项目十二安全策略与数据流量过滤.ppt

项目十二安全策略与数据流量过滤 1 教学目标 掌握网络安全策略布置原则 掌握IP标准及扩展访问控制列表配置技能 能够根据实际需求准确配置IP访问控制列表 具体如下 1 了解IP标准及扩展访问控制列表的功能及用途 2 掌握IP标准访问控制列表配置技能 3 掌握IP扩展访问控制列表配置技能 2 工作任务 根据客户工作任务的具体要求 配置IP标准或扩展访问控制列表 实现网络数据流量控制 模块1IP标准访问控制列表的建立及应用 教学目标 了解IP标准访问控制列表的功能及用途 掌握路由器IP标准访问控制列表配置技能 掌握交换机IP标准访问控制列表配置技能 2 工作任务你是学校网络管理员 学校的财务处 教师办公室和校办企业财务科分属不同的3个网段 三个部门之间通过路由器进行信息传递 为了安全起见 学校领导要求你对网络的数据流量进行控制 实现校办企业财务科的主机可以访问财务处的主机 但是教师办公室主机不能访问财务处主机 3 相关实践知识 首先对两路由器进行基本配置 实现三个网段可以相互访问 然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表 允许192 168 1 0网段 校办企业财务科 主机发出的数据包通过 不允许192 168 2 0网段 教师办公室 主机发出的数据包通过 最后将这一策略加到路由器RouterB的Fa0端口 如图12 1所示 图12 1路由器IP标准访问控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdownRouterA config if Exit RouterA config interfacefastethernet1RouterA config if ipaddress192 168 12 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config interfacefastethernet2RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config iproute192 168 3 0255 255 255 0192 166 12 2路由器RouterB同理配置 第2步 在路由器RouterB上配置IP标准访问控制列表RouterB config access list1deny192 168 2 00 0 0 255RouterB config access list1permit192 168 1 00 0 0 255验证测试RouterB showaccess list1第3步 应用在路由器RouterB的Fa0接口输出方向上RouterB config interfacefastethernet0RouterB config if ipaccess group1out验证测试RouterB showipinterfacefastethernet0 4 相关理论知识 ACL概述访问控制列表 ACL 是在交换机或路由器上定义一些规则 对经过网络设备的数据包根据一定规则进行过滤 ACL分类 1 编号访问控制列表 在路由器配置的访问控制列表是由编号来命名的 包括IP标准访问控制列表和IP扩展访问控制列表 2 命名访问控制列表 在三层交换机配置的访问控制列表是由字符串名字来命令的 包括IP标准访问控制列表和IP扩展访问控制列表 编号标准访问控制列表 1 标准访问控制列表在路由器上建立的访问控制列表 其编号取值范围为1 99之间整数值 只根据源IP地址过滤流量 在标准或扩展访问列表的末尾 总有一个隐含的Denyall 这意味着如果数据包源地址与任何允许语句不匹配 则隐含的Denyall将会禁止该数据包通过 2 定义访问控制列表R config access listaccess listnumber permit deny source sourcemask 其中 access listnumber 访问列表序号 范围是1 99 Permit deny 允许 禁止满足条件的数据包通过 Source 过滤数据包的源IP地址 Sourcemask 通配屏蔽码 1 不检查位 0 必须匹配位 例12 3 定义访问控制列表1拒绝特定主机192 168 10 1的流量 但允许其它的所有主机 R config access list1denyhost192 168 10 1R config access list1permitany 3 应用访问控制列表访问控制列表需要应用到路由器的一个接口上 应用到一个接口上可选择入栈 IN 或出栈 OUT 二个方向 例12 5 将访问控制列表1应用到路由器的接口fastethernet0的入栈方向上 R configureterminalR config interfacefastethernet0R config if ipaccess group1inR config if end 命名标准访问控制列表在三层交换机上配置命名标准访问控制列表 也是采用定义ACL 在接口上应用ACL 查看ACL等步骤进行 第1步 进入Access list配置模式 用名字来定义一条标准访问控制列表 Switch config ipaccess liststandard name Switch config std nacl 第2步 定义访问控制列表条件Switch config std nacl deny sourcesource wildcard hostsource any 或permit sourcesource wildcard hostsource any Switch config std nacl exitSwitch config 其中 permit允许通过 deny禁止通过 Source是要被过滤数据包的源IP地址 source wildcard是通配屏蔽码 指出该域中哪些位进行匹配 1表示允许这些位不同 0表示这些位必须匹配 Hostsource代表一台源主机 其source wildcard为0 0 0 0 any代表任意主机 即source为0 0 0 0 source wildcard为255 255 255 255 第3步 应用访问控制列表Switch config interfacevlann其中 n是指Vlann 以实现进入SVI模式Switch config if ipaccess group name in out 其中 name为访问控制列表名称 in或out为控制接口流量方向 Switch config if 例12 7 在交换机上配置访问控制列表 实现只禁止192 168 2 0网段上主机发出的数据 而允许其它任意主机 Switch configureterminalSwitch config Switch config ipaccess liststandarddeny 2 0Switch config std nacl deny192 168 2 00 0 0 255Switch config std nacl permitanySwitch config std nacl exitSwitch config interfacevlan2Switch config if ipaccess groupdeny 2 0inSwitch config if endSwitch showaccess lists 模块2IP扩展访问控制列表的建立及应用 教学目标 了解IP扩展访问控制列表功能及用途 掌握路由器IP扩展访问控制列表配置技能 掌握交换机IP扩展访问控制列表配置技能 2 工作任务你是学校网络管理员 学校的网管中心分别架设FTP Web服务器 其中FTP服务器供教师专用 学生不可使用 Web服务器教师和学生都可访问 FTP及Web服务器 教师办公室和学生宿舍分属不同的3个网段 三个网段之间通过路由器进行信息传递 要求你对路由器进行适当设置实现网络的数据流量控制 3 相关实践知识 首先对两路由器进行基本配置 实现三个网段相互访问 然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表 不允许192 168 1 0网段 学生宿舍 主机发出的去192 168 3 0网段的FTP数据包通过 允许192 168 1 0网段主机发出的其它服务数据包通过 最后将这一策略加到路由器RouterA的Fa0端口 如图12 4所示 图12 4路由器IP扩展访问控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdownRouterA config if Exit RouterA config interfacefastethernet1RouterA config if ipaddress192 168 12 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config interfacefastethernet2RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config iproute192 168 3 0255 255 255 0192 166 12 2路由器RouterB同理配置 第2步 在路由器RouterA上配置IP扩展访问控制列表拒绝来自192 168 1 0网段去192 168 3 0网段的FTP流量通过RouterA config access list101denyTCP192 168 1 00 0 0 255192 168 3 00 0 0 255eqFTP允许其它服务的流量通过RouterA config access list101permitIPanyany验证测试RouterA showaccess list101第3步 把访问控制列表应用在路由器RouterA的Fa0接口输入方向上 RouterA config interfacefastethernet0RouterA config if ipaccess group101in 4 相关理论知识 编号扩展访问控制列表扩展编号访问控制列表同标准编号访问控制列表一样也是在路由器上创建的 其编号范围为100到199之间 扩展IP访问控制列表可以基于数据包源IP地址 目的IP地址 协议及端口号等信息来过滤流量 配置编号扩展访问控制列表R config access listlistnumber permit deny protocolsourcesource wildcard maskdestinationdestination wildcard mask operatoroperand 其中 Listnumber 规则序号 范围为100 199 Permit deny 允许 或禁止满足该规则的数据包通过 protocol 0 255之间协议号 也可用协议名 如IP TCP和UDP operatoroperand 用于指定端口范围 缺省为全部端口号0 65535 只有TCP和UDP协议需要指定端口范围 例12 8 在路由器R上配置访问控制列表 实现只允许从129 8 0 0网段的主机向202 39 160 0网段的主机发送WWW报文 禁止其它报文通过 R config Access list100permittcp129 8 0 00 0 255 255202 39 160 00 0 0 255eqwwwR config interfacefastethernet0R config if ipaccess group100inR showaccess lists 命名扩展访问控制列表第1步 用名字来定义一个命名扩展访问控制表 并进入扩展访问控制列表配置模式Switch config ipaccess listextended name witch config ext nacl 第2步 定义访问控制列表条件Switch config ext nacl deny permit protocol sourcesource wildcard hostsource any operatorport destinationdestination wildcard hostdestination any operatorport Switch config ext nacl exitSwitch config 其中 Deny 禁止通过 Permit 允许通过 Protocol 协议类型 TCP tcp UDP udp IP ip Source 源IP地址 source wildcard 源IP地址通配符 Hostsource 源主机 其source wildcard为0 0 0 0 hostdestination 目标主机 其destination wildcard为0 0 0 0 Any 任意主机 即source或destination为0 0 0 0 source wildcard或destination wildcard为255 255 255 255 Operator 操作符 只能为eq Port TCP或UDP的端口号 范围为0 65535 例12 9 在交换机上配置访问控制列表 实现只允许192 168 2 0网段上主机访问IP地址为172 16 1 100的Web服务器 而禁止其它任意主机使用 Switch config ipaccess listextendedallow 2 0Switch config ext nacl permittcp192 168 2 00 0 0 255host172 16 1 100eqwwwSwitch config ext nacl exitSwitch config interfacevlan2Switch config if ipaccess groupallow 2 0inSwitch config if end 模块3基于时间的访问列表建立与应用 教学目标 了解基于时间访问控制列表的功能及用途 掌握路由器基本时间访问控制列表配置技能 2 工作任务你是某公司的网管 为了保证公司上班时间的工作效率 公司要求上班时间只可以访问公司的内部网站 下班后员工可以随意放松 访问网络不受限制 3 相关实践知识 在路由器上进行基本配置 然后设置基于时间的访问控制列表 把这个访问控制列表应用于路由器的Fa0接口 如图12 5所示 图12 5基于时间的访问控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdown RouterA config if ExitRouterA config interfacefastethernet1RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if Exit第2步 配置路由器的时钟RouterA showclockClock 1987 1 165 19 9重新设置路由器当前时钟和实际时钟同步RouterA config clockset16 03 4027april2006 4 27RouterA showclockClock 2006 4 2716 04 9 第3步 定义时间段RouterA config time rangefreetime定义绝对时间段RouterA config time range absolutestart8 001jan2006end18 0030dec2010定义周期性时间段RouterA config time range periodicdaily0 00to9 00RouterA config time range periodicdaily17 00to23 59RouterA showtime rangeTime rangeentry freetime inactive Absolutestart8 0001january2006end18 0030december2010Periodicd