




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
11-保护三层子网通信安全【单元背景】三层交换技术通过Vlan以及子网技术,把大的网络划分为多个较小的广播域的子网络,各个Vlan间采用三层交换技术实现连通。网络采用三层交换技术架构,避免二层交换技术缺陷。在子网间采用安全访问控制策略,能加强网络整体安全,实现Vlan或三层子网之间安全访问控制,决定哪些用户数据流可以在Vlan或三层子网之间交换,最终到达核心层。三层网络安全技术解决针对三层网络中出现安全隐患,保证数据传输安全。【学习目标】学习访问控制列表技术安全实施原理配置标准ACL访问规则,保护子网安全配置扩展ACL访问规则,保护子网中服务安全学习命名访问控制列表技术,优化网络安全配置实施Vlan间安全访问控制11.1路由安全基础在一个园区网络中,如果三层网络安全没有保障,整个网络也就毫无安全可言。在网络管理上,必须对三层设备合理规划、配置,采取必要安全措施,避免因三层网络自身问题,给整个网络系统带来漏洞和风险,如图11-1显示三层网络中各种干扰和攻击。11.2三层设备登录安全配置路由器控制台密码:Router(config)#enablepasswordstar!表示输入的是明文形式的口令Router(config)#enablesecretstar!表示输入的是密文形式的口令在同一台设备上,如果同时启用两种类型密码,则Secret密文格式有优先权。该命令的no命令格式,可以删除指定级别的口令。Router(config)#noenablesecret。11.2三层设备登录安全支持配置远程登录方式,在line配置模式下执行以下命令:Ruijie#configureterminalRuijie(config)#linevty0!远程登录line线路进行认证口令Ruijie(config-line)#passwordpassword
!指定line线路口令Ruijie(config-line)#login!启用line线路口令保护11.3访问控制列表基础1.什么是访问控制列表访问控制列表ACL(AccessControlList)技术是数据包过滤技术。通过对网络中通过数据包过滤,实现网络输入和输出访问控制,如图11-2显示数据包过滤检查过程。11.3访问控制列表基础配置在三层设备中ACL是一张规则检查表,包含很多指令,告诉三层设备:接收哪些数据包,拒绝哪些数据包,如图11-3所示。11.3访问控制列表基础如图11-4显示数据包过滤流程,三层设备按照ACL中指令顺序,处理每一个进入数据包,对进入或流出数据过滤,ISP1、什么是访问列表
Access-list:访问控制列表,简称ACL
ACL就是对经过网络设备的数据包,根据一定的规则,进行数据包的过滤。√FTPRG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属VLAN不同12221112技术部VLAN20财务部VLAN10隔离病毒源隔离外网病毒2、为什么要使用访问列表3、访问列表的组成
定义访问列表的步骤第一步:定义规则(哪些数据允许通过,哪些数据不允许通过)第二步:将规则应用在路由器(或交换机)的接口上
访问控制列表的分类:1、标准访问控制列表2、扩展访问控制列表3、命名的访问控制列表4、基于时间访问控制列表5、专家级访问控制列表
访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务4、访问列表规则的应用
路由器应用访问列表,对流经接口的数据包进行控制:
1.入栈应用(in)
2.出栈应用(out)5、ACL的基本准则
一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;
而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。
按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配
从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的“允许、拒绝……”Y拒绝Y是否匹配
测试条件1?允许N拒绝允许是否匹配
测试条件2?拒绝是否匹配
最后一个
测试条件
?YYNYY允许被系统隐
含拒绝N6、一个访问列表多个测试条件
标准访问列表根据数据包源IP地址进行规则定义
扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义7、ACL分类
标准的访问列表只能根据源IP地址,进行数据包的过滤。例在校园网中,学生网段不可以访问教研网段,但校领导网段可以访问教研网段学生网段校领导网段教研网段8、标准访问列表规则的定义(1)源地址TCP/UDP数据IP
eg.HDLC1-99号列表IP标准访问列表(2)1、定义标准ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩码]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩码]2、应用ACL到接口Router(config-if)#ipaccess-group<1-99>|{name}{in|out}access-list1permit
55(access-list1deny55)interfaceserial0ipaccess-group1outF0S0F1InternetIP标准访问列表配置(3)只允许网络中的计算机访问互联网络IP标准访问列表配置技术(4)
假使在我们的网络管理过程中,要阻止网络中地址为5的一台主机通过E0访问网络,而允许其他的机器访问网络,可以通过如下操作Router(config)
#access-list1denyhost5Router(config)#access-list1permitanyRouter(config)#interfaceethernet0Router(config-if)#ipaccess-group1in
0表示检查相应的地址比特
1表示不检查相应的地址比特001111111286432168421000000000000111111111100111111119、配置中的反掩码(通配符)技术通配符掩码是一个32比特位。在通配符掩码位中,0表示“检查相应的位”,1表示“不检查相应的位”。通配符掩码与IP地址是成对出现.通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中,数字1和0用来决定是网络,还是主机的IP地址。如表示这个网段,使用通配符掩码应为55。在通配符掩码用55表示所有IP地址,全为1说明所有32位都不检查相应的位,这是可以用any来取代。的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。10、ACL分类(2)-扩展的访问列表
扩展的访问列表
扩展ACL可以根据数据包内的源、目的地址,应用服务进行过滤。例教师网段可以访问内网的邮件服务器,而学生网不可以访问,但可以访问内网的网站。学生网段校领导网段邮件serverWEBserver目的地址源地址协议端口号100-199号列表TCP/UDP数据IP
eg.HDLCIP扩展访问列表(1)IP扩展访问列表的配置(2)1、定义扩展的ACLRouter(config)#access-list<100-199>{permit/deny}协议
源地址反掩码
[源端口]目的地址反掩码
[目的端口]2、应用ACL到接口Router(config-if)#ipaccess-group<100-199>|{name}{in|out}IP扩展访问列表配置实例(3)
创建一条ExtendedIPACL,允许网络内所有主机,可以访问HTTP服务器,但拒绝其它所有主机使用网络。
Switch(config)#access-list111permittcp55hosteqwwwSwitch#showaccess-lists网络实践1:配置标准ACL规则,保护子网安全【任务场景】某校园网中由于没有实施部门安全策略,出现学生登录到教师网查看试卷情况。因此学校要求禁止学生宿舍网络访问教师网络。如图11-12所示办公网络场景。【设备清单】:路由器(1台)、计算机(>=3台)、
双绞线(若干根)。【工作过程】(省略)网络实践2:配置扩展ACL,保护子网中应用安全【任务场景】某学校教师网中搭建一台FTP服务器,但出现学生登录到教师网FTP网络服务器查看试卷情况。因此,学校允许学生访问教师网络,但禁止学生访问教师网中FTP服务器。如图11-13所示的网络拓扑是不允许学生访问教师网中FTP服务器。【设备清单】:路由器(2台)、计算机(>=3台)、
双绞线。【工作过程】(省略)11.6命名ACL技术编号的ACL使用数字对ACL命名,不能反映这个ACL实际功能,所以还提供命名ACL技术。在命名ACL中,使用字母或数字组合字符串,不仅形象描述该ACL功能,还可以方便修改、删除。11.7标准命名ACL命名ACL同样包括标准命名ACL和扩展命名ACL两种,定义过滤的语句的方式及规则和编号ACL方式相似。以下在三层交换机上配置命名ACL语法。Switch(config)#ipaccess-liststandardtest1
!命名了标准访问控制列表Switch(config-std-nacl)#deny55!拒绝的网络Switch(config-std-nacl)#permitany!允许任何其他网络访问Switch(config-std-nacl)#exit
Switch(config)#int
s1/0!进入S1/0接口Switch(config-if)#ipaccess-grouptest1in!把命名ACL应用到接口S1/011.8扩展命名ACL扩展命名ACL配置和编号ACL相似。以下是在三层交换机上,实施扩展命名ACL语法。Switch(config)#ipaccess-listextendedtest2
!定义命名扩展访问控制列表Switch(config-ext-nacl)#denyicmp5555Switch(config-ext-nacl)#permitipanyany
!允许其他一切访问
Switch(config)#int
f0/0Switch(config-if)#ipaccess-grouptest2o
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 演出经纪人资格证必考知识与试题及答案
- 营养师法律知识考试试题及答案
- 2025年房地产经纪人职业道德试题及答案
- 营养师与保安证考试的对比试题及答案
- 专业经纪服务必考试题及答案
- 演出经纪人资格证复习建议试题及答案
- 2025年房地产经纪资格体系完善的试题及答案
- 备战2024营养师证考试试题及答案
- 房地产经纪人考试知识深化技巧试题及答案
- 西藏高考常考题目及答案
- 《我在长大》-完整版PPT
- 人身损害与疾病因果关系判定指南
- 招收士官学历专业审定表
- DB44∕T 1517-2015 物业服务 办公楼服务规范
- 人教鄂教版科学六年级下册全册教案
- 社区卫生服务站管理制度管理办法
- 新苏教版五年级科学下册2.5《生物的启示》教学课件
- 2006年上海市中考数学试题及答案(共10页)
- SF6气体检漏仪说明书
- 最新高人总结长期股权投资-通俗易懂式讲解资料
- 兵团科技管理信息系统PPT课件
评论
0/150
提交评论