《计算机网络基础》课件ch7.pptx

上传人：qtqtqtqt

文档编号：616389

上传时间：2023-05-13

格式：PPTX

页数：31

大小：2.54MB

《《计算机网络基础》课件ch7.pptx》由会员分享，可在线阅读，更多相关《《计算机网络基础》课件ch7.pptx（31页珍藏版）》请在文字多文库上搜索。

1、第7章访问控制列表,第7章访问控制列表,7.1 网络安全术语7.2 访问控制列表基础7.3 标准的访问控制列表7.4 扩展的访问控制列表7.5 命名的访问控制列表7.6 注释7.7 验证访问控制列表,2,7.1 网络安全术语,网络安全策略,3,网络安全术语,互联网是公用网络，称为不可信网络(untrusted network)，企业内部网络称为可信网络(trusted network)。内部网络中需要向外提供服务的服务器，往往放在一个单独的网段，这个网段称为非军事区DMZ(Demilitarized Zone)，是一个利用防火墙与其他系统隔绝开来的部分。,4,7.2 访问控制列表基础,访问

2、控制列表的主要任务是对经过路由器的数据包进行过滤，根据定义的条件判定是让数据包通过（permit），还是阻止（deny）数据包并将其丢弃。实现访问控制列表包括两个方面:建立访问控制列表将其应用到路由器接口的入站（in）或出站（out）方向上,5,7.2.1 访问控制列表的分类,标准的访问控制列表：所依据的判断条件只有数据包的源IP地址。扩展的访问控制列表：能够检测数据包第3层和第4层报头中的许多字段。命名的访问控制列表：给标准的访问控制列表或扩展的访问控制列表定义一个名字，由名字来标识一个访问控制列表，而不是一个编号。,6,7.2.2 访问控制列表的应用,把访问控制列表应用到路由器的某个接口上

3、，并指明方向，访问控制列表才能真正发挥作用。对于入站方向的数据流，是先进行过滤，然后再进行路由，没有被过滤掉的数据包才会被路由到路由器的接口发往下一跳。对于出站方向的数据流，数据包已经路由到了路由器的出站接口，在数据包排队之前对其进行过滤，被过滤掉的数据包就会被丢弃.,7,7.2.3 访问控制列表遵循的规则,访问控制列表的编号表明了访问控制列表所属协议及类型一个访问控制列表的配置是每协议、每接口、每方向的访问控制列表语句的顺序决定了对数据包的控制顺序创建访问控制列表时，新增的语句只能放在访问控制列表的末尾,8,在访问控制列表中，将限制性较强的语句放在前面访问控制列表至少包含一条permit语句

4、访问控制列表只能过滤穿越路由器的数据流，对于路由器本身发出的数据流不能进行过滤。将IP标准访问控制列表放在离目的地尽可能近的地方将扩展的访问控制列表放在离源结点尽可能近的地方,9,7.3 标准的访问控制列表,标准的IP访问控制列表使用的编号范围是1-99或1300-1999（扩展范围），由于路由器是通过编号来区分访问控制列表的类型，所以，在创建标准的IP访问控制列表时，必须使用以上范围内的编号，相当于告诉路由器只将源IP地址作为过滤数据包的条件。,10,7.3.1 创建标准的访问控制列表,命令的基本格式如下：Router(config)#access-list access-list-numb

5、er permit|deny test-condition例如，创建编号为1的访问控制列表：Router(config)#access-list 1 permit host 192.168.1.1 Router(config)#access-list 1 deny host 192.168.2.1Router(config)#access-list 1 permit any通配符掩码：与子网掩码类似，长度都是32位，但1、0的作用正好相反。在通配符掩码中，数字0表示网络位，数字1表示主机位。0.0.0.0 255.255.255.255=any,11,7.3.2 标准的访问控制列表举例,例7-

6、1,12,例7-1,在路由器R上配置标准的访问控制列表：R(config)#access-list 1 deny 192.168.10.0 0.0.0.255R(config)#access-list 1 permit any应该将访问控制列表放置在哪个接口上？最合适的位置是放在接口F1/0的出站方向R(config)#int f1/0R(config)#ip access-group 1 out体现了“将IP标准访问控制列表放在离目的地尽可能近的地方”,13,标准的访问控制列表举例,例7-2,14,例7-2,根据前面提到的规则，标准的访问控制列表要设置在离目的地最近的地方，即R1的E0/0接

7、口。配置如下：R1(config)#access-list 1 deny 172.16.10.144 0.0.0.15R1(config)#access-list 1 permit anyR1(config)#interface e0/0R1(config-if)#ip access-group 1 out,15,7.3.3 控制Telnet远程登录,将访问控制列表应用于vty线路，解决Telnet访问的控制问题。既不需要指定协议，也不需要指定目的地址，只要控制发起Telnet的源IP地址就可以了。创建一个标准的访问控制列表，并将其应用于vty线路。例如，只允许192.168.10.254这个

8、主机Telnet访问路由器Router，则其配置为：Router(config)#access-list 2 permit host 192.168.10.254Router(config)#line vty 0 4Router(config-line)#access-class 2 in,16,7.4 扩展的访问控制列表,当需要进行更复杂的判定时，标准的访问控制列表将无法满足需求，需要用到更为灵活的扩展访问控制列表。在扩展的访问控制列表中，可根据源IP地址、目的IP地址、协议以及标识上层协议或应用程序的端口号来对数据包进行过滤。,17,7.4.1 创建扩展的访问控制列表,建立扩展的访问控制列

9、表的命令：Router(config)#access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established logestablished可选项较为特殊，允许在拒绝数据包通过的方向上，让已经建立起会话连接的TCP数据流通过，实现单向访问的目的，不过只适用于TCP而不适用于UDP。,18,创建扩展的访问控制列表,建立扩展的访问控制列表的步骤：Router(config)#a

10、ccess-list 101 deny tcp host 192.168.10.5 host 172.16.20.7 eq 23Router(config)#access-list 101 permit ip any any将建立好的访问控制列表应用于路由器的某个接口的入站方向或出站方向。,19,7.4.2 扩展的访问控制列表举例,例7-3,20,例7-3,根据规则“将扩展的访问控制列表放在离源结点尽可能近的地方”，这里扩展的访问控制列表要配置在路由器R2，并应用于R2接口E0/1的入站方向上。配置如下：R2#config tR2(config)#access-list 101 deny tc

11、p any host 172.16.10.123 eq 21R2(config)#access-list 101 deny tcp any host 172.16.10.123 eq 80R2(config)#access-list 101 permit ip any anyR2(config)#int e0/1R2(config-if)#ip access-group 101 in,21,扩展的访问控制列表举例,例7-4,22,例7-4,有些情况下，不能根据规则“将扩展的访问控制列表放在离源结点尽可能近的地方”。如果将访问控制列表放在离源近的地方，则应放在接口Fa0/0或Fa0/1的入站方向

12、，但只能限制一个部门的流量。为了能使访问控制列表对A、B两个部门都发挥作用，需将访问控制列表应用于接口Fa1/0的出站方向。Router(config)#int fa1/0Router(config-if)#ip access-group 102 out,23,扩展的访问控制列表举例,例7-5,24,例7-5,访问控制列表创建如下：Router#config tRouter(config)#access-list 103 permit tcp host 192.168.40.1 host 172.16.10.1 eq 80Router(config)#access-list 103 deny

13、tcp any host 172.16.10.1 eq 80Router(config)#access-list 103 permit tcp host 192.168.40.2 host 172.16.10.2 eq 21Router(config)#access-list 103 deny tcp any host 172.16.10.2 eq 21Router(config)#access-list 103 permit tcp host 192.168.40.3 host 172.16.10.3 eq 23Router(config)#access-list 103 deny tcp

14、any host 172.16.10.3 eq 23Router(config)#access-list 103 permit ip any any,25,例7-5,如果将访问控制列表应用于靠近源的Fa0/0的入站方向，则其他网络的流量不能被过滤，所以访问控制列表只能应用于接口Fa0/1的出站方向，这是离目的地较近的地方。Router(config)#int fa0/1Router(config-if)#ip access-group 103 out,26,7.4.3 参数established的使用,要求实现从Router0到Router2有关TCP的单向通信,27,参数establishe

15、d的使用,在Router1上的配置如下：Router1(config)#access-list 101 permit tcp any any establishedRouter1(config)#int fa0/1Router1(config-if)#ip access-group 101 inRouter2只能响应Router0发起的TCP连接，而不能发起对Router0的连接。原因在于使用了established参数后，ACL会对TCP报文段中的ACK或RST控制位进行检查。,28,7.5 命名的访问控制列表,命名的访问控制列表并不是一种新型的访问控制列表，只是改变了创建标准的和扩展的访问

16、控制列表的方式，功能上没有区别。命名的访问控制列表的命令如下：Router(config)#ip access-list standard|extended name参数name是定义的访问控制列表名称，区分大小写。举例，创建的访问控制列表StopTelnet,29,7.6 注释,对访问控制列表进行注释就是说明访问控制列表的用途，帮助理解ACL的作用。添加注释的命令：access-list access-list-number remark remark如果要删除注释，可在命令前加no。,30,7.7 验证访问控制列表,show ip access-list显示路由器上配置的IP访问控制列表show access-list显示路由器中配置的所有访问控制列表及其参数show ip interface type/number显示在接口上应用的访问控制列表及其方向show running-config显示配置过的所有命令,31,