(9.13)-《路由器技術(shù)》第11章計(jì)算機(jī)網(wǎng)絡(luò)

11-保護(hù)三層子網(wǎng)通信安全【單元背景】三層交換技術(shù)通過(guò)Vlan以及子網(wǎng)技術(shù)，把大的網(wǎng)絡(luò)劃分為多個(gè)較小的廣播域的子網(wǎng)絡(luò)，各個(gè)Vlan間采用三層交換技術(shù)實(shí)現(xiàn)連通。網(wǎng)絡(luò)采用三層交換技術(shù)架構(gòu)，避免二層交換技術(shù)缺陷。在子網(wǎng)間采用安全訪問(wèn)控制策略，能加強(qiáng)網(wǎng)絡(luò)整體安全，實(shí)現(xiàn)Vlan或三層子網(wǎng)之間安全訪問(wèn)控制，決定哪些用戶數(shù)據(jù)流可以在Vlan或三層子網(wǎng)之間交換，最終到達(dá)核心層。三層網(wǎng)絡(luò)安全技術(shù)解決針對(duì)三層網(wǎng)絡(luò)中出現(xiàn)安全隱患，保證數(shù)據(jù)傳輸安全?！緦W(xué)習(xí)目標(biāo)】學(xué)習(xí)訪問(wèn)控制列表技術(shù)安全實(shí)施原理配置標(biāo)準(zhǔn)ACL訪問(wèn)規(guī)則，保護(hù)子網(wǎng)安全配置擴(kuò)展ACL訪問(wèn)規(guī)則，保護(hù)子網(wǎng)中服務(wù)安全學(xué)習(xí)命名訪問(wèn)控制列表技術(shù)，優(yōu)化網(wǎng)絡(luò)安全配置實(shí)施Vlan間安全訪問(wèn)控制11.1路由安全基礎(chǔ)在一個(gè)園區(qū)網(wǎng)絡(luò)中，如果三層網(wǎng)絡(luò)安全沒(méi)有保障，整個(gè)網(wǎng)絡(luò)也就毫無(wú)安全可言。在網(wǎng)絡(luò)管理上，必須對(duì)三層設(shè)備合理規(guī)劃、配置，采取必要安全措施，避免因三層網(wǎng)絡(luò)自身問(wèn)題，給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來(lái)漏洞和風(fēng)險(xiǎn)，如圖11-1顯示三層網(wǎng)絡(luò)中各種干擾和攻擊。11.2三層設(shè)備登錄安全配置路由器控制臺(tái)密碼：Router（config）#enablepasswordstar!表示輸入的是明文形式的口令Router（config）#enablesecretstar!表示輸入的是密文形式的口令在同一臺(tái)設(shè)備上，如果同時(shí)啟用兩種類(lèi)型密碼，則Secret密文格式有優(yōu)先權(quán)。該命令的no命令格式，可以刪除指定級(jí)別的口令。Router（config）#noenablesecret。11.2三層設(shè)備登錄安全支持配置遠(yuǎn)程登錄方式，在line配置模式下執(zhí)行以下命令：Ruijie#configureterminalRuijie（config）#linevty0！遠(yuǎn)程登錄line線路進(jìn)行認(rèn)證口令Ruijie(config-line)#passwordpassword

！指定line線路口令Ruijie(config-line)#login！啟用line線路口令保護(hù)11.3訪問(wèn)控制列表基礎(chǔ)1.什么是訪問(wèn)控制列表訪問(wèn)控制列表ACL（AccessControlList）技術(shù)是數(shù)據(jù)包過(guò)濾技術(shù)。通過(guò)對(duì)網(wǎng)絡(luò)中通過(guò)數(shù)據(jù)包過(guò)濾，實(shí)現(xiàn)網(wǎng)絡(luò)輸入和輸出訪問(wèn)控制,如圖11-2顯示數(shù)據(jù)包過(guò)濾檢查過(guò)程。11.3訪問(wèn)控制列表基礎(chǔ)配置在三層設(shè)備中ACL是一張規(guī)則檢查表，包含很多指令，告訴三層設(shè)備：接收哪些數(shù)據(jù)包，拒絕哪些數(shù)據(jù)包，如圖11-3所示。11.3訪問(wèn)控制列表基礎(chǔ)如圖11-4顯示數(shù)據(jù)包過(guò)濾流程，三層設(shè)備按照ACL中指令順序，處理每一個(gè)進(jìn)入數(shù)據(jù)包，對(duì)進(jìn)入或流出數(shù)據(jù)過(guò)濾，ISP1、什么是訪問(wèn)列表

Access-list：訪問(wèn)控制列表，簡(jiǎn)稱(chēng)ACL

ACL就是對(duì)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。√FTPRG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部門(mén)所屬VLAN不同12221112技術(shù)部VLAN20財(cái)務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪問(wèn)列表3、訪問(wèn)列表的組成

定義訪問(wèn)列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過(guò)，哪些數(shù)據(jù)不允許通過(guò)）第二步：將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上

訪問(wèn)控制列表的分類(lèi)：1、標(biāo)準(zhǔn)訪問(wèn)控制列表2、擴(kuò)展訪問(wèn)控制列表3、命名的訪問(wèn)控制列表4、基于時(shí)間訪問(wèn)控制列表5、專(zhuān)家級(jí)訪問(wèn)控制列表

訪問(wèn)控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù)4、訪問(wèn)列表規(guī)則的應(yīng)用

路由器應(yīng)用訪問(wèn)列表，對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制：

1.入棧應(yīng)用（in）

2.出棧應(yīng)用（out）5、ACL的基本準(zhǔn)則

一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過(guò);

而防火墻缺省封鎖所有的信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。

按規(guī)則鏈來(lái)進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配

從頭到尾，至頂向下的匹配方式

匹配成功馬上停止

立刻使用該規(guī)則的“允許、拒絕……”Y拒絕Y是否匹配

測(cè)試條件1?允許N拒絕允許是否匹配

測(cè)試條件2?拒絕是否匹配

最后一個(gè)

測(cè)試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N6、一個(gè)訪問(wèn)列表多個(gè)測(cè)試條件

標(biāo)準(zhǔn)訪問(wèn)列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義

擴(kuò)展訪問(wèn)列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義7、ACL分類(lèi)

標(biāo)準(zhǔn)的訪問(wèn)列表只能根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過(guò)濾。例在校園網(wǎng)中，學(xué)生網(wǎng)段不可以訪問(wèn)教研網(wǎng)段，但校領(lǐng)導(dǎo)網(wǎng)段可以訪問(wèn)教研網(wǎng)段學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則的定義（1）源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號(hào)列表IP標(biāo)準(zhǔn)訪問(wèn)列表（2）1、定義標(biāo)準(zhǔn)ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩碼]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩碼]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>|{name}{in|out}access-list1permit

55(access-list1deny55)interfaceserial0ipaccess-group1outF0S0F1InternetIP標(biāo)準(zhǔn)訪問(wèn)列表配置（3）只允許網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)絡(luò)IP標(biāo)準(zhǔn)訪問(wèn)列表配置技術(shù)（4）

假使在我們的網(wǎng)絡(luò)管理過(guò)程中，要阻止網(wǎng)絡(luò)中地址為5的一臺(tái)主機(jī)通過(guò)E0訪問(wèn)網(wǎng)絡(luò)，而允許其他的機(jī)器訪問(wèn)網(wǎng)絡(luò)，可以通過(guò)如下操作Router（config）

#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in

0表示檢查相應(yīng)的地址比特

1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111100111111119、配置中的反掩碼（通配符）技術(shù)通配符掩碼是一個(gè)32比特位。在通配符掩碼位中，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。通配符掩碼與IP地址是成對(duì)出現(xiàn).通配符掩碼與子網(wǎng)掩碼工作原理是不同的。在IP子網(wǎng)掩碼中，數(shù)字1和0用來(lái)決定是網(wǎng)絡(luò)，還是主機(jī)的IP地址。如表示這個(gè)網(wǎng)段，使用通配符掩碼應(yīng)為55。在通配符掩碼用55表示所有IP地址，全為1說(shuō)明所有32位都不檢查相應(yīng)的位，這是可以用any來(lái)取代。的通配符掩碼則表示所有32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用host表示。10、ACL分類(lèi)（2）-擴(kuò)展的訪問(wèn)列表

擴(kuò)展的訪問(wèn)列表

擴(kuò)展ACL可以根據(jù)數(shù)據(jù)包內(nèi)的源、目的地址，應(yīng)用服務(wù)進(jìn)行過(guò)濾。例教師網(wǎng)段可以訪問(wèn)內(nèi)網(wǎng)的郵件服務(wù)器，而學(xué)生網(wǎng)不可以訪問(wèn)，但可以訪問(wèn)內(nèi)網(wǎng)的網(wǎng)站。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段郵件serverWEBserver目的地址源地址協(xié)議端口號(hào)100-199號(hào)列表TCP/UDP數(shù)據(jù)IP

eg.HDLCIP擴(kuò)展訪問(wèn)列表（1）IP擴(kuò)展訪問(wèn)列表的配置（2）1、定義擴(kuò)展的ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議

源地址反掩碼

[源端口]目的地址反掩碼

[目的端口]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>|{name}{in|out}IP擴(kuò)展訪問(wèn)列表配置實(shí)例（3）

創(chuàng)建一條ExtendedIPACL，允許網(wǎng)絡(luò)內(nèi)所有主機(jī)，可以訪問(wèn)HTTP服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)。

Switch(config)#access-list111permittcp55hosteqwwwSwitch#showaccess-lists網(wǎng)絡(luò)實(shí)踐1：配置標(biāo)準(zhǔn)ACL規(guī)則，保護(hù)子網(wǎng)安全【任務(wù)場(chǎng)景】某校園網(wǎng)中由于沒(méi)有實(shí)施部門(mén)安全策略，出現(xiàn)學(xué)生登錄到教師網(wǎng)查看試卷情況。因此學(xué)校要求禁止學(xué)生宿舍網(wǎng)絡(luò)訪問(wèn)教師網(wǎng)絡(luò)。如圖11-12所示辦公網(wǎng)絡(luò)場(chǎng)景?！驹O(shè)備清單】：路由器（1臺(tái)）、計(jì)算機(jī)（>=3臺(tái)）、

雙絞線（若干根）?！竟ぷ鬟^(guò)程】(省略）網(wǎng)絡(luò)實(shí)踐2：配置擴(kuò)展ACL，保護(hù)子網(wǎng)中應(yīng)用安全【任務(wù)場(chǎng)景】某學(xué)校教師網(wǎng)中搭建一臺(tái)FTP服務(wù)器，但出現(xiàn)學(xué)生登錄到教師網(wǎng)FTP網(wǎng)絡(luò)服務(wù)器查看試卷情況。因此，學(xué)校允許學(xué)生訪問(wèn)教師網(wǎng)絡(luò)，但禁止學(xué)生訪問(wèn)教師網(wǎng)中FTP服務(wù)器。如圖11-13所示的網(wǎng)絡(luò)拓?fù)涫遣辉试S學(xué)生訪問(wèn)教師網(wǎng)中FTP服務(wù)器?！驹O(shè)備清單】：路由器（2臺(tái)）、計(jì)算機(jī)（>=3臺(tái)）、

雙絞線?！竟ぷ鬟^(guò)程】(省略）11.6命名ACL技術(shù)編號(hào)的ACL使用數(shù)字對(duì)ACL命名，不能反映這個(gè)ACL實(shí)際功能，所以還提供命名ACL技術(shù)。在命名ACL中，使用字母或數(shù)字組合字符串，不僅形象描述該ACL功能，還可以方便修改、刪除。11.7標(biāo)準(zhǔn)命名ACL命名ACL同樣包括標(biāo)準(zhǔn)命名ACL和擴(kuò)展命名ACL兩種，定義過(guò)濾的語(yǔ)句的方式及規(guī)則和編號(hào)ACL方式相似。以下在三層交換機(jī)上配置命名ACL語(yǔ)法。Switch(config)#ipaccess-liststandardtest1

！命名了標(biāo)準(zhǔn)訪問(wèn)控制列表Switch(config-std-nacl)#deny55！拒絕的網(wǎng)絡(luò)Switch(config-std-nacl)#permitany！允許任何其他網(wǎng)絡(luò)訪問(wèn)Switch(config-std-nacl)#exit

Switch(config)#int

s1/0！進(jìn)入S1/0接口Switch(config-if)#ipaccess-grouptest1in！把命名ACL應(yīng)用到接口S1/011.8擴(kuò)展命名ACL擴(kuò)展命名ACL配置和編號(hào)ACL相似。以下是在三層交換機(jī)上，實(shí)施擴(kuò)展命名ACL語(yǔ)法。Switch(config)#ipaccess-listextendedtest2

！定義命名擴(kuò)展訪問(wèn)控制列表Switch(config-ext-nacl)#denyicmp5555Switch（config-ext-nacl)#permitipanyany

！允許其他一切訪問(wèn)

Switch(config)#int

f0/0Switch(config-if)#ipaccess-grouptest2o