網(wǎng)絡(luò)互連技術(shù)課件10園區(qū)網(wǎng)安全(續(xù)).ppt_第1頁(yè)
網(wǎng)絡(luò)互連技術(shù)課件10園區(qū)網(wǎng)安全(續(xù)).ppt_第2頁(yè)
網(wǎng)絡(luò)互連技術(shù)課件10園區(qū)網(wǎng)安全(續(xù)).ppt_第3頁(yè)
網(wǎng)絡(luò)互連技術(shù)課件10園區(qū)網(wǎng)安全(續(xù)).ppt_第4頁(yè)
網(wǎng)絡(luò)互連技術(shù)課件10園區(qū)網(wǎng)安全(續(xù)).ppt_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余35頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、課程回顧,實(shí)驗(yàn)實(shí)例1,背景描述 你是一個(gè)公司的網(wǎng)絡(luò)管理員,公司一經(jīng)理部門(mén)用戶(hù)PC1和一銷(xiāo)售部門(mén)用戶(hù)PC2在同一網(wǎng)段內(nèi),而財(cái)務(wù)部門(mén)PC3在另一分公司且屬另一網(wǎng)段,三部門(mén)以下圖方式進(jìn)行信息傳遞,為了安全,公司領(lǐng)導(dǎo)要求銷(xiāo)售部門(mén)PC2不能對(duì)財(cái)務(wù)部門(mén)PC3進(jìn)行訪(fǎng)問(wèn),但經(jīng)理部門(mén)用戶(hù)PC1可以對(duì)財(cái)務(wù)部門(mén)PC3進(jìn)行訪(fǎng)問(wèn)。,實(shí)驗(yàn)拓?fù)?配置標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表,在Router2上配置訪(fǎng)問(wèn)列表: Router(config)#access-list 1 deny !拒絕來(lái)自主機(jī)的流量通過(guò) (或配置成deny host ) Rout

2、er(config)#access-list 1 permit any !允許來(lái)自其它主機(jī)的流量通過(guò),訪(fǎng)問(wèn)控制列表在接口下應(yīng)用,在Router2上配置: Router(config)#int f1/0 Router(config-if)#ip access-group 1 out,注意事項(xiàng),1注意在訪(fǎng)問(wèn)控制列表的網(wǎng)絡(luò)掩碼是反掩碼; 2標(biāo)準(zhǔn)控制列表要應(yīng)用在盡量靠近目的地址的接口; 3注意標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的編號(hào)是從199。,實(shí)驗(yàn)實(shí)例2,背景描述 你是學(xué)校的網(wǎng)絡(luò)管理員,學(xué)校規(guī)定每年新入學(xué)的學(xué)生不能訪(fǎng)問(wèn)學(xué)校的FTP服務(wù)器PC3,而其他用戶(hù)可以訪(fǎng)問(wèn)FTP服務(wù)器,不巧有一分校區(qū)一宿舍樓內(nèi)一新生宿舍PC1用

3、戶(hù)和老生宿舍的PC2用戶(hù)的IP分在了同一網(wǎng)段內(nèi)。該如何去實(shí)現(xiàn)?,實(shí)驗(yàn)拓?fù)?配置擴(kuò)展IP訪(fǎng)問(wèn)控制列表,在Router1上配置訪(fǎng)問(wèn)列表: Router(config)#access-list 100 deny tcp 55 eq ftp ;拒絕來(lái)自主機(jī)對(duì)目標(biāo)主機(jī)進(jìn)行ftp訪(fǎng)問(wèn) Router(config)#access-list 100 permit ip any any ;允許其它流量通過(guò),訪(fǎng)問(wèn)控制列表在接口下應(yīng)用,在Router1上配置: Router(config)#int f1/0 Rout

4、er(config-if)#ip access-group 100 in,注意事項(xiàng),訪(fǎng)問(wèn)控制列表要在接口下應(yīng)用; 要注意deny某個(gè)網(wǎng)段后要permit其他網(wǎng)段; 擴(kuò)展訪(fǎng)問(wèn)控制列表要應(yīng)用在盡量靠近源地址的接口; 注意擴(kuò)展訪(fǎng)問(wèn)控制列表的編號(hào)是從100199。,第10章(補(bǔ)充) 高級(jí)訪(fǎng)問(wèn)控制列表,內(nèi)容介紹,訪(fǎng)問(wèn)控制列表回顧 基于時(shí)間的訪(fǎng)問(wèn)控制列表 專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表,什么是訪(fǎng)問(wèn)控制列表,訪(fǎng)問(wèn)控制列表的本質(zhì)是: 定義一些準(zhǔn)則,對(duì)經(jīng)過(guò)路由器、交換機(jī)接口的數(shù)據(jù)包進(jìn)行控制:轉(zhuǎn)發(fā)或丟棄 準(zhǔn)則的定義依據(jù):源目標(biāo)地址、端口、上層控制比特位 訪(fǎng)問(wèn)控制列表的分類(lèi): 基本訪(fǎng)問(wèn)控制列表 標(biāo)準(zhǔn) 擴(kuò)展 基于時(shí)間的訪(fǎng)問(wèn)控制列

5、表 專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表,IP ACL的作用,內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)互聯(lián) 只允許外部網(wǎng)絡(luò)訪(fǎng)問(wèn)特定的主機(jī); 只能在限定的時(shí)間端內(nèi),允許遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)的特定資源,或者限時(shí)段訪(fǎng)問(wèn)互聯(lián)網(wǎng)資源 內(nèi)部網(wǎng)不同部門(mén)之間的互訪(fǎng) 保證內(nèi)部關(guān)鍵服務(wù)器的安全; 限制某些病毒的傳播,IP ACL的作用,公網(wǎng),互聯(lián)網(wǎng)用戶(hù),對(duì)外信息 服務(wù)器,員工上網(wǎng),拒絕,信息 服務(wù)器,只能在非上班時(shí)間,訪(fǎng)問(wèn)一些指定的網(wǎng)站,IP ACL的規(guī)則定義,規(guī)則定義依據(jù) 源IP地址、目標(biāo)IP地址、TCP/UDP端口號(hào)、TCP控制位 最后一條缺省規(guī)則 缺省規(guī)則為deny(拒絕) 輸入規(guī)則的順序 先匹配前面的規(guī)則,匹配了就執(zhí)行相應(yīng)動(dòng)作 所以一定要認(rèn)真檢查匹

6、配規(guī)則的順序 路由器、交換機(jī)的定義細(xì)節(jié)有所不同 以路由器為例進(jìn)行描述,合格的規(guī)則排列順序,單個(gè)IP地址 IP子網(wǎng) IP自然網(wǎng)絡(luò) IP超網(wǎng) (summarized networks) 缺省網(wǎng)絡(luò),IP ACL的方向,訪(fǎng)問(wèn)控制列表,是對(duì)數(shù)據(jù)流進(jìn)行控制的 方向是從設(shè)備的角度來(lái)看,設(shè)備從該接口接收到數(shù)據(jù)稱(chēng)為“in”,設(shè)備從該接口發(fā)送數(shù)據(jù)稱(chēng)為“out”; 每個(gè)設(shè)備接口的一個(gè)方向只能應(yīng)用一個(gè)訪(fǎng)問(wèn)控制列表; 方向十分重要,錯(cuò)誤的方向定義導(dǎo)致不可思議的結(jié)果,基本IP ACL標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表,access-list permit | deny Number:199 只對(duì)源IP地址進(jìn)行控制 匹配符(wildcard)缺

7、省為,0表示精確匹配,1表示忽略 在盡量靠近目的地址的路由器上配置,在盡量靠近目的地址的端口上去應(yīng)用,基本IP ACL擴(kuò)展訪(fǎng)問(wèn)列表,access-list permit | deny additional options Number:100199 根據(jù)源、目標(biāo)IP地址, TCP/UDP端口 在盡量靠近源地址的路由器上配置,在盡量靠近源地址的端口上去應(yīng)用,基本IP ACL配置例子1,配置RouterB: 只允許192.168.12. 0/24網(wǎng)段的主機(jī)訪(fǎng)問(wèn)07的Telnet服務(wù),RouterB的配置,interface Serial0 ip addres

8、s ip access-group 101 out encapsulation ppp ip route Serial0 access-list 101 permit tcp 55 host 07 eq telnet,在全局配置模式下,執(zhí)行以下命令:,基本IP ACL配置例子2,要求:除了研發(fā)部的主機(jī)6能夠?qū)β酚善鱎TA進(jìn)行telnet操作外,其它用戶(hù)都不允許進(jìn)行telnet操作。,配置擴(kuò)展ACL,在SWA上進(jìn)行如下配置: access-

9、list 101 permit tcp host 6 any eq telnet access-list 101 deny tcp any any eq telnet access-list 101 permit ip any any int vlan 1 ip access-group 101 out int vlan 3 ip access-group 101 out,基于時(shí)間的IP ACL,首先需要校正路由器時(shí)鐘 Router#show clock !查看路由器當(dāng)前時(shí)鐘 Router#clock set 22:00:00 23 November 2012 !設(shè)置路由器的時(shí)

10、鐘為2012年11月23日22:00 定義時(shí)間范圍,先通過(guò)絕對(duì),后判斷周期 absolute 絕對(duì)的時(shí)間段 periodic 周期性時(shí)間段 關(guān)聯(lián)IP ACL與時(shí)間范圍,基于時(shí)間的IP ACL,這個(gè)例子中,以太網(wǎng)口E0上的UDP數(shù)據(jù)包被限制在1999年一月一日上午8:00到2001年12月31日下午6:00之間的周末(星期六與星期日)可以發(fā)送。,interface ethernet 0 ip access-group 101 out ! access-list 101 permit udp any any time-range test ! time-range test absolute st

11、art 8:00 1 January 1999 end 18:00 31 December 2001 periodic weekends 00:00 to 23:59,基于時(shí)間的訪(fǎng)問(wèn)控制列表實(shí)例,【背景描述】 某公司經(jīng)理最近發(fā)現(xiàn),有些員工在上班時(shí)間經(jīng)常上網(wǎng)瀏覽與工作無(wú)關(guān)的網(wǎng)站,影響了工作,因此他通知網(wǎng)絡(luò)管理員,在網(wǎng)絡(luò)上進(jìn)行設(shè)置,在上班時(shí)間只允許瀏覽與工作相關(guān)的幾個(gè)網(wǎng)站,禁止訪(fǎng)問(wèn)其它網(wǎng)站。 本實(shí)驗(yàn)以1臺(tái)S2126G交換機(jī)和1臺(tái)R1762路由器為例。PC機(jī)的IP地址和缺省網(wǎng)關(guān)分別為/24和/24,服務(wù)器(server)的IP地址和缺省網(wǎng)關(guān)分別為160.16.

12、1.1/24和/24,路由器的接口F1/0和F1/1的IP地址分別為/24和/24。,實(shí)驗(yàn)拓?fù)?第一步:配置基于時(shí)間的訪(fǎng)問(wèn)控制列表,Router(config)#access-list 100 permit ip any host Router(config)#access-list 100 permit ip any any time-range t1 !關(guān)聯(lián)time-range 接口t1,允許在規(guī)定時(shí)間段訪(fǎng)問(wèn)任何網(wǎng)絡(luò) Router(config)#time-range t1 Router(config-tim

13、e-range)#absolute start 8:00 1 Apr 2008 end 18:00 30 dec 2020 !定義絕對(duì)時(shí)間 Router(config-time-range)#periodic daily 0:00 to 8:00 !定義周期性時(shí)間段(非上班時(shí)間) Router(config-time-range)#periodic daily 18:00 to 23:59,第二步:把訪(fǎng)問(wèn)控制列表在接口下應(yīng)用,Router(config)#int f1/0 Router(config-if)#ip access-group 100 in,第三步:測(cè)試訪(fǎng)問(wèn)列表的效果,Cping

14、!驗(yàn)證在工作時(shí)間PC機(jī)可以訪(fǎng)問(wèn)服務(wù)器(能ping通),現(xiàn)在改變服務(wù)器的IP地址為,再進(jìn)行測(cè)試: Cping !驗(yàn)證在工作時(shí)間不能訪(fǎng)問(wèn)其它服務(wù)器(不能ping通) 現(xiàn)在改變路由器的時(shí)鐘到非工作時(shí)間22:00,再進(jìn)行測(cè)試: Router#clock set 22:00:00 17 November 2009 Cping !驗(yàn)證在非工作時(shí)間能訪(fǎng)問(wèn)其它服務(wù)器(能ping通),注意事項(xiàng),在定義時(shí)間接口前須先校正系統(tǒng)時(shí)鐘; Time-range接口上允許配置多條periodic規(guī)則(周期時(shí)間段),在A(yíng)CL進(jìn)

15、行匹配時(shí),只要能匹配任一條periodic規(guī)則即認(rèn)為匹配成功,而不是要求必須同時(shí)匹配多條periodic規(guī)則; 設(shè)置periodic規(guī)則時(shí),可以按以下日期段進(jìn)行設(shè)置:day-of-the-week(星期幾)、weekdays(工作日)、weekdays(周末,即周六和周日)、Daily(每天); Time-range接口上只允許配置一條absolute規(guī)則(絕對(duì)時(shí)間段); Time-range允許absolute規(guī)則與periodic規(guī)則共存,此時(shí),ACL必須首先匹配absolute規(guī)則,然后再匹配periodic規(guī)則。,專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表實(shí)例,【背景描述】 出于安全考慮,某企業(yè)網(wǎng)絡(luò)管理員需要

16、按物理地址及網(wǎng)絡(luò)地址禁止某些主機(jī)訪(fǎng)問(wèn)某服務(wù)器,但允許其它主機(jī)訪(fǎng)問(wèn),現(xiàn)在需要在交換機(jī)上做相應(yīng)配置。 本實(shí)驗(yàn)以1臺(tái)S2126G交換機(jī)和1臺(tái)R1762路由器為例。PC1和PC2的IP地址分別為/24和/24,缺省網(wǎng)關(guān)為/24,服務(wù)器(server)的IP地址和缺省網(wǎng)關(guān)分別為/24和/24,路由器的接口F1/0和F1/1的IP地址分別為/24和/24。,實(shí)驗(yàn)拓?fù)?第一步:在交換機(jī)上定義專(zhuān)家級(jí)訪(fǎng)問(wèn)控制列表,switch#configure terminal swit

17、ch (config)#expert access-list extended e1 !定義專(zhuān)家級(jí)訪(fǎng)問(wèn)列表e1 switch (config-ext-nacl)#deny ip host host 00d0.9823.9526 host any !禁止IP地址和MAC地址為和00d0.9823.9526的主機(jī)訪(fǎng)問(wèn)IP地址為的主機(jī) switch (config-ext-nacl)#permit any any any any,第二步:在接口上應(yīng)用專(zhuān)家級(jí)訪(fǎng)問(wèn)列表,switch(config)#int f0/1 switch (config-if)#expert access-group e1 in,第三步

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論