收藏
下载资源

网络教程网络安全

上传人:kms****20 文档编号:56922684 上传时间:2018-10-17 格式:PPT 页数:22 大小:115.50KB
返回 下载 相关 举报
网络教程网络安全_第1页
第1页 / 共22页
网络教程网络安全_第2页
第2页 / 共22页
网络教程网络安全_第3页
第3页 / 共22页
网络教程网络安全_第4页
第4页 / 共22页
网络教程网络安全_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《网络教程网络安全》由会员分享,可在线阅读,更多相关《网络教程网络安全(22页珍藏版)》请在金锄头文库上搜索。

1、网络教程网络安全,于广辉 大连理工大学网络中心,课程安排,过滤IP流量 过滤IPX和SAP流量,访问控制列表何时进行控制,Routing Logic,Bit Bucket,IP,ACL,ACL,Permit,Permit,Deny,Deny,访问控制列表的特征,来自路由器以外的包必须被过滤 包可以在进入一个界面,进行路由处理之前被过滤。 包可以在从一个界面出去之前被过滤,在路由处理之后。 IOS使用“Deny”项表示这个包应该被过滤掉。 IOS使用“Permi”项表示这个包不应该被过滤掉。 过滤的逻辑在访问控制列表中控制。 在任何一个访问列表的结尾都应该加入一个“deny all traffi

2、c”的声明,无法匹配任何一个访问控制的包将被阻塞。,访问控制列表流程小结,将这个包的相应属性同第一个访问控制比较。 如果有匹配的属性,这条访问控制中定义的动作(Permit or Deny)将被采用。 如果在第二步没有匹配的属性,重复第一、第二步,顺序使用下一条访问控制。 如果在访问控制中没有任何一条匹配,Deny动作将被应用。,访问控制列表,Access List Configuration Commands,访问控制列表,标准IP访问列表,标准访问列表只检测包的IP头的源IP地址。 32位源IP地址中的任何一位都可以同访问控制列表中的表达式进行比较;比如可以检测一个子网掩码。然而,这种匹配

3、是非常具有弹性的,你可以根本不去关心子网掩码;只是一个数学问题。,标准IP访问列表,掩码中为0的位,表示两个地址的这一位必须相同。掩码中为1的位表示两个地址中的这一位可以不相同。,标准IP访问列表,标准IP访问列表,实例标准IP访问列表,s0,s1,s1,s1,s0,s0,Subnet 10.1.1.0,Subnet 10.1.3.0,Subnet 10.1.2.0,Subnet 10.1.129.0,Subnet 10.1.128.0,Subnet 10.1.130.0,PC1,PC2,RouterA,RouterB,RouterC,PC3,PC4,PC5,PC6,10.1.2.1,10.1

4、.2.2,实例标准IP访问列表,任务 不允许PC3访问PC1或PC2 RouterB的以太网不允许访问RouterC的以太网的主机。 允许所有其他操作,扩展访问列表,扩展访问列表和标准访问列表最大的不同就是,扩展访问列表允许比较包中的其他字段。,扩展访问列表,IP,TCP, UPP, ICMP,Source IP Address,Destination IP Address,Protocol,IP Field Identifies Next header (TCP, UDP,etc.),IP Field Identifies Next header (TCP, UDP,etc.),Destin

5、ation Port (UDP & TCP Only),Source Port (UDP & TCP Only),扩展访问列表,实例扩展访问控制列表,s0,s1,s1,s1,s0,s0,Subnet 10.1.1.0,Subnet 10.1.3.0,Subnet 10.1.2.0,Subnet 10.1.129.0,Subnet 10.1.128.0,Subnet 10.1.130.0,RouterA,RouterB,RouterC,PC3,PC4,PC5,PC6,10.1.2.1,10.1.2.2,10.1.3.1,10.1.3.2,10.1.1.1,10.1.1.130,10.1.1.2,

6、10.1.1.28,NFS,Web,实例扩展访问控制列表,任务 Web可以被所有用户访问 NFS和其他在NFS上的其他UDP服务,对每个子网前一半地址不可以访问。 RouterB和RouterC的以太网只有包直接通过串口路由才可以互相访问。 10.1.1.130, 10.1.1.28可以连接除PC6以外的主机。 任何到RouterA的以太网的连接,如果没有允许都禁止。 所有其他连接都允许。,命名IP访问控制列表,命名IP访问控制列表遵守和数字的IP访问控制列表一样的逻辑。 名字可以更加容易的记住访问控制列表的功能。 名字允许使用超过99个标准控制列表和100个扩展控制列表。 命名控制列表可以删

7、除特定的一条语句,而数字访问控制列表只能删除整个访问控制。,命名IP访问控制列表,Router(config)# ip access-list extended barney Router(config-ext-nacl)#permit tcp host 10.1.1.2 eq www any Router(config-ext-nacl)#dny udp host 10.1.1.1 0.0.0.128 255.255.255.127,控制列表小结,需要注意的是: 列表的顺序是相当重要的 注意列表的相互影响 默认每个列表后都由一个“deny all”,过滤IPX和SAP流量,IPX的访问控制逻辑和IP类似。命令也相似。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号