企业内网安全控制课程(共87页).ppt

1、企业内网平安控制企业内网平安控制 学习情境学习情境2复杂程度复杂程度InternetInternet飞速增长飞速增长Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁蠕虫+病毒+特洛伊广泛的系统黑客攻击下一代网络根底设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫涉及全球网涉及全球网络根底架构络根底架构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响目标影响目标1980s1990s今天

2、今天未来未来平安事件对我们的威胁越来越快平安事件对我们的威胁越来越快网络平安的演化网络平安的演化VLAN北京总部北京总部广州分公司广州分公司上海分公司上海分公司VLANVLANVLANVLANVLANVLAN情景二：构建企业交换式局域网情景二：构建企业交换式局域网情景三：企业内部路由配置情景三：企业内部路由配置情景四：企业内网平安控制情景四：企业内网平安控制情景五：企业广域网接入配置情景五：企业广域网接入配置课程综合工程：课程综合工程：Center公司网络改造工程公司网络改造工程Internet情景一：网络设备选型情景一：网络设备选型课程工程进度课程工程进度本章目标本章目标了解网络平安的根底知

3、识了解网络平安的根底知识掌握网络互联设备的平安控制保护措施掌握网络互联设备的平安控制保护措施掌握交换机端口的平安知识掌握交换机端口的平安知识学习访问控制列表技术学习访问控制列表技术区别不同的访问控制列表技术区别不同的访问控制列表技术任务分解任务分解配置交换机端口安全配置交换机端口安全1配置标准访问控制列表访问安全技术配置标准访问控制列表访问安全技术23配置扩展访问控制列表访问平安技术配置扩展访问控制列表访问平安技术任务进度任务进度配置交换机端口安全配置交换机端口安全12.1 网络平安概述v平安威胁平安威胁v窃听窃听 、重传、重传 、篡改、篡改 、拒绝效劳攻击、拒绝效劳攻击 、行为否认、行为否认

4、 、电子、电子欺骗欺骗 、非授权访问、非授权访问 、传播病毒、传播病毒 v网络攻击方法网络攻击方法 v获取口令获取口令v放置木马程序放置木马程序vWWW的欺骗技术的欺骗技术v电子邮件攻击电子邮件攻击v通过一个节点来攻击其他节点通过一个节点来攻击其他节点v网络监听网络监听v寻找系统漏洞寻找系统漏洞v利用帐号进行攻击利用帐号进行攻击v偷取特权偷取特权0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫病毒/网络蠕虫针对网络服务器漏洞的攻击针对网络服务器漏洞的攻击拒绝服务攻击拒绝服务攻击基于缓冲区溢出的攻击基于缓冲区溢出的攻击与Active Code相关的攻击与协议弱点相

5、关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击网络攻击的防御技术网络攻击的防御技术身份认证技术身份认证技术 加解密技术加解密技术边界防护技术边界防护技术 访问控制技术访问控制技术主机加固技术主机加固技术平安审计技术平安审计技术 检测监控技术检测监控技术 2.2 管理设备控制台平安v 对于大多数企业内部网来说，连接网络中各个节对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫点，对这个接入点

6、的破坏，直接造成整个网络瘫痪。如果网络互相设备没有很好的平安防护措施，痪。如果网络互相设备没有很好的平安防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络平安的重要手段之一。备防护措施是保护网络平安的重要手段之一。v 据国外调查显示，据国外调查显示，80%的平安破坏事件都是由薄的平安破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护个恰当口令，是保护网络不受侵

7、犯最根本保护 保护设备控制台的平安措施保护设备控制台的平安措施 通过一根配置线缆连接到交换机的配置端口通过一根配置线缆连接到交换机的配置端口Console，另一端连接到配置计算机的串口。通，另一端连接到配置计算机的串口。通过如下命令，配置登入交换机控制台特权密码过如下命令，配置登入交换机控制台特权密码 SwitchSwitch#configure terminalSwitch(config)#enable secret mypassword！配！配置特权密文密码置特权密文密码Switch(config)#login！配置登陆时需要验证密码！配置登陆时需要验证密码配置线缆配置线缆 仿真终端RJ4

8、5口F0/1Console口Com1口配置线测试机配置交换机的连接模式配置交换机的连接模式 配置线缆配置线缆 配置交换机远程登录的平安措施配置交换机远程登录的平安措施 除通过除通过Console端口与设备直接相连管理设备之外，用户还可以端口与设备直接相连管理设备之外，用户还可以通过通过Telnet程序和交换机程序和交换机RJ45口建立远程连接，以方便管理员对口建立远程连接，以方便管理员对网络设备进行远程管理。网络设备进行远程管理。 配置交换机远程登录密码过程如下路配置交换机远程登录密码过程如下路由器远程登录密码的配置与之相同。由器远程登录密码的配置与之相同。SwitchSwitch#confi

9、gure terminalSwitch(config)#line vty 0 4！开！开启启Telnet线路线路Switch(config-line)#password mypassword ！配置！配置Telnet登录登录密码密码Switch(config-line)#login！配置登陆时需要验证密码！配置登陆时需要验证密码2.3交换机端口平安交换机端口平安v端口平安概述端口平安概述v 大局部网络攻击行为都采用欺骗源大局部网络攻击行为都采用欺骗源IP或源或源MAC地址的方法，对网络的核心设备进行连续的数据地址的方法，对网络的核心设备进行连续的数据包攻击，如典型的包攻击，如典型的ARP攻击、

10、攻击、MAC攻击和攻击和DHCP攻击等。这些针对交换机端口产生的攻击行为，攻击等。这些针对交换机端口产生的攻击行为，可以通过启用交换机端口平安功能特性加以防范。可以通过启用交换机端口平安功能特性加以防范。播送播送MAC地址地址前前3个字节：个字节：IEEE分配给网分配给网络设备制造厂商络设备制造厂商的的后后3个字节：网个字节：网络设备制造厂商络设备制造厂商自行分配的，不自行分配的，不重复，生产时写重复，生产时写入设备入设备MAC地址：链路层唯一标识地址：链路层唯一标识接入交换机接入交换机MAC Port A 1 B 2 C 3 MAC地址表：空间有限地址表：空间有限交换机变成了一个交换机变成了

11、一个Hub，用户的信息传输，用户的信息传输也没有平安保障了也没有平安保障了端口平安配置方式端口平安配置方式 配置平安地址：当开启交换机端口平安功能并为交换机端口配置配置平安地址：当开启交换机端口平安功能并为交换机端口配置平安平安MAC地址，那么这个端口将不转发除平安源地址，那么这个端口将不转发除平安源MAC地址外的其地址外的其他任何数据帧。他任何数据帧。 配置平安地址数：交换机平安端口不仅可以配置平安配置平安地址数：交换机平安端口不仅可以配置平安MAC地址，地址，也可以设置平安地址数目，也就是说，一个平安端口可以配置多也可以设置平安地址数目，也就是说，一个平安端口可以配置多个平安个平安MAC地

12、址。地址。 配置平安违例处理方式：当发生平安违规事件时，可以指定不同配置平安违例处理方式：当发生平安违规事件时，可以指定不同的处理方式。的处理方式。 配置老化时间和处理方式：可以为平安端口设置老化时间和处理配置老化时间和处理方式：可以为平安端口设置老化时间和处理方式，可以去除长时间不活动的平安方式，可以去除长时间不活动的平安MAC地址。地址。 将将IP地址绑定到地址绑定到MAC地址：可以在交换机上将地址：可以在交换机上将IP地址绑定到地址绑定到MAC地址，以实现在特定端口上允许特定的地址，以实现在特定端口上允许特定的IP终端接入。终端接入。端口平安的配置和维护v配置平安端口的过程包括启用端口平

13、安，设置平配置平安端口的过程包括启用端口平安，设置平安安MAC地址的最大数量、配置平安地址、设置违地址的最大数量、配置平安地址、设置违例发生后的处理方式、配置老化时间和将例发生后的处理方式、配置老化时间和将MAC地地址与址与IP地址绑定等。地址绑定等。 对于对于Cisco交换机，需要注交换机，需要注意的是：意的是：vCisco系列交换机可以做基于系列交换机可以做基于2层的端口平安，即层的端口平安，即MAC地址与端口进行绑定。地址与端口进行绑定。vCisco3550以上交换机均可做基于以上交换机均可做基于2层和层和3层的端层的端口平安，即口平安，即MAC地址与端口绑定以及地址与端口绑定以及MAC

14、地址与地址与IP地址绑定。地址绑定。交换机端口平安功能交换机端口平安功能R交换机的端口平安功能，防止网内部攻击交换机的端口平安功能，防止网内部攻击, 如如MAC地址攻击、地址攻击、ARP攻击、攻击、IP/MAC欺骗等。欺骗等。R交换机端口平安的根本功能交换机端口平安的根本功能R1、端口平安地址绑定、端口平安地址绑定, 解决网中解决网中IP地址冲突、地址冲突、ARP欺骗欺骗R例：在学校宿舍网内端口地址绑定，可以解决例：在学校宿舍网内端口地址绑定，可以解决学生随意更改学生随意更改IP地址，造成地址，造成IP地址冲突，或者学地址冲突，或者学生利用黑客工具，进行生利用黑客工具，进行ARP地址欺骗。地址

15、欺骗。R2、限制端口最大连接数、限制端口最大连接数 ，控制恶意扩展接入，控制恶意扩展接入R例：学校宿舍网可以防止学生随意购置小型交例：学校宿舍网可以防止学生随意购置小型交换机或换机或HUB扩展网络，对网络造成破坏。扩展网络，对网络造成破坏。配置端口平安配置端口平安MAC地址地址 v 下面以以下面以以Cisco交换机为例，来介绍端口平安地址绑定。交换机为例，来介绍端口平安地址绑定。MAC地址与地址与端口绑定可以实现两种应用：端口绑定可以实现两种应用：v 1设定一端口只接受第一次连接该端口的计算机设定一端口只接受第一次连接该端口的计算机MAC地址，当该地址，当该端口第一次获得某计算机端口第一次获得

16、某计算机MAC地址后，其他计算机接入到此端口所地址后，其他计算机接入到此端口所发送的数据帧那么认为非法，做丢弃处理。发送的数据帧那么认为非法，做丢弃处理。v Switch#config terminalv Switch(config)#interface interface-id ！进！进入端口入端口v Switch(config-if)#switchport mode access ！配置端口为！配置端口为交换模式交换模式v Switch(config-if)#switchport port-security ！翻开端口平安模式！翻开端口平安模式v Switch(config-if)#swi

17、tchport port-security violation protect！设！设置违例处理置违例处理配置端口平安配置端口平安MAC地址地址2设定一端口只接受某一特定计算机设定一端口只接受某一特定计算机MAC地址，其他计地址，其他计算机均无法接入到此端口。算机均无法接入到此端口。Switch#config terminalSwitch(config)#interface interface-idSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)

18、#switchport port-security violation protect / 以上步骤与第一种应用相同以上步骤与第一种应用相同Switch(config-if)#switchport port-security mac-address mac-address / 将端口绑定到特定的将端口绑定到特定的MAC地址地址设置平安端口最大连接数设置平安端口最大连接数 v 可以通过可以通过MAC地址来限制端口流量。以下配置允许一接地址来限制端口流量。以下配置允许一接口最多通过口最多通过100个个MAC地址，超过地址，超过100时，来自新主机的时，来自新主机的数据帧将丧失。具体配置如下：数据帧

19、将丧失。具体配置如下：v Switch#config terminalv Switch(config)#interface fastEthernet 0/1v Switch(config)#Switchport mode accessv Switch(config-if)#switchport port-security maximum 100v / 允许通过的最大允许通过的最大MAC地址数目为地址数目为100v Switch(config-if)#switchport port-security violation protectv / 当主机当主机MAC地址数超过地址数超过100时，交换机

20、继续工作，但时，交换机继续工作，但来自新主机的数据帧将丧失来自新主机的数据帧将丧失配置平安违例配置平安违例 v当交换机端口配制成平安端口后，以下情况发生当交换机端口配制成平安端口后，以下情况发生时就产生了一个平安违例事件：时就产生了一个平安违例事件：v端口平安地址数已达最大平安数目，这时，如果端口平安地址数已达最大平安数目，这时，如果有一个平安有一个平安MAC地址表外的地址表外的MAC地址试图访问这地址试图访问这个端口。个端口。v如果一个站点试图访问这个端口，而这个站点的如果一个站点试图访问这个端口，而这个站点的源源MAC地址已被配置为其他的端口的平安地址。地址已被配置为其他的端口的平安地址。

21、 配置平安违例配置平安违例当平安违例产生时，可以选择多种方式来处理违例：当平安违例产生时，可以选择多种方式来处理违例：protect：当：当MAC地址的数量到达了这个端口所最大允许的地址的数量到达了这个端口所最大允许的数目，带有未知的源地址的数据帧就会被丢弃，直到删除数目，带有未知的源地址的数据帧就会被丢弃，直到删除了足够数量的了足够数量的MAC地址为止。地址为止。restrict：当平安违例发生时，产生一个：当平安违例发生时，产生一个Trap消息并将消息并将“平平安违规安违规计数器增加计数器增加1。shutdown：一旦违例发生，马上关闭该端口，并且发送：一旦违例发生，马上关闭该端口，并且发

22、送Trap消息。平安端口由于违例被关闭后处在消息。平安端口由于违例被关闭后处在error-disable状态。如要恢复该端口，必须敲入全局命令状态。如要恢复该端口，必须敲入全局命令errdisable recovery cause psecure-violation，或者手，或者手动的动的shutdown然后再然后再no shutdown恢复该端口。这个是恢复该端口。这个是Cisco交换机端口平安违例的默认处理方式。交换机端口平安违例的默认处理方式。配置平安端口与配置平安端口与IP地址绑定地址绑定 MAC地址与地址与IP地址绑定根本原理是：在交换机内建立地址绑定根本原理是：在交换机内建立MAC

23、地址和地址和IP地址映射的地址映射的ARP表。端口获得的表。端口获得的IP和和MAC地址地址将匹配该表，不符合那么丢弃该端口发送的数据帧。具体将匹配该表，不符合那么丢弃该端口发送的数据帧。具体实现方法如下：实现方法如下：Switch#configure terminalSwitch(config)#arp ip地址地址 mac地址地址 arpa如下命令建立如下命令建立ip地址和地址和mac地址绑定：地址绑定：Switch(config)#arp 0001.0001.1111 arpa 注意：注意：需要将网段内所有需要将网段内所有IP都建立都建立MAC地址映射，没有使用的地址映射

24、，没有使用的IP地地址可以与建立映射。否那么该绑定对于网段内没有建立映址可以与建立映射。否那么该绑定对于网段内没有建立映射的射的IP地址无效。地址无效。配置端口平安老化配置端口平安老化 v 当为端口指定最大平安当为端口指定最大平安MAC地址数时，交换机可以不断学习到新地址数时，交换机可以不断学习到新MAC地址，并将它添加到该端口的平安地址，并将它添加到该端口的平安MAC地址表中。这时，平安地址表中。这时，平安MAC地址表中可能会有一些地址表中可能会有一些MAC地址长期处于不活动状态。为了保地址长期处于不活动状态。为了保障此端口能够得以充分利用，可以采用设置端口平安老化时间和模式障此端口能够得以

25、充分利用，可以采用设置端口平安老化时间和模式的方式，使系统能够自动删除长时间不活动的的方式，使系统能够自动删除长时间不活动的MAC地址，从而减少地址，从而减少网络维护的工作量。配置端口平安老化的过程如下：网络维护的工作量。配置端口平安老化的过程如下：v Switch(config)#interface interface_id ！指定欲配置端口平安老化！指定欲配置端口平安老化的接口的接口v Switch(config-if)#switchport port-security aging time aging_timev / 为平安端口配置老化时间为平安端口配置老化时间v Switch(conf

26、ig-if)#switchport port-security aging type absolute|inactivityv / 为平安端口设置老化类型为平安端口设置老化类型查看端口平安设置查看端口平安设置 v在完成端口平安相关设置后，可用以下命令查看在完成端口平安相关设置后，可用以下命令查看端口平安配置：端口平安配置：vSwitch#show port-security ！查看哪些接口启用了端口平安！查看哪些接口启用了端口平安vSwitch#show port-security address ！查看平安端口！查看平安端口mac地址绑定关系地址绑定关系vSwitch#show port-s

27、ecurity interface f0/x配置交换机端口平安配置交换机端口平安 v 某公司拓扑如下图，为了防止局域网内部用户的某公司拓扑如下图，为了防止局域网内部用户的IP地址冲突，防范内地址冲突，防范内部网络攻击行为，公司要求网络中心管理员为财务部中每一台计算机部网络攻击行为，公司要求网络中心管理员为财务部中每一台计算机配置固定配置固定IP地址，并限制只允许局域网内部员工的电脑才可以使用网地址，并限制只允许局域网内部员工的电脑才可以使用网络，不得随意连接其他主机。此外，公司还需限制业务部的最大连接络，不得随意连接其他主机。此外，公司还需限制业务部的最大连接数目为数目为2。财务部业务部PC1

28、PC2PC3F0/1F0/2F0/1F0/2F0/3阶段总结阶段总结网络平安概述网络平安概述平安威胁平安威胁 、网络攻击方法、网络攻击方法 、网络攻击的防御技术、网络攻击的防御技术管理设备控制台平安管理设备控制台平安保护设备控制台的平安措施保护设备控制台的平安措施 、配置交换机远程登录的平、配置交换机远程登录的平安措施安措施交换机端口平安交换机端口平安端口平安概述端口平安概述 、端口平安的配置和维护、端口平安的配置和维护任务进度任务进度配置交换机端口安全配置交换机端口安全1配置标准访问控制列表访问安全技术配置标准访问控制列表访问

29、安全技术2ISP1 1、什么是访问列表、什么是访问列表 ACL对经过设备的数据包，根据一定的规那么，对经过设备的数据包，根据一定的规那么，进行数据包的过滤。进行数据包的过滤。FTPRG-S2126RG-S3512G /RG-S4009RG-NBR1000InternetRG-S2126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒2 2、为什么要使用访问列表、为什么要使用访问列表ACL的功能的功能v通过灵活地应用访问控制列表，可以把通过灵活地应用访问控制列表，可以把ACL作为作为一种网络控制的

30、有力工具，用来实现以下功能：一种网络控制的有力工具，用来实现以下功能：v提供对通讯流量的控制手段。提供对通讯流量的控制手段。v提供网络访问的根本平安手段。提供网络访问的根本平安手段。v在路由器接口处，决定哪种类型的通讯流量被转在路由器接口处，决定哪种类型的通讯流量被转发，哪种类型的流量被丢弃。发，哪种类型的流量被丢弃。 ACL检查数据包检查数据包帧报头数据包段数据源地址目的地址协议端口号拒绝允许使用ACL规则来检验数据包交换机支持的访问控制列表交换机支持的访问控制列表 v交换机支持三种访问控制列表的应用过滤传输：交换机支持三种访问控制列表的应用过滤传输： 端口访问控制列表：也称端口访问控制列表

31、：也称MAC访问控制列表。对进入访问控制列表。对进入二层接口的通信实施访问控制。交换机不支持外出访二层接口的通信实施访问控制。交换机不支持外出访问的访问控制列表。在三层接口可以应用问的访问控制列表。在三层接口可以应用IP访问控制访问控制列表和端口访问控制列表。列表和端口访问控制列表。 路由访问控制列表：对路由访问控制列表：对VLAN之间以及三层接口之间通之间以及三层接口之间通信实施访问控制。并且可以控制进、出双向通信。信实施访问控制。并且可以控制进、出双向通信。 VLAN访问控制列表：也称访问控制列表：也称VLAN映射，对所有包实现映射，对所有包实现访问控制。在同一访问控制。在同一VLAN的设

32、备之间，可以采用的设备之间，可以采用VLAN ACL实施访问控制。实施访问控制。VLAN访问控制列表的配置与访问访问控制列表的配置与访问控制均基于控制均基于IP地址，不支持基于地址，不支持基于MAC地址的访问控制。地址的访问控制。访问控制列表的类型访问控制列表的类型 RR 访问控制列表的分类：访问控制列表的分类：1、标准、标准2、扩展、扩展3、命名标准扩展、命名标准扩展访问控制列表工作过程访问控制列表工作过程 可路由吗？N路由表选择入口？接口配置ACL？规则允许？丢弃数据通知发送端入站数据包选择接口出站出站NYNYYYN配置标准访问控制列表配置标准访问控制列表 v标准标准ACL的工作过程的工作

33、过程 v标准标准ACL只检查可以被路由的数据包的源地址，只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机从而允许或拒绝基于网络、子网或主机IP地址的地址的所有流量通过路由器。所有流量通过路由器。v从路由器某一接口进来的数据包经过检查其源地从路由器某一接口进来的数据包经过检查其源地址和协议类型，并且与址和协议类型，并且与ACL条件判断语句相匹配，条件判断语句相匹配，如果匹配，那么执行允许或拒绝。如果该数据包如果匹配，那么执行允许或拒绝。如果该数据包被允许通过，就从路由器的出口转发出去；如果被允许通过，就从路由器的出口转发出去；如果该数据包被拒绝通过，就丢弃它。当网络管理员该数

34、据包被拒绝通过，就丢弃它。当网络管理员要允许或阻止来自某一网络的所有通信流量，可要允许或阻止来自某一网络的所有通信流量，可以使用标准以使用标准ACL来实现这一目标。来实现这一目标。RR 标准访问列表标准访问列表 只根据源只根据源IP地址，进行数据包的过滤。地址，进行数据包的过滤。标准列表规那么定义标准列表规那么定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP IP标准访问列表标准访问列表 1、定义标准、定义标准ACLRouter(config)# access-list permit |deny 源地址源地址 反掩码反掩码Switch(config)# Ip

35、 access-list permit |deny 源地址源地址 反掩反掩码码 2、应用、应用ACL到接口到接口Router(config-if)#ip access-group |name in | out 0 0表示检查相应的地址比特表示检查相应的地址比特 1 1表示不检查相应的地址比特表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111 反掩码通配符反掩码通配符通配符掩码是一个32比特位。其中0表示“检查相应的位，1表示“不检查相应的位。在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。通配符掩码

36、与子网掩码工作原理是不同的。如表示这个网段，使用通配符掩码应为。在通配符掩码用表示所有IP地址，全为1说明所有32位都不检查，这是可以用any来取代。的通配符掩码那么表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。 (access-list 1 deny 55)interface serial 0ip access-group 1 outF0S0F1Internet IP IP标准访问列表配置标准访问列表配置只允许网络中的计算机访问互联网络IPIP标准访问列表配置技术标准访问列表配置技术 阻止主机通过阻止主机通过E0访问网络，而

37、允许其他的机访问网络，而允许其他的机器访问器访问Routerconfig Routerconfig # access-list 1 permit anyRouterconfig # interface ethernet 0Routerconfig-if # ip access-group 1 in 配置标准访问控制列表配置标准访问控制列表 v拓扑如下图，要实现网络一和网络二隔离，可以拓扑如下图，要实现网络一和网络二隔离，可以在路由器在路由器R2上做标准上做标准ACL技术控制，以实现网络技术控制，以实现网络之间的隔离。之间的隔离。网络三/24网络一

38、/24网络二/24PC1：PC2：F0/0R2F0/0S2/0S2/0R1有一个允许操作，否那么，所有数据包都会被拒有一个允许操作，否那么，所有数据包都会被拒绝；绝；v语句的顺序很重要，约束性最强的语句应该放在语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的列表的顶部，约束性最弱的语句应该放在列表的底部；底部；流量，但流量，但ACL不会过滤路由器本身产生的流量。不会过滤路由器本身产生的流量。访问控制列表Router(config)#access-list listnumber permi

39、t | deny address wildcardmask Router(config-if)#ip access-group id|name in|out允许允许/拒绝拒绝Router(config)#ip access-list standard nameRouter(config-std-nacl)#deny|permit source wildcard any Router(config-if)#ip access-group id|name in|out访问控制列表访问控制列表实习工程：配置标准访问列表控制网络流量 【工作任务】【工作任务】 如下图的网络拓扑是某大学计算机科学技术学院

40、学院学生网和如下图的网络拓扑是某大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网和行政办公网行政办公网网络工作场景，要实现学生网和行政办公网的隔离，可以在其中的隔离，可以在其中R1路由器上做标准路由器上做标准ACL技术控制，以实技术控制，以实现网络之间的隔离现网络之间的隔离【工程设备】路由器【工程设备】路由器2台；网线假设干；测试台；网线假设干；测试PC2台台；【实施过程】【实施过程】阶段总结阶段总结 ACL简介简介 访问列表功能访问列表功能 、交换机支持的访问控制列表、交换机支持的访问控制列表 、访问、访问控制列表的类型、访问控制列表工作过程控制列表的类型、访问控制列表

41、工作过程 配置标准访问控制列表配置标准访问控制列表 标准标准ACL的工作过程的工作过程 、配置标准、配置标准ACL任务进度任务进度配置交换机端口安全配置交换机端口安全1配置标准访问控制列表访问安全技术配置标准访问控制列表访问安全技术23配置扩展访问控制列表访问平安技术配置扩展访问控制列表访问平安技术扩展型访问控制列表扩展型访问控制列表v扩展型访问控制列表扩展型访问控制列表Extended IP ACL 在数在数据包的过滤和控制方面，增加了更多的精细度和据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的灵活性，具有比标准的ACL更强大数据包检查功更强大数据包检查功能。能。v扩展扩展A

42、CL不仅检查数据包源不仅检查数据包源IP地址，还检查数据地址，还检查数据包中目的包中目的IP地址，源端口，目的端口、建立连接地址，源端口，目的端口、建立连接和和IP优先级等特征信息。利用这些选项对数据包优先级等特征信息。利用这些选项对数据包特征信息进行匹配特征信息进行匹配 。ACLACL分类分类- -扩展访问列表扩展访问列表RR 扩展扩展ACL可以根据数据包内的源、目的地址，应用效劳进可以根据数据包内的源、目的地址，应用效劳进行过滤。行过滤。目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP IP扩展访问列表扩展访问列表1

43、 1Router(config)#access-list listnumber permit | deny protocol source source- wildcardmask destination destination-wildcardmask operator operandRouter(config-if)#ip access-group id|name in|outRouter(config)#ip acess-list extended nameRouter(config-if)#ip access-group id|name in|outRouter(conig-ext-n

44、acl)#deny|permit protocol source source-wildcard |host source| anyoperator port Router#show access-listsRouter# show ip access-group 冲击波MS Blaster病毒 蠕虫病毒，大量ICMP扫描，导致网络阻塞利用ACL关闭ICMP效劳，以及相应端口。益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。 配置例如： access-list 101 deny tcp any any eq 135 阻止感染病毒的PC向其它正常PC的135端口发布攻击代码。 access-li

45、st 101 deny udp any any eq tftp 限制目标主机通过tftp下载病毒。 access-list 101 deny icmp any any 阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。 接入交换机接入交换机RG-S2126G防病毒配置防病毒配置RG-2126G-2(config)# ip access-list extended deny_wormsRG-2126G-2(config-ext-nacl)# deny tcp any any eq 135RG-2126G-2(config-ext-nacl)# deny tcp any any eq

46、136RG-2126G-2(config-ext-nacl)# deny tcp any any eq 137RG-2126G-2(config-ext-nacl)# deny tcp any any eq 138RG-2126G-2(config-ext-nacl)# deny tcp any any eq 139RG-2126G-2(config-ext-nacl)# deny tcp any any eq 445RG-2126G-2(config-ext-nacl)# deny udp any any eq 135RG-2126G-2(config-ext-nacl)# deny udp

47、 any any eq 136RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-nsRG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-dgmRG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-ssRG-2126G-2(config-ext-nacl)# deny udp any any eq 445RG-2126G-2(config-ext-nacl)# permit ip any any RG-2126G

48、-2(config-ext-nacl)#exitRG-2126G-2(config)#interface range fa 0/1-24RG-2126G-2(config-if-range)#ip access-group deny_worms in工程：配置扩展访问列表保护效劳器平安 【工作任务】【工作任务】 如下图网络拓扑是中北大学计算机科学技术学院学院学生网和如下图网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网和学生网之行政办公网网络工作场景，要实现教师网和学生网之间的互相连通，但不允许学生网访问教师网中的间的互相连通，但不允许学生网访问教师网中的F

49、TP效劳器，效劳器，可以在路由器可以在路由器R2上做扩展上做扩展ACL技术控制，以实现网络之间的隔技术控制，以实现网络之间的隔离离【工程设备】路由器【工程设备】路由器2台；网线假设干；测试台；网线假设干；测试PC2台台；【实施过程】【实施过程】配置扩展访问控制列表v扩展扩展ACL的工作过程的工作过程 接口是否有ACL？N丢弃数据Y是否匹配源地址？匹配目的地址？匹配协议端口？允许或拒绝？通 知 发 送端将 数 据 包转发出去最后一条规则？至 下 一 条规则YYYNNNNY拒绝允许扩展型访问控制列表扩展型访问控制列表v扩展型访问控制列表扩展型访问控制列表Extended IP ACL 在数在数据包

50、的过滤和控制方面，增加了更多的精细度和据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的灵活性，具有比标准的ACL更强大数据包检查功更强大数据包检查功能。能。v扩展扩展ACL不仅检查数据包源不仅检查数据包源IP地址，还检查数据地址，还检查数据包中目的包中目的IP地址，源端口，目的端口、建立连接地址，源端口，目的端口、建立连接和和IP优先级等特征信息。利用这些选项对数据包优先级等特征信息。利用这些选项对数据包特征信息进行匹配特征信息进行匹配 。扩展访问列表扩展访问列表RR 扩展扩展ACL可以根据数据包内的源、目的地址，应用效劳进可以根据数据包内的源、目的地址，应用效劳进行过滤。行过滤

51、。目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP IP扩展访问列表扩展访问列表IPIP扩展访问列表的配置扩展访问列表的配置 1、定义扩展的、定义扩展的ACLRouter(config)# access-list Router(config)# access-list permit /deny permit /deny 协议协议 源地址源地址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 2、应用、应用ACL到接口到接口Router(config-if)#ip access-group |

52、name in | out Router(config-if)#ip access-group |name in | out 实例实例2.3 配置扩展访问控制列表配置扩展访问控制列表 v拓扑如下图，某公司销售部的网络和财务部的网拓扑如下图，某公司销售部的网络和财务部的网络通过路由器络通过路由器R1和和R2相连，对整个网络配置相连，对整个网络配置RIPv2动态路由协议，保证网络正常通信。动态路由协议，保证网络正常通信。网络三/24销售部/24财务部/24PC1：F0/0R2F0/0S2/0S2/0R1FTP服务器：WEB服务器