9.9 元
下载资源

安全策略与数据流量过滤.ppt

上传人:tian****1990 文档编号:11529056 上传时间:2020-04-27 格式:PPT 页数:42 大小:895KB
返回 下载 相关 举报
安全策略与数据流量过滤.ppt_第1页
第1页 / 共42页
安全策略与数据流量过滤.ppt_第2页
第2页 / 共42页
安全策略与数据流量过滤.ppt_第3页
第3页 / 共42页
点击查看更多>>
资源描述
安全策略与数据流量过滤,1.教学目标掌握网络安全策略布置原则,掌握IP标准及扩展访问控制列表配置技能,能够根据实际需求准确配置IP访问控制列表,具体如下:(1)了解IP标准及扩展访问控制列表的功能及用途(2)掌握IP标准访问控制列表配置技能(3)掌握IP扩展访问控制列表配置技能,2.工作任务根据客户工作任务的具体要求,配置IP标准或扩展访问控制列表,实现网络数据流量控制。,模块1IP标准访问控制列表的建立及应用,.教学目标了解IP标准访问控制列表的功能及用途掌握路由器IP标准访问控制列表配置技能掌握交换机IP标准访问控制列表配置技能,2.工作任务你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。,3.相关实践知识首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa0端口,如图12.1所示。,图12.1路由器IP标准访问控制列表,第1步:基本配置路由器RouterA:RenableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit,RouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置,第2步:在路由器RouterB上配置IP标准访问控制列表RouterB(config)#access-list1deny192.168.2.00.0.0.255RouterB(config)#access-list1permit192.168.1.00.0.0.255验证测试RouterB#showaccess-list1第3步:应用在路由器RouterB的Fa0接口输出方向上RouterB(config)#interfacefastethernet0RouterB(config-if)#ipaccess-group1out验证测试RouterB#showipinterfacefastethernet0,4.相关理论知识ACL概述访问控制列表(ACL)是在交换机或路由器上定义一些规则,对经过网络设备的数据包根据一定规则进行过滤。ACL分类(1)编号访问控制列表:在路由器配置的访问控制列表是由编号来命名的,包括IP标准访问控制列表和IP扩展访问控制列表。(2)命名访问控制列表:在三层交换机配置的访问控制列表是由字符串名字来命令的,包括IP标准访问控制列表和IP扩展访问控制列表。,编号标准访问控制列表(1)标准访问控制列表在路由器上建立的访问控制列表,其编号取值范围为199之间整数值,只根据源IP地址过滤流量。在标准或扩展访问列表的末尾,总有一个隐含的Denyall。这意味着如果数据包源地址与任何允许语句不匹配,则隐含的Denyall将会禁止该数据包通过。(2)定义访问控制列表R(config)#access-listaccess-listnumberpermit/denysourcesourcemask其中:access-listnumber:访问列表序号,范围是1-99;Permit/deny:允许/禁止满足条件的数据包通过;Source:过滤数据包的源IP地址;Sourcemask:通配屏蔽码,1:不检查位,0:必须匹配位。,【例12.3】定义访问控制列表1拒绝特定主机192.168.10.1的流量,但允许其它的所有主机。R(config)#access-list1denyhost192.168.10.1R(config)#access-list1permitany(3)应用访问控制列表访问控制列表需要应用到路由器的一个接口上,应用到一个接口上可选择入栈(IN)或出栈(OUT)二个方向。【例12.5】将访问控制列表1应用到路由器的接口fastethernet0的入栈方向上。R#configureterminalR(config)#interfacefastethernet0R(config-if)#ipaccess-group1inR(config-if)#end,命名标准访问控制列表在三层交换机上配置命名标准访问控制列表,也是采用定义ACL、在接口上应用ACL、查看ACL等步骤进行。第1步:进入Access-list配置模式,用名字来定义一条标准访问控制列表。Switch(config)#ipaccess-liststandardnameSwitch(config-std-nacl)#第2步:定义访问控制列表条件Switch(config-std-nacl)#denysourcesource-wildcard|hostsource|any或permitsourcesource-wildcard|hostsource|any。Switch(config-std-nacl)#exitSwitch(config)#,其中:permit允许通过;deny禁止通过;Source是要被过滤数据包的源IP地址;source-wildcard是通配屏蔽码,指出该域中哪些位进行匹配,1表示允许这些位不同,0表示这些位必须匹配;Hostsource代表一台源主机,其source-wildcard为0.0.0.0;any代表任意主机,即source为0.0.0.0,source-wildcard为255.255.255.255。第3步:应用访问控制列表Switch(config)#interfacevlann其中:n是指Vlann,以实现进入SVI模式Switch(config-if)#ipaccess-groupnamein|out其中:name为访问控制列表名称,in或out为控制接口流量方向。Switch(config-if)#,【例12.7】在交换机上配置访问控制列表,实现只禁止192.168.2.0网段上主机发出的数据,而允许其它任意主机。Switch#configureterminalSwitch(config)#Switch(config)#ipaccess-liststandarddeny_2.0Switch(config-std-nacl)#deny192.168.2.00.0.0.255Switch(config-std-nacl)#permitanySwitch(config-std-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_2.0inSwitch(config-if)#endSwitch#showaccess-lists,模块2IP扩展访问控制列表的建立及应用,.教学目标了解IP扩展访问控制列表功能及用途掌握路由器IP扩展访问控制列表配置技能掌握交换机IP扩展访问控制列表配置技能,2.工作任务你是学校网络管理员,学校的网管中心分别架设FTP、Web服务器,其中FTP服务器供教师专用,学生不可使用;Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段,三个网段之间通过路由器进行信息传递,要求你对路由器进行适当设置实现网络的数据流量控制。,3.相关实践知识首先对两路由器进行基本配置,实现三个网段相互访问;然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表,不允许192.168.1.0网段(学生宿舍)主机发出的去192.168.3.0网段的FTP数据包通过,允许192.168.1.0网段主机发出的其它服务数据包通过,最后将这一策略加到路由器RouterA的Fa0端口,如图12.4所示。,图12.4路由器IP扩展访问控制列表,第1步:基本配置路由器RouterA:RenableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit,RouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置,第2步:在路由器RouterA上配置IP扩展访问控制列表拒绝来自192.168.1.0网段去192.168.3.0网段的FTP流量通过RouterA(config)#access-list101denyTCP192.168.1.00.0.0.255192.168.3.00.0.0.255eqFTP允许其它服务的流量通过RouterA(config)#access-list101permitIPanyany验证测试RouterA#showaccess-list101第3步:把访问控制列表应用在路由器RouterA的Fa0接口输入方向上。RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaccess-group101in,4.相关理论知识编号扩展访问控制列表扩展编号访问控制列表同标准编号访问控制列表一样也是在路由器上创建的,其编号范围为100到199之间。扩展IP访问控制列表可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。配置编号扩展访问控制列表R(config)#access-listlistnumberpermit|denyprotocolsourcesource-wildcard-maskdestinationdestination-wildcard-maskoperatoroperand,其中:Listnumber:规则序号,范围为100-199。Permit/deny:允许/或禁止满足该规则的数据包通过。protocol:0-255之间协议号,也可用协议名(如IP、TCP和UDP。operatoroperand:用于指定端口范围,缺省为全部端口号0-65535,只有TCP和UDP协议需要指定端口范围。【例12.8】在路由器R上配置访问控制列表,实现只允许从129.8.0.0网段的主机向202.39.160.0网段的主机发送WWW报文,禁止其它报文通过。R(config)#Access-list100permittcp129.8.0.00.0.255.255202.39.160.00.0.0.255eqwwwR(config)#interfacefastethernet0R(config-if)#ipaccess-group100inR#showaccess-lists,命名扩展访问控制列表第1步:用名字来定义一个命名扩展访问控制表,并进入扩展访问控制列表配置模式Switch(config)#ipaccess-listextendednamewitch(config-ext-nacl)#第2步:定义访问控制列表条件Switch(config-ext-nacl)#deny|permitprotocolsourcesource-wildcard|hostsource|anyoperatorportdestinationdestination-wildcard|hostdestination|anyoperatorport。Switch(config-ext-nacl)#exitSwitch(config)#,其中:Deny:禁止通过;Permit:允许通过;Protocol:协议类型。TCP:tcp;UDP:udp;IP:ip;Source:源IP地址;source-wildcard:源IP地址通配符;Hostsource:源主机,其source-wildcard为0.0.0.0;hostdestination:目标主机,其destination-wildcard为0.0.0.0;Any:任意主机,即source或destination为0.0.0.0,source-wildcard或destination-wildcard为255.255.255.255;Operator:操作符,只能为eq。Port:TCP或UDP的端口号,范围为0-65535。,【例12.9】在交换机上配置访问控制列表,实现只允许192.168.2.0网段上主机访问IP地址为172.16.1.100的Web服务器,而禁止其它任意主机使用。Switch(config)#ipaccess-listextendedallow_2.0Switch(config-ext-nacl)#permittcp192.168.2.00.0.0.255host172.16.1.100eqwwwSwitch(config-ext-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupallow_2.0inSwitch(config-if)#end,模块3基于时间的访问列表建立与应用,.教学目标了解基于时间访问控制列表的功能及用途掌握路由器基本时间访问控制列表配置技能,2.工作任务你是某公司的网管,为了保证公司上班时间的工作效率,公司要求上班时间只可以访问公司的内部网站。下班后员工可以随意放松,访问网络不受限制。,3.相关实践知识在路由器上进行基本配置,然后设置基于时间的访问控制列表,把这个访问控制列表应用于路由器的Fa0接口,如图12.5所示。,图12.5基于时间的访问控制列表,第1步:基本配置路由器RouterA:RenableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdown,RouterA(config-if)#ExitRouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit第2步:配置路由器的时钟RouterA#showclockClock:1987-1-165:19:9重新设置路由器当前时钟和实际时钟同步RouterA(config)#clockset16:03:4027april2006-4-27RouterA#showclockClock:2006-4-2716:04-9,第3步:定义时间段RouterA(config)#time-rangefreetime定义绝对时间段RouterA(config-time-range)#absolutestart8:001jan2006end18:0030dec2010定义周期性时间段RouterA(config-time-range)#periodicdaily0:00to9:00RouterA(config-time-range)#periodicdaily17:00to23:59RouterA#showtime-rangeTime-rangeentry:freetime(inactive)Absolutestart8:0001january2006end18:0030december2010Periodicdaily0:00to9:00Periodicdaily17:00to23:59,第4步:定义访问控制列表任务时间允许访问服务器192.168.2.10RouterA(config)#access-list102permitipanyhost192.168.2.10允许在规定时间段内访问任何网络RouterA(config)#access-list102permitipanyanytime-rangefreetime查看访问控制列表配置RouterA#showaccess-lists第5步:访问控制列表应用在路由器RouterAFa0接口输入方向上RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaccess-group102in查看Fa0接口上应用的规则RouterA#showipinterfacefastethernet0,4.相关理论知识基于时间的访问列表基于时间的ACL功能使管理员可以依据时间来控制用户对网络资源的访问,即可以根据时间来禁止/允许用户访问网络资源。创建并定义Time-range接口Router(config)#time-rangetime-range-nameRouter(config-time-range)#absolutestarttimedateendtimedateand/orperiodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mm其中:time-range-name为定义的接口名,关联Time-range接口与ACL只允许扩展访问控制列表ACL关联Time-range接口。创建并定义Time-range接口Router(config)#access-listnumberdeny|permitprotocolsourcesrc-wildcarddestinationdesti-wildcardtime-rangetime-range-name,项目结束,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!