Download presentation
Presentation is loading. Please wait.
1
實驗22 NetSim-Cisco存取規則清單
實驗目的: 明瞭Cisco安全管理法則 建立ACLs-Standard、Extended
2
背景資料 Access List(存取規則清單)或Access Control List(ACL)是網路安全中的一項必要功能,當網路規模還很小時,常會使用密碼來允許使用者得到設備的權限,但如果網路規模愈來愈大時,網路管理者會開始面臨到存取上的管理問題,而Access List就是用來解決大中型網路上存取關係問題的方式。 當Access List功能啟動之後,如果有個封包進入路由器時,路由器所扮演的不再只是轉送的角色而已,而是要經過Access List的測試,才可以轉送出去,假若無法通過Access List中的存取規則,該封包就會被丟棄(drop)。
3
IP存取列表 IP網路環境中,我們使用IP存取列表有分成IP標準的存取列表(IP Standard Access Lists)及IP延伸的存取列表(IP extended Access Lists),範圍如下表所示。
4
標準的IP存取列表 標準的IP存取列表如圖示,只有比對封包的來源位址,然後進行允許(permit)或拒絕(deny)的限制動作。
5
標準的IP存取列表 標準的IP存取列表的語法,如下所示:
access-list access-list-number {permit|deny} source [wildcard mask] access-list是主要的指令,而後面的參數說明如下: access-list-number:存取列表的號碼,標準的IP存取列表號碼是1~99。 permit|deny:指定這條規則是[允許|拒絕]。 source:要使用這條規則的來源IP位址。 wildcard mask:通配遮罩,0是進行檢查,1是不檢查。
6
通配遮罩 (wildcard mask) 範例一:source:192.192.73.120 範例二:source:192.192.73.0
7
在訪問列表的最後有一條隱含聲明︰deny any,即使並沒有設定,所以每一條正確的訪問列表都至少應該有一條允許語句。
標準的IP存取列表 在訪問列表的最後有一條隱含聲明︰deny any,即使並沒有設定,所以每一條正確的訪問列表都至少應該有一條允許語句。
8
通配遮罩 通配遮罩用來設定個別的主機、網路區塊、或特定範圍的一個網路或多個網路,和子網路遮罩不同的是它並不需要連續的0再接上連續的1,其中0是進行檢查,1是不檢查,例如 ( ),表示不檢查最後第5,2,1位元,不過除非是考試需要否則一般並不會如此設定,底下用一些實用範例來說明通配遮罩的設定。
9
通配遮罩 個別的主機 標準存取列表 延伸存取列表 Access-list 1 permit 192.168.1.1 0.0.0.0
Access-list 1 permit host 延伸存取列表 Access-list 101 permit ip any Access-list 101 permit ip host any
10
通配遮罩
11
通配遮罩
12
通配遮罩
13
通配遮罩
14
通配遮罩
15
啟動Access List 設定好存取列表的規則後,我們必需在指定的介面上啟動列表才算完成設定。啟動的語法如下所示:
ip access-group access-list-number {in | out} ip access-group是主要指令,其後面的參數說明如下: access-list-number:是已設定好的存取列表編號。 in/out:in是進入介面,out是從介面輸出,預設是out。
16
路由器有ACL的封包處理流程 路由器待處理的封包數量眾多,所以增加ACL會增加路由器的負擔,有時會建議使用專用防火牆來過濾封包。
17
路由器有ACL的封包處理流程
18
路由器有ACL的封包處理流程
19
延伸的IP存取列表 IP延伸存取列表,顧名思義,就是IP標準存取列表的進階版本。IP延伸存取列表如圖示,可以使用較多的控制參數,比對封包的來源位址、目的位址、埠號和協定,然後進行允許(permit)或拒絕(deny)的限制動作。
20
延伸的IP存取列表
21
延伸的IP存取列表 延伸的IP存取列表的語法如下所示:
access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
22
延伸的IP存取列表 其中access-list是主要的指令,而後面的參數說明如下:
access-list-number:存取列表的號碼,延伸的IP存取列表號碼是100~199。 permit|deny:指定這條規則是[允許|拒絕]。 protocol:可以使用的協定,有tcp、udp、IP、ICMP、IGRP、EIGRP、OSPF等。 source source-wildcard:來源位址的IP。source-wildcard是用來辨識來源IP位址是否符合我們想要制定的規則,當source-wildcard為1時忽略不檢查,若為0則是需要檢查,用法和標準存取列表相同,而any是代表任何來源的IP封包,也就是 。 destination destination-wildcard:目的位址的IP,和source source-wildcard的用法一樣。 operator port:協定指定的選項。 log:記錄有關封包進入存取列表的資訊。
23
延伸的IP存取列表 access-list 101 permit tcp any eq telnet access-list 102 permit ip any access-list 101 deny tcp eq 21 access-list 101 deny tcp eq 20 access-list 101 permit ip any any
24
實驗方法 實驗要求:不允許172.16.0.0/16, 192.168.2/0, 192.168.3.1連線至PC1。 首先建立存取列表
(config)#access-list 1 deny (config)#access-list 1 deny (config)#access-list 1 deny host (config)#access-list 1 permit any
25
標準存取列表 啟動這條規則,並可用『show ip interface f0/0』來驗證,過程如下所示:
(config)#interface f0/0 (config-if)#ip access-group 1 out
26
延伸存取列表 實驗要求:新竹(Router 2)只允許由高雄(Router 3)來telnet。
路由器要使用telnet命令來被遠端虛擬終端控制的話,其路由器需在vty上設有密碼,本實驗要求新竹(Router 2)可被telnet,相關命令請參考實驗十六。 首先建立存取列表 (config)#access-list 101 permit tcp host any eq telnet (config)#access-list 101 permit tcp host any eq telnet (config)#access-list 101 permit tcp host any eq telnet (config)#access-list 101 deny tcp any any eq telnet (config)#access-list 101 permit ip any any
27
延伸存取列表 啟動這條規則,並可用『show ip interface f0/0』來驗證,過程如下所示:
(config)#interface s0 (config-if)#ip access-group 101 in (config-if)#interface s1
28
延伸存取列表
29
延伸存取列表 接下來分別使用台北(Router 1)和高雄(Router 3)對新竹(Router 2) telnet來驗證。
30
延伸存取列表 實驗要求:高雄(Router 3)不允許PING。 首先建立存取列表 接下來,啟動這條規則,過程如下所示:
(config)#access-list 101 deny icmp any any (config)#access-list 101 permit ip any any 接下來,啟動這條規則,過程如下所示: (config-if)#interface s0 (config-if)#ip access-group 101 in (config-if)#interface s1 (config-if)#interface s2 (config-if)#interface f0/0
31
名稱式存取清單 名稱式存取清單不是另外種類存取清單,僅是一種產生標準與延伸式存取清單的方法,名稱式存取清單可用名稱來產生,讓我們以較有意義的方式來參考,這存取清單沒有任何新的或不同的意義,命令如下: ip access-list {extended |logging | standard} access-list-name 啟動名稱式存取清單的語法如下所示: ip access-group access-list-name {in | out}
32
學習評量 說明建立存取列表的目的。 說明標準存取列表的範圍。 說明伸存取列表的範圍。 any所代表的位址為何?
說明哪個指令是指啟動存取列表? 說明何謂Source-wildcard?該如何計算? 說明存取列表和防火牆是否相同? 說明TCP和UDP常用的port號為何? 說明標準存取列表和延伸存取列表的差異性。 在延伸存取列表的實驗中,新竹(Router 2)只允許由高雄(Router 3)來telnet,除實驗範例外有沒有其它的指定方式?
Similar presentations