網(wǎng)絡(luò)互連技術(shù)課件10園區(qū)網(wǎng)安全(續(xù)).ppt

1、課程回顧,實(shí)驗(yàn)實(shí)例1,背景描述 你是一個(gè)公司的網(wǎng)絡(luò)管理員，公司一經(jīng)理部門(mén)用戶(hù)PC1和一銷(xiāo)售部門(mén)用戶(hù)PC2在同一網(wǎng)段內(nèi)，而財(cái)務(wù)部門(mén)PC3在另一分公司且屬另一網(wǎng)段，三部門(mén)以下圖方式進(jìn)行信息傳遞，為了安全，公司領(lǐng)導(dǎo)要求銷(xiāo)售部門(mén)PC2不能對(duì)財(cái)務(wù)部門(mén)PC3進(jìn)行訪(fǎng)問(wèn)，但經(jīng)理部門(mén)用戶(hù)PC1可以對(duì)財(cái)務(wù)部門(mén)PC3進(jìn)行訪(fǎng)問(wèn)。,實(shí)驗(yàn)拓?fù)?配置標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表,在Router2上配置訪(fǎng)問(wèn)列表： Router(config)#access-list 1 deny ！拒絕來(lái)自主機(jī)的流量通過(guò) （或配置成deny host ） Rout

2、er(config)#access-list 1 permit any ！允許來(lái)自其它主機(jī)的流量通過(guò),訪(fǎng)問(wèn)控制列表在接口下應(yīng)用,在Router2上配置: Router(config)#int f1/0 Router(config-if)#ip access-group 1 out,注意事項(xiàng),1注意在訪(fǎng)問(wèn)控制列表的網(wǎng)絡(luò)掩碼是反掩碼； 2標(biāo)準(zhǔn)控制列表要應(yīng)用在盡量靠近目的地址的接口； 3注意標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的編號(hào)是從199。,實(shí)驗(yàn)實(shí)例2,背景描述 你是學(xué)校的網(wǎng)絡(luò)管理員，學(xué)校規(guī)定每年新入學(xué)的學(xué)生不能訪(fǎng)問(wèn)學(xué)校的FTP服務(wù)器PC3，而其他用戶(hù)可以訪(fǎng)問(wèn)FTP服務(wù)器，不巧有一分校區(qū)一宿舍樓內(nèi)一新生宿舍PC1用

3、戶(hù)和老生宿舍的PC2用戶(hù)的IP分在了同一網(wǎng)段內(nèi)。該如何去實(shí)現(xiàn)？,實(shí)驗(yàn)拓?fù)?配置擴(kuò)展IP訪(fǎng)問(wèn)控制列表,在Router1上配置訪(fǎng)問(wèn)列表： Router(config)#access-list 100 deny tcp 55 eq ftp ；拒絕來(lái)自主機(jī)對(duì)目標(biāo)主機(jī)進(jìn)行ftp訪(fǎng)問(wèn) Router(config)#access-list 100 permit ip any any ；允許其它流量通過(guò),訪(fǎng)問(wèn)控制列表在接口下應(yīng)用,在Router1上配置: Router(config)#int f1/0 Rout

4、er(config-if)#ip access-group 100 in,注意事項(xiàng),訪(fǎng)問(wèn)控制列表要在接口下應(yīng)用； 要注意deny某個(gè)網(wǎng)段后要permit其他網(wǎng)段； 擴(kuò)展訪(fǎng)問(wèn)控制列表要應(yīng)用在盡量靠近源地址的接口； 注意擴(kuò)展訪(fǎng)問(wèn)控制列表的編號(hào)是從100199。,第10章（補(bǔ)充） 高級(jí)訪(fǎng)問(wèn)控制列表,內(nèi)容介紹,訪(fǎng)問(wèn)控制列表回顧 基于時(shí)間的訪(fǎng)問(wèn)控制列表 專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表,什么是訪(fǎng)問(wèn)控制列表,訪(fǎng)問(wèn)控制列表的本質(zhì)是： 定義一些準(zhǔn)則，對(duì)經(jīng)過(guò)路由器、交換機(jī)接口的數(shù)據(jù)包進(jìn)行控制：轉(zhuǎn)發(fā)或丟棄 準(zhǔn)則的定義依據(jù)：源目標(biāo)地址、端口、上層控制比特位 訪(fǎng)問(wèn)控制列表的分類(lèi)： 基本訪(fǎng)問(wèn)控制列表 標(biāo)準(zhǔn) 擴(kuò)展 基于時(shí)間的訪(fǎng)問(wèn)控制列

5、表 專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表,IP ACL的作用,內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)互聯(lián) 只允許外部網(wǎng)絡(luò)訪(fǎng)問(wèn)特定的主機(jī)； 只能在限定的時(shí)間端內(nèi)，允許遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)的特定資源，或者限時(shí)段訪(fǎng)問(wèn)互聯(lián)網(wǎng)資源 內(nèi)部網(wǎng)不同部門(mén)之間的互訪(fǎng) 保證內(nèi)部關(guān)鍵服務(wù)器的安全； 限制某些病毒的傳播,IP ACL的作用,公網(wǎng),互聯(lián)網(wǎng)用戶(hù),對(duì)外信息 服務(wù)器,員工上網(wǎng),拒絕,信息 服務(wù)器,只能在非上班時(shí)間，訪(fǎng)問(wèn)一些指定的網(wǎng)站,IP ACL的規(guī)則定義,規(guī)則定義依據(jù) 源IP地址、目標(biāo)IP地址、TCP/UDP端口號(hào)、TCP控制位 最后一條缺省規(guī)則 缺省規(guī)則為deny（拒絕） 輸入規(guī)則的順序 先匹配前面的規(guī)則，匹配了就執(zhí)行相應(yīng)動(dòng)作 所以一定要認(rèn)真檢查匹

6、配規(guī)則的順序 路由器、交換機(jī)的定義細(xì)節(jié)有所不同 以路由器為例進(jìn)行描述,合格的規(guī)則排列順序,單個(gè)IP地址 IP子網(wǎng) IP自然網(wǎng)絡(luò) IP超網(wǎng) (summarized networks) 缺省網(wǎng)絡(luò),IP ACL的方向,訪(fǎng)問(wèn)控制列表，是對(duì)數(shù)據(jù)流進(jìn)行控制的 方向是從設(shè)備的角度來(lái)看，設(shè)備從該接口接收到數(shù)據(jù)稱(chēng)為“in”，設(shè)備從該接口發(fā)送數(shù)據(jù)稱(chēng)為“out”； 每個(gè)設(shè)備接口的一個(gè)方向只能應(yīng)用一個(gè)訪(fǎng)問(wèn)控制列表； 方向十分重要，錯(cuò)誤的方向定義導(dǎo)致不可思議的結(jié)果,基本IP ACL標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表,access-list permit | deny Number:199 只對(duì)源IP地址進(jìn)行控制 匹配符（wildcard)缺

7、省為，0表示精確匹配，1表示忽略 在盡量靠近目的地址的路由器上配置，在盡量靠近目的地址的端口上去應(yīng)用,基本IP ACL擴(kuò)展訪(fǎng)問(wèn)列表,access-list permit | deny additional options Number:100199 根據(jù)源、目標(biāo)IP地址， TCP/UDP端口 在盡量靠近源地址的路由器上配置，在盡量靠近源地址的端口上去應(yīng)用,基本IP ACL配置例子1,配置RouterB： 只允許192.168.12. 0/24網(wǎng)段的主機(jī)訪(fǎng)問(wèn)07的Telnet服務(wù),RouterB的配置,interface Serial0 ip addres

8、s ip access-group 101 out encapsulation ppp ip route Serial0 access-list 101 permit tcp 55 host 07 eq telnet,在全局配置模式下，執(zhí)行以下命令：,基本IP ACL配置例子2,要求：除了研發(fā)部的主機(jī)6能夠?qū)β酚善鱎TA進(jìn)行telnet操作外，其它用戶(hù)都不允許進(jìn)行telnet操作。,配置擴(kuò)展ACL,在SWA上進(jìn)行如下配置： access-

9、list 101 permit tcp host 6 any eq telnet access-list 101 deny tcp any any eq telnet access-list 101 permit ip any any int vlan 1 ip access-group 101 out int vlan 3 ip access-group 101 out,基于時(shí)間的IP ACL,首先需要校正路由器時(shí)鐘 Router#show clock ！查看路由器當(dāng)前時(shí)鐘 Router#clock set 22:00:00 23 November 2012 ！設(shè)置路由器的時(shí)

10、鐘為2012年11月23日22：00 定義時(shí)間范圍，先通過(guò)絕對(duì)，后判斷周期 absolute 絕對(duì)的時(shí)間段 periodic 周期性時(shí)間段 關(guān)聯(lián)IP ACL與時(shí)間范圍,基于時(shí)間的IP ACL,這個(gè)例子中,以太網(wǎng)口E0上的UDP數(shù)據(jù)包被限制在1999年一月一日上午8:00到2001年12月31日下午6:00之間的周末(星期六與星期日)可以發(fā)送。,interface ethernet 0 ip access-group 101 out ! access-list 101 permit udp any any time-range test ! time-range test absolute st

11、art 8:00 1 January 1999 end 18:00 31 December 2001 periodic weekends 00:00 to 23:59,基于時(shí)間的訪(fǎng)問(wèn)控制列表實(shí)例,【背景描述】 某公司經(jīng)理最近發(fā)現(xiàn)，有些員工在上班時(shí)間經(jīng)常上網(wǎng)瀏覽與工作無(wú)關(guān)的網(wǎng)站，影響了工作，因此他通知網(wǎng)絡(luò)管理員，在網(wǎng)絡(luò)上進(jìn)行設(shè)置，在上班時(shí)間只允許瀏覽與工作相關(guān)的幾個(gè)網(wǎng)站，禁止訪(fǎng)問(wèn)其它網(wǎng)站。 本實(shí)驗(yàn)以1臺(tái)S2126G交換機(jī)和1臺(tái)R1762路由器為例。PC機(jī)的IP地址和缺省網(wǎng)關(guān)分別為/24和/24，服務(wù)器（server）的IP地址和缺省網(wǎng)關(guān)分別為160.16.

12、1.1/24和/24，路由器的接口F1/0和F1/1的IP地址分別為/24和/24。,實(shí)驗(yàn)拓?fù)?第一步：配置基于時(shí)間的訪(fǎng)問(wèn)控制列表,Router(config)#access-list 100 permit ip any host Router(config)#access-list 100 permit ip any any time-range t1 ！關(guān)聯(lián)time-range 接口t1，允許在規(guī)定時(shí)間段訪(fǎng)問(wèn)任何網(wǎng)絡(luò) Router(config)#time-range t1 Router(config-tim

13、e-range)#absolute start 8:00 1 Apr 2008 end 18:00 30 dec 2020 ！定義絕對(duì)時(shí)間 Router(config-time-range)#periodic daily 0:00 to 8:00 ！定義周期性時(shí)間段（非上班時(shí)間） Router(config-time-range)#periodic daily 18:00 to 23:59,第二步：把訪(fǎng)問(wèn)控制列表在接口下應(yīng)用,Router(config)#int f1/0 Router(config-if)#ip access-group 100 in,第三步：測(cè)試訪(fǎng)問(wèn)列表的效果,Cping

14、！驗(yàn)證在工作時(shí)間PC機(jī)可以訪(fǎng)問(wèn)服務(wù)器（能ping通），現(xiàn)在改變服務(wù)器的IP地址為，再進(jìn)行測(cè)試： Cping ！驗(yàn)證在工作時(shí)間不能訪(fǎng)問(wèn)其它服務(wù)器（不能ping通） 現(xiàn)在改變路由器的時(shí)鐘到非工作時(shí)間22：00，再進(jìn)行測(cè)試： Router#clock set 22:00:00 17 November 2009 Cping ！驗(yàn)證在非工作時(shí)間能訪(fǎng)問(wèn)其它服務(wù)器（能ping通）,注意事項(xiàng),在定義時(shí)間接口前須先校正系統(tǒng)時(shí)鐘； Time-range接口上允許配置多條periodic規(guī)則（周期時(shí)間段），在A(yíng)CL進(jìn)

15、行匹配時(shí)，只要能匹配任一條periodic規(guī)則即認(rèn)為匹配成功，而不是要求必須同時(shí)匹配多條periodic規(guī)則； 設(shè)置periodic規(guī)則時(shí)，可以按以下日期段進(jìn)行設(shè)置：day-of-the-week（星期幾）、weekdays（工作日）、weekdays（周末，即周六和周日）、Daily（每天）； Time-range接口上只允許配置一條absolute規(guī)則（絕對(duì)時(shí)間段）； Time-range允許absolute規(guī)則與periodic規(guī)則共存，此時(shí)，ACL必須首先匹配absolute規(guī)則，然后再匹配periodic規(guī)則。,專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表實(shí)例,【背景描述】 出于安全考慮，某企業(yè)網(wǎng)絡(luò)管理員需要

16、按物理地址及網(wǎng)絡(luò)地址禁止某些主機(jī)訪(fǎng)問(wèn)某服務(wù)器，但允許其它主機(jī)訪(fǎng)問(wèn)，現(xiàn)在需要在交換機(jī)上做相應(yīng)配置。 本實(shí)驗(yàn)以1臺(tái)S2126G交換機(jī)和1臺(tái)R1762路由器為例。PC1和PC2的IP地址分別為/24和/24，缺省網(wǎng)關(guān)為/24，服務(wù)器（server）的IP地址和缺省網(wǎng)關(guān)分別為/24和/24，路由器的接口F1/0和F1/1的IP地址分別為/24和/24。,實(shí)驗(yàn)拓?fù)?第一步：在交換機(jī)上定義專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表,switch#configure terminal swit

17、ch (config)#expert access-list extended e1 ！定義專(zhuān)家級(jí)訪(fǎng)問(wèn)列表e1 switch (config-ext-nacl)#deny ip host host 00d0.9823.9526 host any ！禁止IP地址和MAC地址為和00d0.9823.9526的主機(jī)訪(fǎng)問(wèn)IP地址為的主機(jī) switch (config-ext-nacl)#permit any any any any,第二步：在接口上應(yīng)用專(zhuān)家級(jí)訪(fǎng)問(wèn)列表,switch(config)#int f0/1 switch (config-if)#expert access-group e1 in,第三步