收藏
下载资源

安全生产_路由器安全管理课程

上传人:F****n 文档编号:91296820 上传时间:2019-06-27 格式:PPT 页数:38 大小:739.50KB
返回 下载 相关 举报
安全生产_路由器安全管理课程_第1页
第1页 / 共38页
安全生产_路由器安全管理课程_第2页
第2页 / 共38页
安全生产_路由器安全管理课程_第3页
第3页 / 共38页
安全生产_路由器安全管理课程_第4页
第4页 / 共38页
安全生产_路由器安全管理课程_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《安全生产_路由器安全管理课程》由会员分享,可在线阅读,更多相关《安全生产_路由器安全管理课程(38页珍藏版)》请在金锄头文库上搜索。

1、第7章 路由器安全管理,4.1 Telnet会话管理,4.1.1 呼出Telnet会话管理 图4-1 远程登录,使用主机名直接远程登录,当登陆到目标主机后,可使用以下命令断开当前Telnet回话: exit,回到本地设备; 不退出当前回话连接而暂时回到原设备:Ctrl+Shift+6+x;,显示呼出Telnet会话,断开呼出Telnet会话,此断开回话是从本地断开到目标本机的telnet回话。,disconnect命令,同时发起多个Telnet会话,返回某次Telnet会话过程,断开指定Telnet连接,4.1 Telnet会话管理,4.1.2 呼入Telnet会话管理,采用相对线号断开远程T

2、elnet连接,用绝对线号断开远程Telnet连接,4.2 访问控制列表ACL,4.2.1 访问控制列表概述 1访问控制列表 访问控制列表是控制流入、流出路由器数据包的一种方法。它通过在数据流入或流出路由器时进行检查、过滤达到流量管理的目的,而且在很大程度上起到保护网络设备和服务器的关键作用。 是一个有序的语句集合,它通过匹配报文信息与访问列表参数来允许报文或拒接报文通过某个接口。,2配置访问控制列表步骤: Step1:定义允许或禁止报文的描述语句(访问列表); Step2:将访问列表应用到路由器的具体接口(应用访问组)。,表4-1 通过编号指定的访问列表所支持的协议,标准IP协议:13001

3、999(IOS v12.0 and later) 扩展IP协议:20002699(IOS v12.0 and later),IP访问控制列表: 标准IP访问控制列表:仅依据IP数据包的源地址决定是否过滤数据包; 扩展IP访问控制列表:不但可以检查源地址、目标地址,而且可以检查源和目标的端口号等字段。,4.2 访问控制ACL,4.2.2 标准ACL配置方法 1标准IP访问控制列表语句 ACCESS-LIST access-list-number DENY|PERMIT|REMARK SOURCE source-wildcard|ANY access-list-number 列表号码,范围199之

4、间 DENY|PERMIT 指出该访问控制列表是允许还是拒绝数据包 SOURCE source-wildcard|ANY 主机或网络的源地址,或者是任何主机 注意:要匹配某个主机则需要输入该主机的IP地址;若要匹配某个网络,则需要输入网络号,后面跟上通配符掩码。通配符掩码为“1”,表示IP地址的对应位可以是1也可以是0,若通配符掩码为“0”,则表示IP地址对应位必须被精确匹配。 例如:210.31.10.0 0.0.0.255 表示前三位域必须是210.31.10,最后一个位域什么值都可以(1255),2IP访问控制组语句(首先进入路由器的某个接口) IP ACCESS-GROUP acces

5、s-list-number IN|OUT access-list-number 列表号码,范围199之间 IN|OUT 表示对流入海是流出路由器的数据包进行检查,4.2 访问控制ACL,标准IP访问控制列表配置实例1,标准IP访问控制列表配置,Ra#conf t Ra(config)#access-list 1 permit host 210.31.10.20 Ra(config)#access-list 1 deny any Ra(config)#interface ethernet0 Ra(config-if)#ip access-group 1 in,标准IP访问控制列表配置实例2,Ra

6、#conf t Ra(config)#access-list 1 permit host 210.31.10.0 0.0.0.255 Ra(config)#access-list 1 deny any Ra(config)#interface serial 0 Ra(config-if)#ip access-group 1 out,4.2 访问控制ACL,4.2.3 扩展ACL配置方法 1扩展IP访问控制列表语句 ACCESS-LIST access-list-number DENY|PERMIT|REMARK protocol source source-wildcard destinati

7、on destination-wildcard option access-list-number 列表号码,范围100199之间 Protocol 指明要匹配使用的协议 2IP访问控制组语句 IP ACCESS-GROUP access-list-number IN|OUT,扩展IP访问控制列表配置实例,Rb#conf t Rb(config)#access-list 101 permit tcp 210.31.225.0 0.0.0.255 host 210.31.224.11 eq telent(23) Rb(config)#access-list 101 permit tcp 210.

8、31.226.0 0.0.0.255 host 210.31.224.11 eq www(80) Rb(config)# access-list 101 permit icmp 210.31.0.0 0.0.0.255 any Rb(config)# access-list 101 deny ip any any Rb(config)#interface serial 0 Rb(config-if)#ip access-group 101 out,需要注意的问题,在访问控制列表中除了可以用eq关键字指出单一的端口号外,也可以规定端口号范围。 例如:gt 1024表示端口号大于1024;用lt

9、1024表示端口号小于1024;range 100 200则表示端口号介于100和200之间。 在每个访问控制列表的底端都可以有一个默认的DENY ANY。所以,建议在每个访问控制列表的最后一条语句明确地指出对其余通信量的出来方式。,4.2 访问控制ACL,4.2.4 命名访问控制列表 1标准命名访问控制列表 ip access-list standard aclname ip access-group aclname in|out 2扩展命名访问控制列表 ip access-list extended aclname ip access-group aclname in|out 3命名访问控

10、制列表的修改,4.2.5ACL日志,ACL语句中的关键字“log” 及其作用,4.3 路由器的安全管理,4.3.1 本地登录认证 图4-23 配置本地登录认证,4.3 路由器的安全管理,4.3.1 本地登录认证 图4-24 本地登录认证,4.3.2 访问类语句,图4-25 限制对路由器的管理性访问,4.3.2 访问类语句,图4-26 进行VTY访问控制,4.3.3 HTTP/HTTPS,1HTTP管理方式 图4-29 HTTP访问本地认证配置 图4-31 限制HTTP访问位置 图4-33 关闭路由器上的HTTP服务,4.3.3 HTTP/HTTPS,2HTTPS管理方式 图4-34 配置路由器支持HTTPS访问方式,4.3.4 SSH,图4-39 配置路由器上的SSH服务的步骤,4.3.4 SSH,2SSH客户端 图4-47 SSH命令的上下文帮助信息 图4-48 以SSH方式登录到路由器R1,思考与练习,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号