项目十二安全策略与数据流量过滤

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,项目十二,安全策略与数据流量过滤,1.教学目标,掌握网络安全策略布置原则，掌握IP标准及扩展访问控制列表配置技能，能够根据实际需求准确配置IP访问控制列表，具体如下：,（1）了解IP标准及扩展访问控制列表的功能及用途,（2）掌握IP标准访问控制列表配置技能,（3）掌握IP扩展访问控制列表配置技能,2.工作任务,根据客户工作任务的具体要求，配置IP标准或扩展访问控制列表，实现网络数据流量控制。,模块1,IP标准访问控制列表的建立及应用,.教学目标,了解IP标准访问控制列表的功能及用途,掌握路由器IP标准访问控制列表配置技能,掌握交换机IP标准访问控制列表配置技能,2.工作任务,你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。,3.相关实践知识,首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许网段（校办企业财务科）主机发出的数据包通过，不允许网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图12.1所示。,图12.1路由器IP标准访问控制列表,第1步：基本配置,路由器RouterA：,R enable,R#configure terminal,R(config)#hostname RouterA,RouterA(config)#line vty 0 4,RouterA(config-line)#login,RouterA(config-line)#password 100,RouterA(config-line)#exit,RouterA(config)#enable password 100,RouterA(config)#interface fastethernet 0,RouterA(config-if)#ip,RouterA(config-if)#no shutdown,RouterA(config-if)#Exit,RouterA(config)#interface fastethernet 1,RouterA(config-if)#ip,RouterA(config-if)#no shutdown,RouterA(config-if)#Exit,RouterA(config)#interface fastethernet 2,RouterA(config-if)#ip,RouterA(config-if)#no shutdown,RouterA(config-if)#Exit,RouterA(config)#ip,路由器RouterB同理配置,第2步：在路由器RouterB上配置IP标准访问控制列表,RouterB(config)#access,RouterB(config)#access,验证测试,RouterB#show access-list 1,第3步：应用在路由器RouterB的Fa 0接口输出方向上,RouterB(config)#interface fastethernet 0,RouterB(config-if)#ip access-group 1 out,验证测试,RouterB#show ip interface fastethernet 0,4.相关理论知识,ACL概述,访问控制列表（ACL）是在交换机或路由器上定义一些规则，对经过网络设备的数据包根据一定规则进行过滤。,ACL分类,（1）编号访问控制列表：在路由器配置的访问控制列表是由编号来命名的，包括IP标准访问控制列表和IP扩展访问控制列表。,（2）命名访问控制列表：在三层交换机配置的访问控制列表是由字符串名字来命令的，包括IP标准访问控制列表和IP扩展访问控制列表。,编号标准访问控制列表,（1）标准访问控制列表,在路由器上建立的访问控制列表，其编号取值范围为199之间整数值，只根据源IP地址过滤流量。,在标准或扩展访问列表的末尾，总有一个隐含的Deny all。这意味着如果数据包源地址与任何允许语句不匹配，则隐含的Deny all将会禁止该数据包通过。,（2）定义访问控制列表,R(config)#access-list access-list number permit/deny source source mask,其中：,access-list number：访问列表序号,范围是1-99；,Permit/deny：允许/禁止满足条件的数据包通过；,Source：过滤数据包的源IP地址；,Source mask：通配屏蔽码，1：不检查位，0：必须匹配位。,【例12.3】定义访问控制列表1拒绝特定主机的流量，但允许其它的所有主机。,R(config)#access,R(config)#access-list 1 permit any,（3）应用访问控制列表,访问控制列表需要应用到路由器的一个接口上，应用到一个接口上可选择入栈（IN）或出栈（OUT）二个方向。,【例12.5】将访问控制列表1应用到路由器的接口fastethernet 0的入栈方向上。,R#configure terminal,R(config)#interface fastethernet 0,R(config-if)#ip access-group 1 in,R(config-if)#end,命名标准访问控制列表,在三层交换机上配置命名标准访问控制列表，也是采用定义ACL、在接口上应用ACL、查看ACL等步骤进行。,第1步：进入Access-list配置模式，用名字来定义一条标准访问控制列表。,Switch(config)#ip access-list standard name,Switch(config-std-nacl)#,第2步：定义访问控制列表条件,Switch(config-std-nacl)#deny source source-wildcard|host source|any,或permitsource source-wildcard|host source|any。,Switch(config-std-nacl)#exit,Switch(config)#,其中：permit允许通过；deny禁止通过；,Source 是要被过滤数据包的源IP地址；,source-wildcard 是通配屏蔽码，指出该域中哪些位进行匹配，1表示允许这些位不同，0表示这些位必须匹配；,Host source代表一台源主机，其source-wildcard为；,any代表任意主机，即source为，source-wildcard为。,第3步：应用访问控制列表,Switch(config)#interface vlan n,其中：n是指Vlan n，以实现进入SVI模式,Switch(config-if)#ip access-group namein|out,其中：name为访问控制列表名称，in或out为控制接口流量方向。,Switch(config-if)#,【例12.7】在交换机上配置访问控制列表，实现只禁止网段上主机发出的数据，而允许其它任意主机。,Switch#configure terminal,Switch(config)#,Switch(config)#ip access-list standard deny_2.0,Switch(config-std-nacl)#deny,Switch(config-std-nacl)#permit any,Switch(config-std-nacl)#exit,Switch(config)#interface vlan 2,Switch(config-if)#ip access-group deny_2.0 in,Switch(config-if)#end,Switch#show access-lists,模块2,IP扩展访问控制列表的建立及应用,.教学目标,了解IP扩展访问控制列表功能及用途,掌握路由器IP扩展访问控制列表配置技能,掌握交换机IP扩展访问控制列表配置技能,2.工作任务,你是学校网络管理员，学校的网管中心分别架设FTP、Web服务器，其中FTP服务器供教师专用，学生不可使用；Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络的数据流量控制。,3.相关实践知识,首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许网段（学生宿舍）主机发出的去网段的FTP数据包通过，允许网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa 0端口，如图12.4所示。,图12.4路由器IP扩展访问控制列表,第1步：基本配置,路由器RouterA：,Renable,R#configure terminal,R(config)#hostname RouterA,RouterA(config)#line vty 0 4,RouterA(config-line)#login,RouterA(config-line)#password 100,RouterA(config-line)#exit,RouterA(config)#enable password 100,RouterA(config)#interface fastethernet 0,RouterA(config-if)#ip,RouterA(config-if)#no shutdown,RouterA(config-if)#Exit,RouterA(config)#interface fastethernet 1,RouterA(config-if)#ip,RouterA(config-if)#no shutdown,RouterA(config-if)#Exit,RouterA(config)#interface fastethernet 2,RouterA(config-if)#ip,RouterA(config-if)#no shutdown,RouterA(config-if)#Exit,RouterA(config)#ip,路由器RouterB同理配置,第2步：在路由器RouterA上配置IP扩展访问控制列表,拒绝来自192.168.1.0 网段去网段的FTP流量通过,RouterA(config)#access-list 101 deny TCP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP,允许其它服务的流量通过,RouterA(config)#access-list 101 permit IP any any,验证测试,RouterA#show access-list 101,第3步：把访问控制列表应用在路由器RouterA的Fa 0接口输入方向上。,RouterA(config)#interface fastethernet 0,RouterA(config-if)#ip access-group 101 in,4.相关理论知识,编号扩展访问控制列表,扩展编号访问控制列表同标准编号访问控制列表一样也是在路由器上创建的，其编号范围为100到199之间。扩展IP访问控制列表可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。,配置编号扩展访问控制列表,R(config)#access-list listnumber permit|deny prot