收藏
下载资源

防空列表-02

上传人:wm****3 文档编号:51716111 上传时间:2018-08-16 格式:PPT 页数:39 大小:444KB
返回 下载 相关 举报
防空列表-02_第1页
第1页 / 共39页
防空列表-02_第2页
第2页 / 共39页
防空列表-02_第3页
第3页 / 共39页
防空列表-02_第4页
第4页 / 共39页
防空列表-02_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《防空列表-02》由会员分享,可在线阅读,更多相关《防空列表-02(39页珍藏版)》请在金锄头文库上搜索。

1、第20章 访问控制列表 (ACL)主要内容n一、ACL的基本原理n二、ACL的应用一、ACL的基本原理n1、什么是ACLn2、ACL是如何工作的n3、创建ACLn4、通配符掩码的作用n5、验证ACL1、什么是ACLnACL是应用在路由器端口上的一个列表,用 于告诉路由器允许或禁止哪些流量通过。nACL是一个连续的允许和拒绝语句的集合,关系 到地址和上层协议。nACL是应用在路由器接口的指令列表,这些指令 告诉路由器哪些分组需要拒绝,哪些分组可以接 收。拒绝和接收基于一定的条件。n任何经过应用了ACL的接口的流量都要接受ACL 中条件的检测。nACL适用于所有的路由协议。n路由器基于ACL中指定

2、的条件来决定转发还是丢 弃分组。nACL不能对本路由器产生的数据包进行控制 。2、ACL是如何工作的ACL是一组语句,定义了分组的下列行为:1、进入入站路由器接口2、通过路由器转发3、流出出站路由器接口ACL语句按照逻辑次序顺序执行。如果与某个条件 语句相匹配,则不再检查剩下的语句;如果都不匹 配,则强加一条拒绝全部流量的暗含语句。(缺省 情况下拒绝所有的流量)ACL的匹配性检查ACL语句能够实现:1、筛选出某些主机,允许或者拒绝它们访问 你的网络的某一部分; 2、允许或拒绝用户访问某种类型的应用,例 如FTP或HTTP等。3、创建ACLn第一步:在全局配置模式下创建ACLn标准ACL(ACL

3、号码在199之间)n扩展ACL (ACL号码在100199之间)n第二步:把ACL应用到某一个接口(出站接 口或者入站接口)4、通配符掩码的作用n通配符掩码是一个32比特的数字字符串,用点号 分成4个8位组,每个8位组包含8个比特。n在通配符掩码位中,0表示检查相应的位,1表示 忽略相应的位。n通配符掩码跟IP地址是成对出现的。在通配符掩 码的地址位使用1或0表明如何处理相应的IP地址 位。nACl通配符掩码跟IP子网掩码的工作原理不同。通配符掩码位的匹配通配符anyn加入在ACL中允许访问任何目的地址时,使 用通配符掩码表示为:0.0.0.0 255.255.255.255n简便地,可以使用

4、通配符any替代,例如: access-list 1 permit 0.0.0.0 255.255.255.255 access-list 1 permit any通配符hostn在ACL中想要与整个IP主机地址的所有位相 匹配时,使用通配符掩码表示为:202.207.208.8 0.0.0.0n简便地,可以使用通配符host替代,例如: access-list 1 permit 202.207.208.8 0.0.0.0 access-list 1 permit host 202.207.208.85、验证ACL使用如下命令验证:nshow ip interface 查看端口是否应用了acl

5、nshow access-lists 查看路由器的所有aclnshow running-config 查看所有的运行配置 信息,包括acl的配置。二、ACL的应用n1、ACL表号n2、标准ACLn3、扩展ACLn4、命名ACLn5、ACL的放置n6、防火墙n7、用ACL限制telnet访问1、ACL表号nCisco 的IOS为不同的协议分配了ACL表号, 见下表:2、标准ACLn标准ACL检查可以被路由的IP分组的源地址并 且把它与ACL中的条件判断语句相比较。如果 匹配,则执行允许(permit)或拒绝(deny) 的操作。n标准ACL可以基于网络、子网或主机IP地址允 许或拒绝整个协议组(

6、如IP)。n标准ACL在全局配置模式下使用命令access-list 来定义,并分配1-99之间的一个数字编号。将定义好 的ACL应 用到接口定义ACLin和out参数可以控制接 口中不同方向的数据包 ,如果不配置该参数, 缺省为out。 标准ACL举例定义ACL: access-list 1 deny 172.16.1.1 access-list 1 permit 172.16.1.0 0.0.0.255 access-list 1 deny 172.16.1.1 0.0.255.255 access-list 1 permit 172.16.1.1. 0.255.255.255 应用到接口

7、: ip access-group 1 in ip access-group 1 out我们采用如图所示的网络结构。路由器连接了二个网段 ,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网 段中有一台服务器提供WWW服务,IP地址为172.16.4.13 。 配置任务:禁止172.16.4.0/24网段中除172.16.4.13这台计 算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访 问172.16.3.0/24。 路由器配置命令 access-list 1 permit host 172.16.4.13 设置ACL,容许

8、172.16.4.13的数据包通过。 access-list 1 deny any 设置ACL,阻止其他一切IP地址进行通讯传输。 int e 1 进入E1端口。 ip access-group 1 in 将ACL 1宣告。经过设置后E1端口就只容许来自172.16.4.13这个IP 地址的数据包传输出去了。来自其他IP地址的数 据包都无法通过E1传输。另外在路由器连接网络不多的情况下也可以在E0 端口使用ip access-group 1 out命令来宣告,宣告结 果和上面最后两句命令效果一样。 3、扩展ACLn扩展ACL提供更大的灵活性和控制范围,它 既可以检查分组的源地址和目的地址,也

9、可以检查协议类型和TCP或UDP的端口号。n标准ACL只能允许或者拒绝整个协议集,但 扩展ACL可以允许或拒绝协议集中的某些协 议,例如允许http而拒绝ftp。n扩展ACL编号使用100-199。access-list 101 deny tcp any host 192.168.1.1 eq wwwn这句命令是将所有主机访问192.168.1.1这个 地址网页服务(WWW)TCP连接的数据包 丢弃。 扩展ACL举例我们采用如图所示的网络结构。路由器连接了二个网段 ,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网 段中有一台服务器提供WWW服务,I

10、P地址为172.16.4.13 。 配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算 机,包括那台服务器,不过惟独可以访问172.16.4.13上的 WWW服务,而其他服务不能访问。 access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,目的地址为 172.16.4.13主机的80端口即WWW服务。由于CISCO默认添 加DENY ANY的命令,所以ACL只写此一句即可。int e 1 进入E1端口ip access-group 101 out 将ACL101宣告出去设

11、置完毕后172.16.3.0的计算机就无法访问172.16.4.0 的计算机了,就算是服务器172.16.4.13开启了FTP服 务也无法访问,惟独可以访问的就是172.16.4.13的 WWW服务了。而172.16.4.0的计算机访问172.16.3.0 的计算机没有任何问题。 n扩展ACL有一个最大的好处就是可以保护服务器 ,例如很多服务器为了更好的提供服务都是暴露 在公网上的,这时为了保证服务正常提供所有端 口都对外界开放,很容易招来黑客和病毒的攻击 ,通过扩展ACL可以将除了服务端口以外的其他 端口都封锁掉,降低了被攻击的机率。如本例就 是仅仅将80端口对外界开放。n不过它存在一个缺点

12、,那就是在没有硬件ACL加 速的情况下,扩展ACL会消耗大量的路由器CPU 资源。所以当使用中低档路由器时应尽量减少扩 展ACL的条目数,将其简化为标准ACL或将多条 扩展ACL合一是最有效的方法。 4、命名ACLn不管是标准访问控制列表还是扩展访问控 制列表都有一个弊端,那就是当设置好ACL 的规则后发现其中的某条有问题,希望进 行修改或删除的话只能将全部ACL信息都删 除。也就是说修改一条或删除一条都会影 响到整个ACL列表。这一个缺点影响了我们 的工作,为我们带来了繁重的负担。不过 我们可以用基于名称的访问控制列表来解 决这个问题。 ip access-list standard|ext

13、ended ACL名称 例如:ip access-list standard softer建立了一个 名为softer的标准访问控制列表。当我们建立了一个基于名称的访问列表后 就可以进入到这个ACL中进行配置了。 例如我们添加三条ACL规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0什么时候使用基于名称的访问控制列表?n如果设置ACL的规则比较多的话,应该使用 基于名称的访问控制列表进行管理,这样 可以减轻很多后期维护的工作,方便我们 随时进行调整ACL规则。 5、ACL的放置nACL通过过滤数据包并且丢弃

14、不希望抵达目 的地的数据包来控制通信流量。然而,网 络能否有效地减少不必要的通信流量,这 还要取决于网络管理员把ACL放置在哪个地 方。 n根据减少不必要通信流量的通行准则,网 管员应该尽可能地把ACL放置在靠近被拒绝 的通信流量的来源处。1 234假设在图所示的一个运行TCP/IP协议的网络环境中,网络只 想拒绝从RouterA的fa0/1接口连接的网络到RouterD的fa0/0接 口连接的网络的访问,即禁止从网络1到网络4的访问。 n如果网管员使用标准ACL来进行网络流量限制, 因为标准ACL只能检查源IP地址,所以实际执行 情况为:n凡是检查到源IP地址和网络1匹配的数据包将会被 丢掉

15、,即网络1到网络2、网络3和网络4的访问都 将被禁止。n由此可见,这个ACL控制方法不能达到网管员的 目的。同理,将ACL放在RouterB和RouterC上也存 在同样的问题。只有将ACL放在连接目标网络的 RouterD上,网络才能准确实现网管员的目标。n由此可以得出一个结论: 标准ACL要尽量靠近目的 端。 n网管员如果使用扩展ACL来进行上述控制, 则完全可以把ACL放在RouterA上,因为扩 展ACL能控制源地址(网络1),也能控制 目的地址(网络2),这样从网络1到网络2 访问的数据包在RouterA上就被丢弃,不会 传到RouterB、RouterC和RouterD上,从而 减少不必要的网络流量。n因此,我们可以得出另一个结论:扩展ACL 要尽量靠近源端。 6、防火墙n防火墙是存在于内部网络和外部网络之间 ,用于保护内部网络免受外部入侵者攻击 的一种计算机或者网络设备。n防火墙结构如下图所示:7、用ACL限制telnet访问n通常使用标准ACL来限制对路由器的telnet 访问。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号