4.5 实施网络资源的访问控制

模块四—网络安全设计—实施网络设备的安全访问02.目录CONTENTS认识网络系统安全01.保护介入层网络访问安全03.监控网络设备运行状态04.实施网络资源的访问控制05.保护网络边界安全06.部署入侵检测和防护系统07.提高数据传输安全性08.实施网络资源的访问控制05.课前评估在下列日志管理命令中，能将日志信息写入VTY的是（）。A．Router(config)#terminalmonitorB．Router(config)#loggingonC．Router(config)#logginghostD．Router(config)#loggingbufferedNTP使用的端口为（）。。A．UDP123B．TCP123C．TCP321D．UDP321网络基础设施定义了设备为实现端到端通信而连接到一起的方式，就像有多种规模的网络一样，构建基础设施也有多种方法。但是，为了实现网络的可用性和安全性，网络行业推荐了一些标准设计。如果希望一个子网中的主机能够在整个组织网络中进行通信，则必须要有一小堆服务器保护敏感数据，以及政府的隐私规则要求：不仅能通过用户名和登录名来保护访问权限，还需要有将数据包传递到受保护主机或服务器的能力。访问控制列表（ACL）为实现这些目标提供了有用的解决方案，并且可以运行在路由器或三层交换机设备上。访问控制列表概述ACL是基于协议（主要是IP）有序匹配规则的过滤器列表（由若干条语句组成），每条规则（Rule）包括了过滤信息及匹配此规则时应采取的动作（允许或拒绝），规则包含的信息可以是IP地址、协议、端口号等条件的有效组合，如图所示。限制网络流量以提高网络性能提供控制或优化通信流量的手段提供基本的网络访问安全控制区分或匹配特定的数据流访问控制列表的主要功能访问控制列表的分类ACL类型数字扩展数字检查项目IP标准ACL1~991300~1999源地址IP扩展ACL100~1992000~2699源地址、目的地址、协议、端口号及其他命名标准ACL名字源地址命名扩展ACL名字源地址、目的地址、协议、端口号及其他访问控制列表的设置规则（1）当没有配置ACL时，路由器默认允许所有数据包通过。（2）ACL对路由器自身产生的数据包不起作用。（3）对于每个协议，每个接口的每个方向只能设置一个ACL。（4）每个ACL中包含一条或多条语句，但是有先后顺序之分。（5）每个ACL的末尾都隐含一条“拒绝所有流量”语句。（6）ACL条件中必须至少存在一条permit语句，否则将拒绝所有流量。（7）不能单独删除数字标识ACL中的一条语句。（8）可以在名称标识ACL中单独增加或删除一条语句。访问控制列表的匹配操作

通配符掩码的概念:网络中有几种类型的掩码。

在IP地址的表示中使用的是默认掩码或子网掩码（Mask）：网络号为连续的1，主机号为连续的0，用来区分IP地址的网络部分与主机部分；在OSPF路由进程宣告某一区域的直连网络IP地址时使用的是反掩码（Wildcard）：网络号为连续的0，主机号为连续的1，用来确定同一区域内主机IP地址的范围，如OSPF中要求处于同一子网的主机才能建立邻居关系；在ACL中使用通配符掩码（Wildcard）：网络号中的1可以不连续，用于指示路由器怎样检查数据包中的IP地址，用来匹配一个或者一组IP地址。访问控制列表的匹配操作

（1）全0通配符掩码。全0的通配符掩码要求对应IP地址的所有位都必须匹配。例如123.1.2.30.0.0.0表示的就是IP地址123.1.2.3本身，在访问列表中亦可表示为host123.1.2.3。

（2）全1通配符掩码。全1的通配符掩码表示对应的IP地址的所有位都不必匹配。也就是说，IP地址可任意。例如0.0.0.0255.255.255.255表示的就是任意主机的IP地址，在访问列表中亦可表示为any。（1）写出匹配172.16.0.0/24，172.16.1.0/24，172.16.2.0/24，172.16.3.0/24，…，172.16.7.0/24的所有偶数路由条目的通配符掩码。（2）使用一条ACL来匹配10.1.1.0/24，10.1.3.0/24，10.1.5.0/24，10.1.7.0/24，…，10.1.17.0/24，10.1.19.0/24，10.1.21.0/24，10.1.23.0/24这些IP地址的通配符掩码思考题访问控制列表配置命令简介

（1）标准访问控制列表配置命令。Router(config)#access-listaccess-list-numberdeny|permitsourcewildcard-mask

（2）扩展访问控制列表配置命令access-listacess-list-numberdeny|permit|remarkprotocolsourcesource-wildcard-mask[operatorport|protocol-name]destinationdestination-wildcard-mask[operatorport|protocol-name]

[established]访问控制列表的规划与部署网络安全策略是禁止源主机HOST1和目标主机HOST2之间的通信。(1)位置与方向(2)创建ACL(3)生效ACL（1）根据判断条件不同，ACL分为（）和（）；根据标识方法不同，ACL分为（）和（)。（2）将ACL用作数