收藏
下载资源

计算机基础课件 第09章 网络设备安全技术(ACL NAT)

上传人:woxinch****an2018 文档编号:57228180 上传时间:2018-10-20 格式:PPT 页数:89 大小:1.83MB
返回 下载 相关 举报
计算机基础课件 第09章 网络设备安全技术(ACL NAT)_第1页
第1页 / 共89页
计算机基础课件 第09章 网络设备安全技术(ACL NAT)_第2页
第2页 / 共89页
计算机基础课件 第09章 网络设备安全技术(ACL NAT)_第3页
第3页 / 共89页
计算机基础课件 第09章 网络设备安全技术(ACL NAT)_第4页
第4页 / 共89页
计算机基础课件 第09章 网络设备安全技术(ACL NAT)_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《计算机基础课件 第09章 网络设备安全技术(ACL NAT)》由会员分享,可在线阅读,更多相关《计算机基础课件 第09章 网络设备安全技术(ACL NAT)(89页珍藏版)》请在金锄头文库上搜索。

1、第09章 网络设备安全技术,ACL与NAT,第一节 TCP/IP传输层与应用层,应 用 层,传 输 层,Internet层,网络访问层,TCP/IP,OSI,TCP/IP:网络访问层协议,TCP/IP:互联网络层协议,Internet层的功能,互联网络层给每个网络的每台网络设备和主机配置所属的IP地址,实现逻辑寻址。 能够建立网络与网络、主机与主机之间的连通性,但不保证数据传输的可靠性。,10.20.30.2/24,172.16.1.2/24,172.31.255.2/24,TCP/IP:传输层协议,传输控制协议(TCP) 面向连接,每传输一个数据分段,都建立一个连接 可靠的传输 用户数据报协

2、议(UDP) 无连接,将数据分段发送出去后不确认对方是否已接收到 不可靠,需要应用层协议提供可靠性,TCP 与 UDP 协议,TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。 TCP端口号范围为:065535 UDP端口号范围为:065535 传输层提供从源主机到目的主机的传输服务,在网络端点之间建立逻辑连接。 传输层TCP协议能够实现数据传输的可靠性。 传输层能够实现数据传输时的流控制。,源端口和目的端口,主机之间的多会话,一台服务器可能提供多种服务,如Web和FTP,在传输层用端口来区分每个应用服务。 客户端也需要向多个目的发送不同的数据连接,使用端口区分每个连接。 服务器使用

3、知名端口号 01023 提供服务。 客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求,并为每一个连接分配不同的源端口号。目的端口为服务器所开放的知名端口,如HTTP:TCP 80,FTP:TCP 21。,TCP/IP:应用层协议,Web服务: HTTP - TCP 80 号端口 文件传输服务: FTP - TCP 20、21 号端口 TFTP - UDP 69 号端口 电子邮件服务: SMTP - TCP 25 号端口 POP3 - TCP 110 号端口 IMAP4 - TCP 143 号端口 域名服务: DNS - TCP、UDP 53 号端口 远程登录: Telnet -

4、 TCP 23 号端口 SSH - TCP 22 号端口 网络管理: SNMP - UDP 161 号端口,第二节 访问控制列表,? 问题1,能否实现以下限制: 除了老板以外,其他员工只能访问互联网上的Web、FTP和电子邮件等常用服务,,拒绝BT、电驴、在线电影、网络游戏甚至QQ、MSN等与工作无关的数据。,? 问题2,10.1.1.0/24,172.16.1.0/24,172.16.2.0/24,10.1.2.0/24,192.168.1.0/30,R1,R2,.1,.1,.1,.2,.1,.1,172.16.1.8/24,172.16.1.9/24,财务应用服务器,财务数据库服务器,深圳

5、,上海,财务部,要求实现:总公司和分公司只有财务部的员工可以访问财务应用服务器。 分公司财务部不可以访问财务数据库服务器,财务部,ACL的作用,ACL(Access Control List,访问控制列表),是应用在路由器接口上的指令列表。这些指令告诉路由器哪些数据包分组可以接收,哪些数据包分组需要拒绝。接收或拒绝基于一定的条件 标准访问控制列表基于源地址做为判断依据。 扩展访问控制列表基于源地址、目标地址、源端口、目标端口等做为判断依据。 先创建ACL,再把ACL应用到路由器接口上。,先看一个简单的ACL例子,172.16.1.0/24,172.16.2.0/24,R1,172.16.1.8

6、/24,财务应用服务器,财务部,R1(config)# ip access-list standard permit_172.16.2.2 R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0 R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255 R1(config-std-nacl)# exit R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out,172.16.1.9/24,财务数据库服务器,.1,.1,

7、172.16.2.2/24,172.16.2.3/24,标准ACL的语法,Router(config)# ip access-list standard 访问控制列表名字 (创建命名访问控制列表) Router(config-std-nacl)# permit 源地址 源地址的反掩码 或 Router(config-std-nacl)# deny 源地址 源地址的反掩码 (源地址可以是子网地址或主机地址) 标准访问控制列表只以数据包的源地址做为判断条件 可以配置多个允许或拒绝的条件判断语句列表,路由器对每一个数据包都按照列表顺序逐条检查,如果匹配某一条语句,就按照语句执行,要么允许数据包通过,

8、要么拒绝通过。不再检查后面的语句。 如果所有的语句都不匹配,就拒绝数据包通过。,ACL对数据包检查的过程,到达访问控制组接口的数据包,目 的 接 口,匹配 第一条,匹配 下一条,匹配 最末条,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,Y,Y,丢弃数据包,N,Y,Y,N,Y,Y,N,隐含的 拒绝,172.16.2.3的数据允许通过,其它主机的数据全都拒绝,将ACL应用到接口上,R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out 使用“ip access-list”创建了访问控制列表后,必须把它

9、应用到合适接口上,才能生效。 一个访问控制列表可以被应用到多个接口上。 可以应用到“进入接口”的方向(in),也可以应用到“从接口出去”的方向(out)。 一个接口的“in”和“out”每个方向各只能应用一个访问控制列表。,两种应用方式,R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out 或 R1(config)# interface e0 R1(config-if)# ip access-group permit_172.16.2.2 in,172.16.1.0/24,172.16.2.0

10、/24,R1,172.16.1.8/24,财务应用服务器,财务部,172.16.1.9/24,财务数据库服务器,.1,.1,172.16.2.2/24,172.16.2.3/24,路由器使用ACL处理数据包的过程,入 站 接 口 数 据 包,in,e0,有入站 ACL?,检查ACL表项,有,路由 选择表,允许,无,拒绝,丢弃数据包,检查ACL表项,有出站 ACL?,e1,out,出 站 接 口,N,Y,无,有,允许,拒绝,路由器使用ACL处理数据包的过程,当一个数据包进入到路由器的一个接口时,路由器首先看在该接口的入站“in”方向有没有配置ACL,如果配置了,就按照ACL一条一条地判断,决定是

11、否允许数据包进入;如果没有配置ACL,则直接允许进入接口。 路由器根据路由选择表把数据包转发到出口接口,这个过程ACL不起作用。 数据包准备从一个接口出去时,路由器再看在该接口的出站“out”方向有没有配置ACL,如果配置了,就按照ACL一条一条地判断,决定是否允许数据包离开;如果没有配置ACL,则直接放行。,“any” 和 “host”,R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0 表示允许主机172.16.2.3(子网掩码是255.255.255.255,反掩码就是0.0.0.0),可以使用“host”表示一台主机。 R1(config-st

12、d-nacl)# permit host 172.16.2.3 R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255 表示拒绝所有的网络0.0.0.0(子网掩码是0.0.0.0,反掩码就是255.255.255.255),可以使用“any”表示任何网络,即所有IP。 R1(config-std-nacl)# deny any,另外一个标准ACL的例子,1.允许主机A访问R2 2.拒绝除主机A以外的10.1.1.0/24网络访问R2 3.允许其它流量访问R2,R2(config)# ip access-list standard std_acl,R2

13、(config-std-nacl)# permit host 10.1.1.100,R2(config-std-nacl)# deny 10.1.1.0 0.0.0.255,R2(config-std-nacl)# permit any,R2(config)# interface s0,R2(config-if)# ip access-group std_acl in,尽量将标准访问控制列表应用在靠近目标的接口上,扩展访问控制列表,标准访问控制列表只能根据数据包的源IP地址判断允许或拒绝通过。 扩展访问控制列表能根据数据包的源IP地址、源端口号、目标IP地址、目标端口号等特征判断允许或拒绝通过

14、。 扩展访问控制列表给网络管理带来更多灵活性 包过滤防火墙就是使用扩展访问控制列表实现网络的安全性。,扩展ACL的语法,Router(config)# ip access-list extended 访问控制列表名字 Router(config-ext-nacl)# permit|deny 协议 源地址 源地址的反掩码 eq 源端口号 目标地址 目标地址的反掩码 eq 目标端口号 允许或拒绝 来自于 什么协议集的 哪些主机的哪个端口 到哪些目标主机的哪个端口 “协议”可以是tcp、udp、icmp、igmp或ip(ip包含上面4种协议),端口号如果不指定,则为全部端口! 可以配置多条判断语句,

15、最后隐含一条“deny ip any any”。,扩展ACL例子,在R1上配置扩展ACL,完成以下5个任务: 允许网络10.1.1.0/24的所有主机访问Web服务器192.168.1.100 拒绝网络10.1.1.0/24的所有主机访问FTP服务器192.168.1.100 拒绝网络10.1.1.0/24的所有主机Telnet路由器R2 拒绝主机10.1.1.100/32 ping路由器R2 允许其它所有数据,详细配置 - 1,允许网络10.1.1.0/24的所有主机访问Web服务器192.168.1.100。(Web服务端口:TCP 80) R1(config)# ip access-li

16、st extended ext_acl R1(config-ext-nacl)# permit tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 80,详细配置 - 2,拒绝网络10.1.1.0/24的所有主机访问FTP服务器192.168.1.100。(FTP服务端口:TCP20和21) R1(config-ext-nacl)# deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 20 R1(config-ext-nacl)# deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 21,详细配置 - 3,拒绝网络10.1.1.0/24的所有主机Telnet路由器R2 R2有两个端口s0和e0,都需要禁止TCP23号端口连接 R1(config-ext-nacl)# deny tcp 10.1.1.0 0.0.0.255 host 12.12.12.2 eq 23 R1(config-ext-nacl)# deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.1 eq 23,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 高中教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号