ACL与包过滤 技术培训中心.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

天水圍的體育設施.
项目六 路由器基本配置与管理.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
第10章 局域网与Internet互联 RCNA_T010.
数据转发过程.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
校園網路管理實電務 電子計算機中心 謝進利.
项目四 组建跨地区网络 授课教师:肖颖.
宽带路由器配置与应用.
第7章 网络安全.
Cisco網路設備之設定與管理 台大計資中心 李美雯
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Access Control List (存取控制表)
利用 ISA Server 2004 建置應用層防護機制
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
通訊協定 OSI分層模式 與 TCP/IP協定
第八章 用访问列表初步管理 IP流量.
计算机网络原理 计算机与信息工程分院 周文峰.
Hadoop I/O By ShiChaojie.
路由器的安全配置 中国科技网工作交流会 2010年4月16日 何群辉.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Internet Protocol (IP)
网络设备配置与管理 子项目1 登录与管理交换机.
32 bit destination IP address
IP協定 (網路層).
访问控制列表(ACL) Version 1.0.
第二讲 搭建Java Web开发环境 主讲人:孙娜
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
聚合端口.
系統與網路管理工具.
锐捷网络实验室项目培训 交换技术.
DGS-1510 基隆教網教育訓練文件.
RG-N18000K.
第 2 章 TCP / IP 簡介.
大学计算机基础 典型案例之一 构建FPT服务器.
SVN服务器的搭建(Windows) 柳峰
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
网络系统集成技术 访问控制列表 Access Control List 第七章.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
Access Control List (存取控制表)
江西财经大学信息管理学院 《组网技术》课程组
第七讲 网际协议IP.
第一章 網站架設流程與空間申請 講授者:詹雅愔.
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
實驗5 IP協定分析 明瞭IP(Internet Protocol;Internet協定)的基礎觀念
傳輸控制協議 /互聯網協議 TCP/IP.
Source: Journal of Network and Computer Applications, Vol. 125, No
谢聪.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
ES 索引入门
第8章 網際網路協定IPv6介紹與設定 蕭志明老師 CCNA教學.
谢聪.
Speaker : 翁瑄伶 Advisor : 柯開維 博士 Date: 2016/07/31
第10讲 Web服务.
实验六静态路由.
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
Presentation transcript:

ACL与包过滤 技术培训中心

学习目标 了解ACL的作用与分类 了解ACL的基本规则 掌握用ACL进行包过滤 8

课程内容 第一章 ACL 第二章 包过滤

技术背景 引入ACL的技术背景 网络中数据流的多样性 用户要求对某些特定的数据流采取特殊的策略 需要一种工具来挑选感兴趣的数据流 只允许特定的主机访问服务器 限制FTP流量占用的带宽 过滤某些路由信息 需要一种工具来挑选感兴趣的数据流

ACL概述 Access Control list 访问控制列表 ACL作用 对网络设备上的数据流进行分类识别的工具 包过滤 允许或者拒绝特定的数据流经网络设备,保证网络安全 其它 QoS 策略路由 路由过滤

ACL的分类 IPv4 ACL IPv6 ACL 其他 根据命名规则 标准IP ACL 扩展IP ACL 基于MAC的ACL(MAC ACL) 专家ACL(Expert ACL) 根据命名规则 编号ACL 命名ACL

ACL的工作原理 ACL的组成 ACL工作原理 由一组具有相同编号或者名字的访问控制规则组成(ACL规则) 规则中定义检查字段 由Permit/deny定义执行的动作 ACL工作原理 通过编号或者名字调用ACL 网络设备根据ACL规则检查报文,并采取相应操作

ACL基本规则 ACL规则匹配顺序 一个ACL中至少要有一条Permit规则 经常匹配的、细化的语句放在前面 从上至下 当报文匹配某条规则后,将执行操作,跳出匹配过程 缺省最后隐含一条“deny any”的规则 一个ACL中至少要有一条Permit规则 经常匹配的、细化的语句放在前面

标准IP ACL 标识方法 编号 1~99和1300~1999 命名 standard 定义字段 源IP地址信息

配置标准IP ACL 全局配置模式 ACL配置模式 ruijie(config)#access-list access-list-number { permit | deny } { any | source source-wildcard } [ time-range time-range-name ] ACL配置模式 ruijie(config)# ip access-list standard { name | access-list-number } Ruijie(config-std-nacl)#{ permit | deny } { any | source source-wildcard } [ time-range time-range-name ] Ruijie(config)#ip access-list standard sample Ruijie(config-std-nacl)#permit 172.16.1.0 0.0.0.255

扩展IP ACL 标识方法 编号 100~199和2000~2699 命名 定义字段 源IP地址、目的IP地址、协议、源端口、目的端口

配置扩展IP ACL 全局配置模式 ruijie(config)#access-list access-list-number { deny | permit } protocol { any | source source-wildcard } [ operator port ] { any | destination destination-wildcard } [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] Ruijie(config)#access-list 101 deny ip 172.16.2.0 0.0.0.255 host 192.168.6.8 Ruijie(config)#access-list 101 permit any any

配置扩展IP ACL ACL配置模式 ruijie(config)# ip access-list extended { name | access-list-number } Ruijie(config-ext-nacl)#{ permit | deny } protocol { any | source source-wildcard } [ operator port ] { any | destination destination-wildcard } [ operator port ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] Ruijie(config)#ip access-list extended sample Ruijie(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 192.168.6.10 eq www

IPv6 ACL 标识方法 定义字段 命名 扩展ACL 源IPv6地址、目的IPv6地址、下一跳头部、源端口、目的端口等信息 Ethernet IPv6头部 TCP/UPD DATA 源 目标IPv6地址 源 目标端口号 下一跳头部

配置IPv6 ACL ACL配置模式 Ruijie(config)#ipv6 access-list name Ruijie(config-ipv6-acl)#sn]{ permit | deny } protocol { source IPv6-prefix/prefix-len |host source-ipv6-address |any } [ operator port ] { any | destination IPv6-prefix/prefix-len |host source-ipv6-address |any } [flow-label ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] Ruijie(config)#ipv6 access-list sample Ruijie(config-ipv6-acl)#permit ipv6 2001::/64 any

MAC ACL 标识方式 编号:700~799 命名 定义字段 源MAC地址、目的MAC地址、以太网类型

配置MAC ACL 全局配置模式 ACL配置模式 ruijie(config)#access-list access-list-number { permit | deny } { any | host source-mac-address } { any | host destination-mac-address } [ ethernet-type ] [ time-range time-range-name ] ACL配置模式 Ruijie(config)#mac access-list extended { name | access-list-number } Ruijie(config-mac-nacl)# { permit | deny } { any | host source-mac-address } { any | host destination-mac-address } [ ethernet-type ] [ time-range time-range-name ]

专家ACL 标识方法 编号:2700~2899 命名 过滤元素 源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口

配置专家 ACL 全局配置模式 ACL配置模式 ruijie(config)#access-list access-list-number { permit | deny } [ protocol | ethernet-type ] [ VID vid ] [ { any | source source-wildcard } ] { host source-mac-address | any } [ operator port ] [ { any | destination destination-wildcard } ] { host destination-mac-address | any } [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] ACL配置模式 Ruijie(config)# expert access-list extended { name | access-list-number } Ruijie(config-exp-nacl)# 。。。。。。

基于时间的ACL 基于时间的ACL 时间段 在ACL规则中使用time-range参数引用时间段 任何类型的ACL都可以应用时间段 未引用时间段的规则将不受影响 确保设备的系统时间的正确 时间段 绝对时间段(absolute) 周期时间段(periodic)

配置基于时间 的ACL 配置时间段 配置绝对时间 配置周期时间 Ruijie(config)#time-range name Ruijie(config-time-range)# absolute { start time [ end time ] 配置周期时间 Ruijie(config-time-range)# periodic time to time

ACL规则的修改 全局模式下编号ACL规则的修改 ACL配置模式下ACL规则的修改 新规则添加到ACL的末尾 无法单独删除某条规则 建议: 导出配置文件进行修改 将ACL规则复制到编辑工具进行修改 删除所有ACL规则重新编写 ACL配置模式下ACL规则的修改 可以给ACL规则编序号,按照序号查找匹配规则 可以在任意位置插入新的ACL规则 可以删除特定的ACL规则

课程内容 第一章 ACL 第二章 包过滤 23

包过滤 缺省情况下,网络设备会转发所有数据 在接口下绑定IP access-group (包过滤)命令,对流经该接口的数据进行过滤 包过滤对本地生成的外出的数据不生效

包过滤 Ruijie(config-IF)#ip access-group ACL in/out IN OUT

包过滤的配置 定义访问控制列表 在接口下调用访问控制列表 使用ACL定义规则 Permit表示放通,deny表示丢弃 通过多个相同编号或者名字的规则定义一系列相互关联的规则 在接口下调用访问控制列表 在接口下使用IP access-group调用访问ACL 通过IN/OUT定义方向

包过滤的调试 显示全部的访问控制列表 显示指定的访问控制列表 显示接口的访问列表应用 Router#show access-lists Router#show access-group interface 接口号

包过滤案例一 需求:172.16.1.0网段的主机不可以访问服务器172.17.1.1,其它主机访问服务器172.17.1.1不受限制。

包过滤案例二 需求:网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务,而对该服务器的其它服务禁止访问,可以访问172.17.1.2的任何服务

包过滤案例三 需求:上班时间(9:00~18:00)不允许员工的主机(172.16.1.0/24)访问Internet,下班时间可以访问Internet上的Web服务。

包过滤案例四 需求:只允许172.16.1.10这台主机远程telnet路由器 Router(config)#enable secret ruijie Router(config)#access-list 3 permit host 172.16.1.10 Router(confg)#line vty 0 4 Router(config-line)#password ruijie Router(config-line)#access-class 3 in

包过滤案例四 需求:只允许2001::/64这个网段的用户的数据通过 ruijie(config)#ipv6 access-list sample ruijie(config-ipv6-nacl)#permit ipv6 2001::/64 any ruijie(config)#int FA0/1 ruijie(config-if)#ipv6 enable ruijie(config-if)#ipv6 traffic-filter sample in 2001::/64 2001:301::/64

课程回顾 ACL的作用及分类 ACL的配置 包过滤与ACL

谢 谢!