項目十二 安全策略與數(shù)據(jù)流量過濾_第1頁
項目十二 安全策略與數(shù)據(jù)流量過濾_第2頁
項目十二 安全策略與數(shù)據(jù)流量過濾_第3頁
項目十二 安全策略與數(shù)據(jù)流量過濾_第4頁
項目十二 安全策略與數(shù)據(jù)流量過濾_第5頁
已閱讀5頁,還剩37頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、項目十二項目十二 安全策略與數(shù)據(jù)流量過濾安全策略與數(shù)據(jù)流量過濾 1.教學(xué)目標(biāo) 掌握網(wǎng)絡(luò)安全策略布置原則,掌握IP標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表配置技能,能夠根據(jù)實際需求準(zhǔn)確配置IP訪問控制列表,具體如下:(1)了解IP標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表的功能及用途 (2)掌握IP標(biāo)準(zhǔn)訪問控制列表配置技能(3)掌握IP擴(kuò)展訪問控制列表配置技能2.工作任務(wù) 根據(jù)客戶工作任務(wù)的具體要求,配置IP標(biāo)準(zhǔn)或擴(kuò)展訪問控制列表,實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。 模塊模塊1 1 IPIP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用 . 教學(xué)目標(biāo) 了解IP標(biāo)準(zhǔn)訪問控制列表的功能及用途 掌握路由器IP標(biāo)準(zhǔn)訪問控制列表配置技能 掌握交

2、換機(jī)IP標(biāo)準(zhǔn)訪問控制列表配置技能 2. 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的財務(wù)處、教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段,三個部門之間通過路由器進(jìn)行信息傳遞,為了安全起見,學(xué)校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,實現(xiàn)校辦企業(yè)財務(wù)科的主機(jī)可以訪問財務(wù)處的主機(jī),但是教師辦公室主機(jī)不能訪問財務(wù)處主機(jī)。 3. 相關(guān)實踐知識 首先對兩路由器進(jìn)行基本配置,實現(xiàn)三個網(wǎng)段可以相互訪問;然后對距離控制目的地址較近的路由器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表,允許網(wǎng)段(校辦企業(yè)財務(wù)科)主機(jī)發(fā)出的數(shù)據(jù)包通過,不允許網(wǎng)段(教師辦公室)主機(jī)發(fā)出的數(shù)據(jù)包通過,最后將這

3、一策略加到路由器RouterB的Fa 0端口,如圖12.1所示。圖12.1路由器IP標(biāo)準(zhǔn)訪問控制列表第1步:基本配置路由器RouterA:R enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#inte

4、rface fastethernet 0RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)

5、#interface fastethernet 2RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 路由器RouterB同理配置第2步:在路由器RouterB上配置IP標(biāo)準(zhǔn)訪問控制列表RouterB (config)#access-list 1 deny 55R

6、outerB (config)#access-list 1 permit 55驗證測試RouterB #show access-list 1第3步:應(yīng)用在路由器RouterB的Fa 0接口輸出方向上RouterB (config)#interface fastethernet 0RouterB (config-if)#ip access-group 1 out驗證測試RouterB #show ip interface fastethernet 04. 相關(guān)理論知識 ACL概述概述 訪問控制列表(ACL)是在交換機(jī)或路由器上定義一些規(guī)則,對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)

7、據(jù)包根據(jù)一定規(guī)則進(jìn)行過濾。 ACL分類分類(1)編號訪問控制列表:在路由器配置的訪問控制列表是由編號來命名的,包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴(kuò)展訪問控制列表。(2)命名訪問控制列表:在三層交換機(jī)配置的訪問控制列表是由字符串名字來命令的,包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴(kuò)展訪問控制列表。 編號標(biāo)準(zhǔn)訪問控制列表編號標(biāo)準(zhǔn)訪問控制列表 (1)標(biāo)準(zhǔn)訪問控制列表 在路由器上建立的訪問控制列表,其編號取值范圍為199之間整數(shù)值,只根據(jù)源IP地址過濾流量。 在標(biāo)準(zhǔn)或擴(kuò)展訪問列表的末尾,總有一個隱含的Deny all。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配,則隱含的Deny all將會禁止該數(shù)據(jù)包通過。 (

8、2)定義訪問控制列表 R (config)#access-list access-list number permit/deny source source mask 其中: access-list number :訪問列表序號,范圍是1-99; Permit/deny:允許/禁止?jié)M足條件的數(shù)據(jù)包通過; Source :過濾數(shù)據(jù)包的源IP地址; Source mask: 通配屏蔽碼,1:不檢查位,0:必須匹配位。 【例12.3】定義訪問控制列表1拒絕特定主機(jī)的流量,但允許其它的所有主機(jī)。R(config)#access-list 1 deny host 192.168.

9、10.1R(config)#access-list 1 permit any(3)應(yīng)用訪問控制列表 訪問控制列表需要應(yīng)用到路由器的一個接口上,應(yīng)用到一個接口上可選擇入棧(IN)或出棧(OUT)二個方向?!纠?2.5】將訪問控制列表1應(yīng)用到路由器的接口fastethernet 0的入棧方向上。R#configure terminalR(config)# interface fastethernet 0R(config-if)#ip access-group 1 inR(config-if)#end 命名標(biāo)準(zhǔn)訪問控制列表命名標(biāo)準(zhǔn)訪問控制列表 在三層交換機(jī)上配置命名標(biāo)準(zhǔn)訪問控制列表,也是采用定義AC

10、L、在接口上應(yīng)用ACL、查看ACL等步驟進(jìn)行。第1步:進(jìn)入Access-list配置模式,用名字來定義一條標(biāo)準(zhǔn)訪問控制列表。Switch(config)#ip access-list standard name Switch(config-std-nacl)#第2步:定義訪問控制列表條件Switch(config-std-nacl)#deny source source-wildcard|host source |any或permitsource source-wildcard|host source|any。Switch(config-std-nacl)#exitSwitch(config)

11、# 其中:permit允許通過;deny禁止通過;Source 是要被過濾數(shù)據(jù)包的源IP地址;source-wildcard 是通配屏蔽碼,指出該域中哪些位進(jìn)行匹配,1表示允許這些位不同,0表示這些位必須匹配;Host source代表一臺源主機(jī),其source-wildcard為;any代表任意主機(jī),即source為,source-wildcard為55。第3步:應(yīng)用訪問控制列表Switch(config)#interface vlan n其中:n是指Vlan n,以實現(xiàn)進(jìn)入SVI模式Switch(config-if)#ip access

12、-group namein|out其中:name為訪問控制列表名稱,in或out為控制接口流量方向。Switch(config-if)#【例12.7】在交換機(jī)上配置訪問控制列表,實現(xiàn)只禁止網(wǎng)段上主機(jī)發(fā)出的數(shù)據(jù),而允許其它任意主機(jī)。Switch#configure terminalSwitch(config)#Switch(config)#ip access-list standard deny_2.0Switch(config-std-nacl)#deny 55Switch(config-std-nacl)#permit any Sw

13、itch(config-std-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group deny_2.0 inSwitch(config-if)#endSwitch#show access-lists模塊模塊2 IP擴(kuò)展訪問控制列表的建立及應(yīng)用擴(kuò)展訪問控制列表的建立及應(yīng)用 . 教學(xué)目標(biāo) 了解IP擴(kuò)展訪問控制列表功能及用途 掌握路由器IP擴(kuò)展訪問控制列表配置技能 掌握交換機(jī)IP擴(kuò)展訪問控制列表配置技能 2. 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web服務(wù)器,其中FTP服務(wù)器供教師

14、專用,學(xué)生不可使用;Web服務(wù)器教師和學(xué)生都可訪問。FTP及Web服務(wù)器、教師辦公室和學(xué)生宿舍分屬不同的3個網(wǎng)段,三個網(wǎng)段之間通過路由器進(jìn)行信息傳遞,要求你對路由器進(jìn)行適當(dāng)設(shè)置實現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。3. 相關(guān)實踐知識 首先對兩路由器進(jìn)行基本配置,實現(xiàn)三個網(wǎng)段相互訪問;然后對離控制源地址較近的路由器RouterA配置IP擴(kuò)展訪問控制列表,不允許網(wǎng)段(學(xué)生宿舍)主機(jī)發(fā)出的去網(wǎng)段的FTP數(shù)據(jù)包通過,允許網(wǎng)段主機(jī)發(fā)出的其它服務(wù)數(shù)據(jù)包通過,最后將這一策略加到路由器RouterA的Fa 0端口 ,如圖12.4所示 。圖12.4路由器IP擴(kuò)

15、展訪問控制列表第1步:基本配置路由器RouterA:RenableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip ad

16、dress RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#

17、ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 路由器RouterB同理配置第2步:在路由器RouterA上配置IP擴(kuò)展訪問控制列表拒絕來自 網(wǎng)段去網(wǎng)段的FTP流量通過RouterA (config)#access-list 101 deny TCP 55

18、 55 eq FTP允許其它服務(wù)的流量通過RouterA (config)#access-list 101 permit IP any any 驗證測試RouterA #show access-list 101第3步:把訪問控制列表應(yīng)用在路由器RouterA的Fa 0接口輸入方向上。RouterA(config)#interface fastethernet 0RouterA (config-if)#ip access-group 101 in4. 相關(guān)理論知識 編號擴(kuò)展訪問控制列表編號擴(kuò)展訪問控制列表 擴(kuò)展編號訪問控制列表同標(biāo)準(zhǔn)編號訪問控制列表一樣也是在

19、路由器上創(chuàng)建的,其編號范圍為100到199之間。擴(kuò)展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。 配置編號擴(kuò)展訪問控制列表配置編號擴(kuò)展訪問控制列表 R(config)#access-list listnumber permit | deny protocol source source-wildcard-mask destination destination-wildcard-mask operator operand 命名擴(kuò)展訪問控制列表第1步:用名字來定義一個命名擴(kuò)展訪問控制表,并進(jìn)入擴(kuò)展訪問控制列表配置模式Switch(config)#ip a

20、ccess-listextended namewitch(config-ext-nacl)#第2步:定義訪問控制列表條件Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source |anyoperator portdestination destination-wildcard|host destination|anyoperator port。Switch(config-ext-nacl)#exitSwitch(config)# 其中:Deny:禁止通過;Permit:允許通過;Protoco

21、l:協(xié)議類型。TCP:tcp;UDP:udp;IP:ip;Source:源IP地址;source-wildcard:源IP地址通配符;Host source:源主機(jī),其source-wildcard為;host destination:目標(biāo)主機(jī),其destination-wildcard為;Any:任意主機(jī),即source或destination為,source-wildcard或destination-wildcard為55;Operator:操作符,只能為eq。Port:TCP或UDP的端口號,范圍為0-65535。模塊模

22、塊3 3 基于時間的訪問列表建立與應(yīng)用基于時間的訪問列表建立與應(yīng)用 . 教學(xué)目標(biāo) 了解基于時間訪問控制列表的功能及用途 掌握路由器基本時間訪問控制列表配置技能 2. 工作任務(wù) 你是某公司的網(wǎng)管,為了保證公司上班時間的工作效率,公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松,訪問網(wǎng)絡(luò)不受限制。3. 相關(guān)實踐知識 在路由器上進(jìn)行基本配置,然后設(shè)置基于時間的訪問控制列表,把這個訪問控制列表應(yīng)用于路由器的Fa 0接口 ,如圖12.5所示。 圖12.5基于時間的訪問控制列表第1步:基本配置路由器RouterA:R enableR#configure terminalR(config)#

23、hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip address RouterA (config-if)#no shutdownR

24、outerA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#Exit第2步:配置路由器的時鐘RouterA#show clockClock:1987-1-16 5:19:9重新設(shè)置路由器當(dāng)前時鐘和實際時鐘同步RouterA(config)#clock set 16:03:40 27 april 2006-4-27Ro

25、uterA#show clockClock:2006-4-27 16:04-9第3步:定義時間段RouterA(config)#time-range freetime定義絕對時間段RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010定義周期性時間段RouterA(config-time-range)#periodic daily 0:00 to 9:00RouterA(config-time-range)#periodic daily 17:00 to 23:59RouterA#show time-rangeTime-range entry:freetime(inactive)Absolute start 8:00 01 january 2006 end 18:00 30 december 2010Periodic daily 0:00 to 9:00Periodic daily 17:00 to 23:59第4步:定義訪問控制列表任務(wù)時間允許訪問服務(wù)器0RouterA (config)#

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論