《网络设备安全》课件第9章访问控制列表的应用.ppt

资源描述

1、培养目标通过本章的学习，希望您能够：熟悉访问控制列表概念掌握IP访问控制配置方法掌握MAC访问控制列表配置方法熟悉显示ACL配置访问控制列表概述访问控制列表（AccessControlList）是一个有序的语句集，它通过对比报文中字段值与访问控制列表参数，来允许或拒绝报文通过某个接口。访问控制列表作用：安全控制流量过滤数据流量标识ACL语句组成：条件：用来匹配数据包中字段值操作：条件匹配时，可以采取允许和拒绝两个操作ACLACL报文报文ACL工作原理及规则入站ACL入站数据先判断ACL后执行路由ACL工作原理及规则出站ACL出站数据先进行路由再应用ACLACL工作原理及规则基本规则ACL规则按

2、名称或编号进行分组列表中每条ACL语句有一组条件和一个操作，如果需要多个条件或多个操作，则必须使用多个ACL语句来完成如果当前语句的条件没有匹配，则处理列表中的下一条语句如果条件匹配，则执行语句后面的操作，且不再与其他ACL语句进行匹配如果列表中的所有语句都不匹配，那么丢弃该数据包注意：由于ACL语句默认是拒绝不匹配的数据包，所以在列表中至少要有一个允许的操作。否则，所有数据包都会被拒绝掉注意语句的顺序。条件严的语句应该放在列表的顶部，条件宽的语句应该放在列表的底部。从而，避免条件严的语句永远也得不到执行ACL工作原理及规则注意事项一个ACL列表中至少要有一条允许或拒绝的语句只能在设备的每个接

3、口、每个协议、每个方向上应用一个ACLACL只能应用在接口上先处理入站ACL，再进行数据路由先进行数据路由，再处理出站接口上的出站ACLACL会影响通过接口的流量和速度，但不会过滤路由器本身产生的流量放置位置只过滤数据包源地址的ACL应该放置在离目的地尽量近的地方过滤数据包的源地址和目的地址以及其他信息的ACL，则应该尽量放在离源地址近的地方准备知识（四）标准和扩展标准和扩展ACLACLACL的种类ACL种类：标准ACL：只能过滤IP数据包头中的源IP地址扩展ACL：可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等时间ACL：可以根据时间段进行扩展ACL过

4、滤专家ACL：可以过滤源IP、源MAC、源端口、目标IP、目标MAC、目标端口、时间等标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常配置在路由器上实现以下功能：限制通过VTY线路对路由器的访问（telnet、SSH）限制通过HTTP或HTTPS对路由器的访问过滤路由更新标准ACL通过两种方式创建标准ACL：编号或名称使用编号创建创建创建ACLACL(config)#access-list listnumber permit|denyaddresswildcardmask在接口上应用(config-if)#ip access-group id|namein|outIn：当数

5、据流入路由器接口时Out：当数据流出路由器接口时使用命名创建定义ACL名称(config)#ip access-list standardname定义规则(config-std-nacl)#deny|permit sourcewildcardany在接口上应用扩展访问控制列表扩展的IP访问表用于扩展报文过滤的能力。扩展访问列表允许过滤内容：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。扩展访问控制列表通过两种方式创建扩展ACL：编号或名称使用编号创建创建ACL(config)#access-list listnumber permit|deny protoc

6、ol source source-wildcardmask destination destination-wildcardmaskoperator operand在接口上应用(config-if)#ip access-group id|namein|out使用命名创建定义ACL名称(config)#ip access-list extendedname定义规则(config-ext-nacl)#deny|permitprotocolsource source-wildcard|hostsource|anyoperatorport在接口上应用配置标准ACL示例配置扩展ACL示例PART/03

7、扩展ACL定义9.2 IP访问控制列表1)限制主机限制主机192.168.0.222到网络到网络131.107.0.0/16的的ICMP流量流量RB(config)#access-list 101 deny icmp host 192.168.0.222 131.107.0.0 0.0.255.255RB(config)#access-list 101 permit ip any anyRB(config)#int e0RB(config-if)#ip access-group 101 inRB(config-if)#no ip access-group 101 in（如需删除，则使用此命令）

8、（如需删除，则使用此命令）2)限制网络限制网络192.168.0.0/24到所有网络的到所有网络的ICMP流量流量RB(config)#access-list 102 deny icmp 192.168.0.0 0.0.0.255 anyRB(config)#access-list 102 permit ip any anyRB(config)#int e0RB(config-if)#ip access-group 102 inRB(config-if)#no ip access-group 102 in9.2 IP访问控制列表3）只允许主机）只允许主机192.168.0.99通过通过Teln

9、et访问访问131.107.0.0/16网段网段RB(config)#access-list 103 permit tcp host 192.168.0.99 131.107.0.0 0.0.255.255 eq 23RB(config)#int e0RB(config-if)#ip access-group 103 inRB(config-if)#no ip access-group 103 in4）使所有其他网段只能访问）使所有其他网段只能访问192.168.0.0/24的的WWW、FTP、TELNET服务服务RB(config)#access-list 104 permit tcp an

10、y 192.168.0.0 0.0.0.255 eq wwwRB(config)#access-list 104 permit tcp any 192.168.0.0 0.0.0.255 eq ftpRB(config)#access-list 104 permit tcp any 192.168.0.0 0.0.0.255 eq telnetPART/03 扩展ACL定义验证ACL配置显示所有协议的所有ACL查看接口应用的ACL情况Router#showaccess-listsRouter#showipaccess-group交换机除了像路由器一样支持IP访问列表，还支持Ethernet(M

11、AC)访问列表。我们可以在交换机配置IP访问列表过滤IP通信，还可以配置Ethernet访问列表过滤非IP通信。配置MAC扩展ACL的过程，与配置IP扩展ACL的配置过程是类似的。我们只需要按照IPACL方法，将ipaccess-list换成macaccess-list命令来创建MAC扩展ACL，9.3 MAC扩展访问控制列表9.3 MAC扩展访问控制列表步骤步骤命令命令含义含义步骤步骤1switch#configure terminal 进入全局配置模式。进入全局配置模式。步骤步骤2switchr(config)#MAC access-list extended name以名字定义一条以名字

14、特权模式。回到特权模式。步骤步骤5switch#show access-lists name 验证配置。验证配置。步骤步骤6switch#copy running-config startup-config 保存配置（可选）。保存配置（可选）。例如：如何创建及显示一条MAC扩展ACL，以名字macext来命名。该MAC扩展ACL拒绝所有符合指定源MAC地址的aarp报文在创建了一条ACL之后，你必须将其应用到所要过滤的接口上，它才能生效，还需要使用MACaccess-group命令将其应用到指定接口上。首先在全局模式下使用interface命令选定接口，其次在接口下使用如下命令应用ACL，使之生效：macaccess-groupnamein|out9.3 MAC扩展访问控制列表所有路由器协议为rip v2拓扑图中的xx替换为个人学号后两位。只有管理部和销售部可以访问192.168.5.2上的WWW服务，而其他服务不能访问。只有管理部才能访问财务部，其它不可。？Any Question

展开阅读全文

《网络设备安全》课件第9章 访问控制列表的应用.ppt

《网络设备安全》课件第9章访问控制列表的应用.ppt