收藏
下载资源

安全策略与数据流量过滤

上传人:艾力 文档编号:36725488 上传时间:2018-04-01 格式:PPT 页数:42 大小:895KB
返回 下载 相关 举报
安全策略与数据流量过滤_第1页
第1页 / 共42页
安全策略与数据流量过滤_第2页
第2页 / 共42页
安全策略与数据流量过滤_第3页
第3页 / 共42页
安全策略与数据流量过滤_第4页
第4页 / 共42页
安全策略与数据流量过滤_第5页
第5页 / 共42页
点击查看更多>>
资源描述

《安全策略与数据流量过滤》由会员分享,可在线阅读,更多相关《安全策略与数据流量过滤(42页珍藏版)》请在金锄头文库上搜索。

1、安全策略与数据流量过滤 1.教学目标 掌握网络安全策略布置原则,掌握IP标准及扩 展访问控制列表配置技能,能够根据实际需求准确 配置IP访问控制列表,具体如下: (1)了解IP标准及扩展访问控制列表的功能及用 途 (2)掌握IP标准访问控制列表配置技能 (3)掌握IP扩展访问控制列表配置技能2.工作任务 根据客户工作任务的具体要求,配置IP标准或扩展 访问控制列表,实现网络数据流量控制。 模块1 IP标准访问控制列表的建立及应用 . 教学目标 了解IP标准访问控制列表的功能及用途 掌握路由器IP标准访问控制列表配置技能 掌握交换机IP标准访问控制列表配置技能 2. 工作任务 你是学校网络管理员

2、,学校的财务处、教师办 公室和校办企业财务科分属不同的3个网段,三个部 门之间通过路由器进行信息传递,为了安全起见, 学校领导要求你对网络的数据流量进行控制,实现 校办企业财务科的主机可以访问财务处的主机,但 是教师办公室主机不能访问财务处主机。3. 相关实践知识 首先对两路由器进行基本配置,实现三个网段 可以相互访问;然后对距离控制目的地址较近的路 由器RouterB配置IP标准访问控制列表,允许 192.168.1.0网段(校办企业财务科)主机发出的数 据包通过,不允许192.168.2.0网段(教师办公室) 主机发出的数据包通过,最后将这一策略加到路由 器RouterB的Fa 0端口,如

3、图12.1所示。图12.1 路由器IP标准访问控制列表第1步:基本配置 路由器RouterA: R enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethe

4、rnet 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#ExitRouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interf

5、ace fastethernet 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB同理配置第2步:在路由器RouterB上配置IP标准访问控制列表 RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 R

6、outerB (config)#access-list 1 permit 192.168.1.0 0.0.0.255 验证测试 RouterB #show access-list 1 第3步:应用在路由器RouterB的Fa 0接口输出方向上 RouterB (config)#interface fastethernet 0 RouterB (config-if)#ip access-group 1 out 验证测试 RouterB #show ip interface fastethernet 04. 相关理论知识ACL概述 访问控制列表(ACL)是在交换机或路由器上定义 一些规则,对经过网

7、络设备的数据包根据一定规则进 行过滤。ACL分类 (1)编号访问控制列表:在路由器配置的访问控制列 表是由编号来命名的,包括IP标准访问控制列表和IP扩 展访问控制列表。 (2)命名访问控制列表:在三层交换机配置的访问控 制列表是由字符串名字来命令的,包括IP标准访问控制 列表和IP扩展访问控制列表。编号标准访问控制列表 (1)标准访问控制列表 在路由器上建立的访问控制列表,其编号取值范围 为199之间整数值,只根据源IP地址过滤流量。在标准或扩展访问列表的末尾,总有一个隐含的 Deny all。这意味着如果数据包源地址与任何允许语句 不匹配,则隐含的Deny all将会禁止该数据包通过。 (

8、2)定义访问控制列表R (config)#access-list access-list number permit/deny source source mask其中:access-list number :访问列表序号,范围是1-99;Permit/deny:允许/禁止满足条件的数据包通过;Source :过滤数据包的源IP地址;Source mask: 通配屏蔽码,1:不检查位,0:必 须匹配位。 【例12.3】定义访问控制列表1拒绝特定主机 192.168.10.1的流量,但允许其它的所有主机。 R(config)#access-list 1 deny host 192.168.10.

9、1 R(config)#access-list 1 permit any(3)应用访问控制列表访问控制列表需要应用到路由器的一个接口上,应 用到一个接口上可选择入栈(IN)或出栈(OUT)二 个方向。 【例12.5】将访问控制列表1应用到路由器的接口 fastethernet 0的入栈方向上。 R#configure terminal R(config)# interface fastethernet 0 R(config-if)#ip access-group 1 in R(config-if)#end 命名标准访问控制列表 在三层交换机上配置命名标准访问控制列表,也是采 用定义ACL、在接

10、口上应用ACL、查看ACL等步骤进行 。 第1步:进入Access-list配置模式,用名字来定义一条 标准访问控制列表。 Switch(config)#ip access-list standard name Switch(config-std-nacl)# 第2步:定义访问控制列表条件 Switch(config-std-nacl)#deny source source- wildcard|host source |any 或permitsource source-wildcard|host source|any。 Switch(config-std-nacl)#exit Switch(c

11、onfig)# 其中:permit允许通过;deny 禁止通过; Source 是要被过滤数据包的源IP地址; source-wildcard 是通配屏蔽码,指出该域中哪些位进行匹配,1 表示允许这些位不同,0表示这些位必须匹配; Host source代表一台源主机,其source-wildcard为0.0.0.0; any代表任意主机,即source为0.0.0.0,source-wildcard为 255.255.255.255。 第3步:应用访问控制列表 Switch(config)#interface vlan n 其中:n是指Vlan n,以实现进入SVI模式 Switch(con

12、fig-if)#ip access-group namein|out 其中:name为访问控制列表名称,in或out为控制接口流量方向。 Switch(config-if)#【例12.7】在交换机上配置访问控制列表,实现只禁止 192.168.2.0网段上主机发出的数据,而允许其它任意 主机。 Switch#configure terminal Switch(config)# Switch(config)#ip access-list standard deny_2.0 Switch(config-std-nacl)#deny 192.168.2.0 0.0.0.255 Switch(conf

13、ig-std-nacl)#permit any Switch(config-std-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group deny_2.0 in Switch(config-if)#end Switch#show access-lists模块2 IP扩展访问控制列表的建立及应用 . 教学目标 了解IP扩展访问控制列表功能及用途 掌握路由器IP扩展访问控制列表配置技能 掌握交换机IP扩展访问控制列表配置技能 2. 工作任务 你是学校网络管理员,学校的网管中心分别架 设FTP、Web

14、服务器,其中FTP服务器供教师专用, 学生不可使用;Web服务器教师和学生都可访问。 FTP及Web服务器、教师办公室和学生宿舍分属不同 的3个网段,三个网段之间通过路由器进行信息传递 ,要求你对路由器进行适当设置实现网络的数据流 量控制。3. 相关实践知识 首先对两路由器进行基本配置,实现三个网段 相互访问;然后对离控制源地址较近的路由器 RouterA配置IP扩展访问控制列表,不允许 192.168.1.0网段(学生宿舍)主机发出的去 192.168.3.0网段的FTP数据包通过,允许192.168.1.0 网段主机发出的其它服务数据包通过,最后将这一策 略加到路由器RouterA的Fa

15、0端口 ,如图12.4所示 。图12.4 路由器IP扩展访问控制列表第1步:基本配置 路由器RouterA: Renable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fas

16、tethernet 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#ExitRouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fastethernet 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑设计

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号