《网络搭建实训教程》第6章 访问控制列表

第六章访问控制列表6.1访问控制列表概述6.2标准访问控制列表6.3扩展访问控制列表6.4命名的访问控制列表1网络安全隐患课程议题2常见的网络攻击： 网络攻击手段多种多样，以上是最常见的几种3攻击不可避免攻击工具体系化网络攻击原理日趋复杂，但攻击却变得越来越简单易操作4额外的不安全因素

DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织5现有网络安全体制现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%6VPN虚拟专用网防火墙包过滤防病毒入侵检测7IP访问控制列表课程议题8什么是访问列表IPAccess-list：IP访问列表或访问控制列表，简称IPACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√为什么要使用访问列表内网安全运行访问外网的安全控制10访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏11访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表规则的分类：1、标准访问控制列表2、扩展访问控制列表12访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT13访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方14以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0访问列表的出栈应用IPACL的基本准则一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”16Y拒绝Y是否匹配

规则条件1?允许N拒绝允许是否匹配

规则条件2?拒绝是否匹配

最后一个

条件

?YYNYY允许隐含拒绝N一个访问列表多条过滤规则访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义18源地址TCP/UDP数据IP

eg.HDLC1-99

号列表

IP标准访问列表目的地址源地址协议端口号

IP扩展访问列表TCP/UDP数据IP

eg.HDLC100-199

号列表

0表示检查相应的地址比特

1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码（通配符）

IP标准访问列表的配置1.定义标准ACL编号的标准访问列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩码]命名的标准访问列表

switch(config)#ipaccess-liststandard<name>

switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}F1/0S1/2F1/1

IP标准访问列表配置实例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out23标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：ipaccess-liststandardabcpermithostdeny55财务教师F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长24

IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}

IP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyany

eq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115out

IP扩展访问列表配置实例(二)利用ACL隔离冲击波病毒27访问列表的验证显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists<1-199>显示接口的访问列表应用Router#showipinterface接口名称接口编号28IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3、访问列表的缺省规则是：拒绝所有29IPACL实现网络安全课程议题30实验拓扑工作目标在路由器A上配置基于IP的ACL，使/24网络中的主机无法访问FTP服务器的FTP服务。F0/2F1/1F1