《路由器安全管理课程》由会员分享,可在线阅读,更多相关《路由器安全管理课程(38页珍藏版)》请在金锄头文库上搜索。
1、第7章 路由器安全管理4.1 Telnet会话管理4.1.1 呼出Telnet会话管理 图4-1 远程登录使用主机名直接远程登录 当登陆到目标主机后,可使用以下命令断开当前Telnet回话:l exit,回到本地设备;l 不退出当前回话连接而暂时回到原设备:Ctrl+Shift+6+x;显示呼出Telnet会话 断开呼出Telnet会话 此断开回话是从本地断开到目标本机的此断开回话是从本地断开到目标本机的telnet回话。回话。 disconnect命令同时发起多个Telnet会话 返回某次Telnet会话过程 断开指定Telnet连接 4.1 Telnet会话管理4.1.2 呼入Telnet
2、会话管理 采用相对线号断开远程Telnet连接 用绝对线号断开远程Telnet连接 4.2 访问控制列表ACL 4.2.1 访问控制列表概述 1访问控制列表访访问问控控制制列列表表是是控控制制流流入入、流流出出路路由由器器数数据据包包的的一一种种方方法法。它它通通过过在在数数据据流流入入或或流流出出路路由由器器时时进进行行检检查查、过过滤滤达达到到流流量量管管理理的的目目的的,而而且且在在很很大大程程度度上上起起到到保保护护网网络络设设备备和和服服务器的关键作用。务器的关键作用。是是一一个个有有序序的的语语句句集集合合,它它通通过过匹匹配配报报文文信信息息与与访访问问列列表表参数来允许报文或拒
3、接报文通过某个接口。参数来允许报文或拒接报文通过某个接口。2配置访问控制列表步骤:Step1:定义允许或禁止报文的描述语句(访问列表);:定义允许或禁止报文的描述语句(访问列表);Step2:将访问列表应用到路由器的具体接口(应用访问组)。:将访问列表应用到路由器的具体接口(应用访问组)。表4-1 通过编号指定的访问列表所支持的协议 协议协议范围范围标准IP协议199扩展IP协议100199Ethernet类型码200299DECnet300399XNS400499扩展XNS500599AppleTalk600699Ethernet地址700799IPX800899扩展IPX900999IPX
4、 SAP10001099MAC11001199IPX汇总地址12001299标准IP协议:13001999(IOS v12.0 and later)扩展IP协议:20002699(IOS v12.0 and later)IP访问控制列表:标准IP访问控制列表:仅依据IP数据包的源地址决定是否过滤数据包;扩展IP访问控制列表:不但可以检查源地址、目标地址,而且可以检查源和目标的端口号等字段。4.2 访问控制ACL 4.2.2 标准ACL配置方法 1标准IP访问控制列表语句ACCESS-LIST access-list-number DENY|PERMIT|REMARK SOURCE source
5、-wildcard|ANY access-list-number 列表号码,范围199之间DENY|PERMIT 指出该访问控制列表是允许还是拒绝数据包SOURCE source-wildcard|ANY 主机或网络的源地址,或者是任何主机注意:要匹配某个主机则需要输入该主机的IP地址;若要匹配某个网络,则需要输入网络号,后面跟上通配符掩码。通配符掩码为“1”,表示IP地址的对应位可以是1也可以是0,若通配符掩码为“0”,则表示IP地址对应位必须被精确匹配。例如:210.31.10.0 0.0.0.255 表示前三位域必须是210.31.10,最后一个位域什么值都可以(1255)2IP访问控制
6、组语句(首先进入路由器的某个接口) IP ACCESS-GROUP access-list-number IN|OUT access-list-number 列表号码,范围199之间IN|OUT 表示对流入海是流出路由器的数据包进行检查4.2 访问控制ACL 标准IP访问控制列表配置实例1 标准IP访问控制列表配置Ra#conf tRa(config)#access-list 1 permit host 210.31.10.20Ra(config)#access-list 1 deny anyRa(config)#interface ethernet0Ra(config-if)#ip acce
7、ss-group 1 in标准IP访问控制列表配置实例2 Ra#conf tRa(config)#access-list 1 permit host 210.31.10.0 0.0.0.255Ra(config)#access-list 1 deny anyRa(config)#interface serial 0Ra(config-if)#ip access-group 1 out4.2 访问控制ACL 4.2.3 扩展ACL配置方法 1扩展IP访问控制列表语句ACCESS-LIST access-list-number DENY|PERMIT|REMARK protocol source
8、source-wildcard destination destination-wildcard option access-list-number 列表号码,范围100199之间Protocol 指明要匹配使用的协议2IP访问控制组语句 IP ACCESS-GROUP access-list-number IN|OUT 扩展IP访问控制列表配置实例Rb#conf tRb(config)#access-list 101 permit tcp 210.31.225.0 0.0.0.255 host 210.31.224.11 eq telent(23)Rb(config)#access-list
9、 101 permit tcp 210.31.226.0 0.0.0.255 host 210.31.224.11 eq www(80)Rb(config)# access-list 101 permit icmp 210.31.0.0 0.0.0.255 anyRb(config)# access-list 101 deny ip any anyRb(config)#interface serial 0Rb(config-if)#ip access-group 101 out需要注意的问题在访问控制列表中除了可以用eq关键字指出单一的端口号外,也可以规定端口号范围。 例如:gt 1024表示
10、端口号大于1024;用lt 1024表示端口号小于1024;range 100 200则表示端口号介于100和200之间。在每个访问控制列表的底端都可以有一个默认的DENY ANY。所以,建议在每个访问控制列表的最后一条语句明确地指出对其余通信量的出来方式。4.2 访问控制ACL 4.2.4 命名访问控制列表 1标准命名访问控制列表 ip access-list standard aclname ip access-group aclname in|out2扩展命名访问控制列表ip access-list extended aclname ip access-group aclname in|
11、out3命名访问控制列表的修改4.2.5ACL日志 ACL语句中的关键字“log” 及其作用 4.3 路由器的安全管理 4.3.1 本地登录认证图4-23 配置本地登录认证 4.3 路由器的安全管理 4.3.1 本地登录认证图4-24 本地登录认证 4.3.2 访问类语句 图4-25 限制对路由器的管理性访问 4.3.2 访问类语句 图4-26 进行VTY访问控制 4.3.3 HTTP/HTTPS 1HTTP管理方式 图4-29 HTTP访问本地认证配置 图4-31 限制HTTP访问位置图4-33 关闭路由器上的HTTP服务 4.3.3 HTTP/HTTPS 2HTTPS管理方式 图4-34 配置路由器支持HTTPS访问方式4.3.4 SSH 图4-39 配置路由器上的SSH服务的步骤 4.3.4 SSH 2SSH客户端 图4-47 SSH命令的上下文帮助信息 图4-48 以SSH方式登录到路由器R1思考与练习
