (傳輸層).
第六章 差错与控制报文 (ICMP).
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
Socket 基本觀念.
Wireless and Mobile Multimedia Networks
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
系統與網路管理工具.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
第 2 章 TCP / IP 簡介.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
网络系统集成技术 访问控制列表 Access Control List 第七章.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
第4章 OSI傳輸層.
TCP/IP介紹 講師:陳育良 2018/12/28.
無線路由器(AP)管理.
江西财经大学信息管理学院 《组网技术》课程组
ACL与包过滤 技术培训中心.
第七讲 网际协议IP.
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
實驗22 NetSim-Cisco存取規則清單
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
iSoftStone Information Service Corporation
Firewall-pfsense Mars Su
Wireshark DNS&HTTP封包分析
實驗23 NetSim - Network Address Translation (NAT)
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
傳輸控制協議 /互聯網協議 TCP/IP.
谢聪.
Speaker : Chang Kai-Jia Date : 2010/04/26
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
IP Layer Basics, Firewall, VPN, and NAT
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
IP Layer Basics & Firewall
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
第 4 章 网络层.
Presentation transcript:

Access Control List (存取控制表) 王振生

存取控制表的運作 no 路徑選擇 no 進入介面 離開介面 封包

存取控制表的處理流程 只要有設定,經過路由器的封包都必須被過濾 設定在進入介面(in)的ACL,封包將在進行路由處理之前被過濾。 設定在輸出介面(out)的ACL,封包將在進行路由處理之後,輸出前被過濾。 封包將依ACL設定的規則(rules),依序檢查,若條件符合,後面規則不再檢查。 用「deny」表示這個封包應該被擋掉。 用「permit」表示這個封包可以放行。 在任何一個ACL後,預設有一行「deny all」的設定。 每個介面,每個協定,每個方向,只允許一個ACL

定義存取控制表的指令 Step1.定義存取控制表 Step2.在介面上啟動存取控制表 標準式 延伸式 命名式 指令 設定模式 access-list {1-99, 1300-1999}{permit|deny} source-addr [source-mask] Global 延伸式 access-list {100-199,2000-2699}{permit|deny} protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask][operator operand][established] 命名式 ip access-list {standard|extended} name {permit|deny} protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] ip access-group {number [in|out]} Interface

查詢存取控制表的指令 Router#show ip interface Router#show access-list 功能 Router#show ip interface Includes reference to the access lists enabled on the interface for protocol IP 顯示針對ip協定,每個介面的狀態,包括ACL的設定 Router#show access-list Shows details of all configured access lists 顯示針對每個協定曾定義的ACL Router#show ip access-list Show IP access lists 顯示針對ip協定曾定義的ACL

標準IP存取控制表 標準ACL只檢查封包的IP來源地址。 可用萬用遮罩設定IP區段 共四個位元組或32bits 0要符合(檢查),1不檢查(任意數字) 設定要盡量靠近目的端

萬用遮罩(Wildcard Mask) 要定義174.40.16.0至174.40.31.255的區段,則設WM為0.0.15.255。 10101110 00101000 00010000 00000000 紅色部分為相同 174.40.31.255 10101110 00101000 00011111 11111111 00000000 00000000 00001111 11111111 0.0.15.255 0代表「檢查位元」 檢查位元會與設定的網段值比較

萬用遮罩(Wildcard Mask) 要定義174.40.16.0至174.40.63.255的區段,則WM需定義為何? 10101110 00101000 00010000 00000000 (174.40.16.0) 10101110 00101000 00011111 11111111 (174.40.31.255) 10101110 00101000 00100000 11111111 (174.40.32.0) 10101110 00101000 00111111 11111111 (174.40.63.255) 00000000 00000000 00001111 11111111 (0. 0.15.255) 00000000 00000000 00011111 11111111 (0.0.31.255) 分成两個區段

ACL的常用關鍵字 host:代表單一主機IP,例:host 192.172.2.56 permit:許可 deny:拒絕 any:代表任何IP (等於0.0.0.0 255.255.255.255) eq:等於 lt:小於 gt:大於

實驗的架構圖 PC1 1.2 1.1 E0 →FastEthernet0/0 S0 →Serial0/1/0 S1 →Serial0/1/1

IP存取控制表實驗 標準式實驗任務 不允許PC3連線PC1 lotus乙太網路上的主機,不允許連線 porsche乙太網路上的主機。 允許所有其他封包 延伸式實驗任務 PC3僅能用telnet連接到PC1,其它方式都禁止 ferrari乙太網路上的主機都禁止用ping指令測試 lotus乙太網路上的主機,不允許連線到 porsche乙太網路上的主機 所有其他連接都允許。

延伸式IP存取控制表 允許比較封包中的”來源位址”、”目的地位址”、”傳輸層的Port號碼”、” Protocol” 設定要盡量靠近來源端

延伸式IP存取控制表 IP TCP, UDP, ICMP Source IP Address Destination IP Address IP Field Identifies Next header (TCP, UDP,etc.) IP Field Identifies Next header (TCP, UDP,etc.) Destination Port (UDP & TCP Only) Protocol Source Port (UDP & TCP Only)

延伸式IP存取控制表 access-list statement Explanation of What Matches ip access-list 101 deny tcp any host 10.1.1.1 Packet with any source address, destination must be 10.1.1.1, with a TCP header, with destination port 23 ip access-list 101 deny tcp any host 10.1.1.1 eq telnet Same as last example; telnet keyword used instead of port 23 ip access-list 101 deny udp 1.0.0.0 0.0.0.255 lt 1023 any Packet with source in network 1.0.0.0 to any destination, using UDP with source port less than 1023 ip acccess-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 44.1.2.3 0.0.255.255 Packet with source in network 1.0.0.0, to destinations beginning 44.1, using UDP with source port less then 1023 ip access-list 101 deny ip 33.1.2.0 0.0.0.255 44.1.2.3 0.0.255.255 Packet with source in 33.1.2.0/24, to destinations beginning 44.1. ip access-list 101 deny icmp 33.1.2.0 0.0.0.255 44.1.2.3 0.0.255.255 echo Packet with source in 33.1.2.0/24, to destinations beginning 44.1, with are ICMP echo requests.

延伸式IP存取控制表實驗 實驗任務 PC3僅能用telnet連接到PC1,其它方式都禁止 ferrari乙太網路上的主機都禁止用ping指令測試 lotus乙太網路上的主機,不允許連線到 porsche乙太網路上的主機 所有其他連接都允許。

命名式IP存取控制表 命名式IP存取控制表和數字式的IP存取控制表有一樣的使用邏輯 名字讓管理者更加容易記住存取控制表的功能。

命名式IP存取控制表 Router(config)# ip access-list extended web Router(config-ext-nacl)#permit tcp host 172.1.1.2 eq www any Router(config-ext-nacl)#deny icmp any 172.4.1.0 0.0.0.255

存取控制表注意事項 控制規則的順序相當重要 每個控制表後都有一個「deny all」 延伸式IP存取控制表,要盡量靠近來源端 標準式IP存取控制表,要盡量靠近目的端