收藏
下载资源

s7 acl与nat技术(网络技术之路由)

上传人:今*** 文档编号:108090288 上传时间:2019-10-22 格式:PPT 页数:49 大小:1.16MB
返回 下载 相关 举报
s7 acl与nat技术(网络技术之路由)_第1页
第1页 / 共49页
s7 acl与nat技术(网络技术之路由)_第2页
第2页 / 共49页
s7 acl与nat技术(网络技术之路由)_第3页
第3页 / 共49页
s7 acl与nat技术(网络技术之路由)_第4页
第4页 / 共49页
s7 acl与nat技术(网络技术之路由)_第5页
第5页 / 共49页
点击查看更多>>
资源描述

《s7 acl与nat技术(网络技术之路由)》由会员分享,可在线阅读,更多相关《s7 acl与nat技术(网络技术之路由)(49页珍藏版)》请在金锄头文库上搜索。

1、访问控制列表 Access Control List,1,要求:,编写一个满足用户需求的访问列表 排除故障 包控制规则,简介,访问控制列表基本上是一系列对包进行分类的条件 功能 可以控制企业网络流量 可以收集包流量 可以实现安全策略 可以保护敏感设备安全,为什么要使用ACL,管理网络中逐步增长的数据 当数据通过路由器时进行过滤 允许、拒绝数据包通过路由器 允许、拒绝Telnet 会话的建立 没有设置访问控制列表的话,所有数据都会在网络上传输,工作原理,比较规则,从第一行开始,逐行比较 匹配,则执行相应操作,并不再比较 默认隐含一条deny语句(意味着如果数据包与访问列表中的所有行都不匹配,将被

2、丢弃),比较原理,分类:,标准访问列表 基于数据源地址进行过滤 扩展访问列表 3、4层中的所有内容 命名访问列表 输入访问列表(路由前) 输出访问列表(路由后),编写列表的原则:,原则 每个接口上只应用一个访问列表 将更特殊的测试放在访问列表的最前面 新添加条目,放在整个列表的尾部 因为不能删除一行,所以建议使用文本编辑器 每个列表应最少有一个permit命令 要先有列表,再应用到接口,反之不行 他过滤通过路由器的流量,但不过滤路由器产生的流量,编写列表的原则:,原则 标准访问控制列表应放在靠近目的地址的位置 扩展列表应尽量放在靠近源地址的位置,标准的访问列表,通过使用ip包中的源ip地址过滤

3、网络流量 使用访问列表号199或13001999 路由器通过使用号码区别访问列表类型。 199,13001999告诉路由器创建的是标准的IP访问列表,所以路由器将只分析测试行中的源IP地址。,标准的访问列表,access-list 10 ? access 10 deny ? access 10 deny host 172.16.10.1 access 10 permit any,通配符,用来指定控制的主机范围 0代表需要精确匹配 255代表可以是任意值 172.16.10.0 0.0.0.255 每个块大小必须从0或一个块大小的倍数开始 通配符通常是小于块大小的数 Any = 0.0.0.0

4、255.255.255.255,标准ACL的应用,注:不要忘记将ACL应用于接口下,例:销售部不允许访问财务部的办公网络,但是可以访问 Internet和市场部!,控制VTY(Telnet)访问,Vty线路上的应用访问控制列表命令 区别在于只应用于telnet数据包 access-list 50 permit 172.16.10.3 line vty 0 4 access-class 50 in,扩展的ip访问列表,使用的访问列表号码范围是 100199或20002699 允许指定源地址和目的地址,以及标识上层协议或应用程序的协议和端口号。实现更有效的访问控制。,扩展的ip访问列表,Acces

5、s-list 110 deny ? access-list 110 deny tcp any host 172.16.10.1 eq 21 access-list 110 permit ip any any,扩展ACL的应用,例:只允许销售部访问TCP的80、53端口和市场部的FTP服务器。其它内容都不能访问!,access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq88,access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

6、eq www,access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq www,access-list 101 deny tcp 192.168.1.1 0.0.0.255 192.168.3.0 0.0.0.255 eq 53,access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 21,access-list 101 deny any,命名访问控制列表,名称比数字更具说明性 并且可以动态增删 ip access-l

7、ist standard BlockTom router(config-std-nacl)#deny ? 需要应用于接口上,(交换机)端口的访问控制列表,只支持2层端口 只能应用于in方向 只能使用命名访问列表 Ip和mac列表只能应用一个(覆盖) mac acc ext blockanother deny any host xxxx.xxxx.xxxx permit any any,其他访问控制列表,动态访问控制列表 将扩展访问列表和远程或是本地Telnet认证结合来体现它的优点。 动态访问表是传统访问表的一种增强类型,其思想方法是,当用户希望访问内部资源时,必须先远程Telnet到路由器,

8、路由器对访问者经用户名和口令认证通过以后,便关闭Telnet会话,并在向内的访问表中增加一个动态表项,该表项允许来自用户所在工作站的报文通过,从而达到访问内部网络资源的目的。,其他访问控制列表,基于时间的访问控制列表 面向时间控制的访问控制列表. time-range no-http periodic weekend ?,其他访问控制列表,periodic weekend ? exit ip access-list extended time deny tcp any any eq www time-range no-http interface f0/0 ip access-group ti

9、me in,其他访问控制列表,JSJInter#show time-range time-range hour_1 (inactive, used 36 times) periodic weekdays 17:0:0 to 23:0:0 periodic weekend 7:0:0 to 23:0:0 time-range hour_2 (inactive, used 12 times) periodic weekdays 17:0:0 to 23:0:0 periodic Saturday 11:30:0 to 23:0:0 periodic Sunday 7:0:0 to 23:0:0,其

10、他访问控制列表,注释(remark) 在IP标准和扩展访问列表中的已有条目上添加注释和备注。 有助于管理检查和理解访问控制列表,其他访问控制列表,基于上下文的访问控制列表(CBAC) 一种基于Cisco IOS防火墙设置的访问控制列表 通过检查通过防火墙的流量来发现管理TCP和UDP的会话状态信息。 通过在流量向上配置ip inspect列表,允许为受允许会话放回流量和附加数据连接,打开这些通路。(受允许会话是指来源于收保护的内部网络会话),其他访问控制列表,基于上下文的访问控制列表(CBAC) R(config)#ip inspect name myCBAC smtp R(config)#i

11、p inspect name myCBAC ftp R(config)#ip inspect name myCBAC icmp timeout 10 R(config)#ip inspect name myCBAC telnet R(config)#ip inspect tcp idle-time 300 R(config)#ip inspect tcp synwait-time 30,其他访问控制列表,R(config)#ip inspect tcp finwait-time 5 R(config)#ip inspect udp idle-time 30 R(config)#ip inspe

12、ct dns-timeout 5 R(config)#interface serial 1/1 R(config-if)#ip inspect myCBAC out R(config-if)#exit,其他访问控制列表,CBAC被配置在外部接口S0上。这可以防止指定的协议数据流进入该防火墙路由器和内部网络,除非这些数据是由内部网络所发起会话的一部分,其他访问控制列表,在该拓扑结构中,CBAC被配置在内部接口E0上,允许外部数据流访问DMZ(连接在接口E1上的军事区)中的服务(如DNS服务),同时防止指定的协议数据流入内部网络,除非这些数据流是由内部网络所发起的会话的一部分,其他访问控制列表,结

13、合Cisco防火墙配置的路由器处理流量应该遵循以下原则: 如果内部ACL通过,路由器将把所有的内部包发送到Cisco防火墙 被允许的流量满足防火墙IP检查步骤,将把允许的连接状态信息添加到状态表中 流量通过IP检查过程,接着创建动态ACL条目并且把它放入外部ACL中,这样返回流量在经过路由器时将被允许通过,验证访问控制列表,Show access-list Show access-list 110 Show ip access-list Show ip interface Show run,小结,区分标准ACL与扩展ACL间的区别 熟练掌握标准ACL与扩展ACL的配置命令 通过学习能够判断什么

14、时候应用于哪种ACL,网络地址转换(NAT),34,要求,掌握NAT的应用场合 理解NAT的工作原理 掌握NAT的配制方法,NAT的使用,在内部网络中使用内部私有地址,通过NAT把内部地址翻译成合法的公网IP地址,在Internet上使用。 其具体的做法是把IP包内的地址池(内部本地)用合法的IP地址段(内部全局)来替换。,应用NAT的位置,没有足够的公网ip时 想要屏蔽内网的细节时 想不改变访问的前提下增加内部的灵活性,NAT的优缺点,优点 节约合法注册地址 减少地址重叠出现 增加连接因特网的灵活性 网络变更时避免地址的重新分配 缺点 地址转换产生交换延迟 无法进行端到端的ip跟踪 不是所有

15、应用都支持,网络地址转换类型,静态NAT 一个内网ip对应一个外网ip 动态NAT 多个内网ip对应多个外网ip (一个内网ip动态对应一个外网ip) 重载NAT 多个内网ip对应一个外网ip 通过附加端口号来实现,NAT术语,内部本地 转换之前内部源地址 内部全局 转换之后内部主机的地址 外部本地 转换之前目标主机的地址 外部全局 转换之后目标主机的地址,NAT工作原理(静态),NAT工作原理(复用),将一个内部全局地址用于同时代表多个内部局部地址。 主要用IP地址和端口号的组合来唯一区分各个内部主机。 适合应用于中小形的企业,NAT工作原理(PAT),NAT配置,静态NAT配置 ip na

16、t inside source static 10.1.1.1 11.1.1.1 interface ehternet 0 ip nat intside exit interface serial0 ip nat outside,动态NAT配置,动态NAT配置 access-list 10 per 192.168.1.0 0.0.0.255 ip nat pool gointernet 193.1.1.1 193.1.1.254 netmask 255.255.255.0 ip nat inside source list 10 pool gointernet interface Ethernet 0 ip nat inside interface Serial 0 ip nat outside,PAT(复用)配置,重载NAT配置(PAT) ip nat pool gowan 193.1.1.1 193.1.1.1 netmask 255.255.255.0 ip nat inside source list 10 pool gointernet overload,NA

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号