《网络技术培训系列课程:安全技术-ACL与包过滤》由会员分享,可在线阅读,更多相关《网络技术培训系列课程:安全技术-ACL与包过滤(32页珍藏版)》请在金锄头文库上搜索。
1、ACL与包过滤技术培训中心技术培训中心 课程内容l第一章第一章 ACLl第二章 包过滤2技术背景引入ACL的技术背景网络中数据流的多样性用户要求对某些特定的数据流采取特殊的策略只允许特定的主机访问服务器限制FTP流量占用的带宽过滤某些路由信息需要一种工具来挑选感兴趣的数据流3ACL概述Access Control list 访问控制列表对网络设备上的数据流进行分类识别的工具通过ACL定义数据的特征,识别数据流通过调用ACL,对识别的数据流进行控制ACL作用包过滤允许或者拒绝特定的数据流经网络设备,保证网络安全其它QoS策略路由路由过滤4ACL的分类IPv4 ACL标准IP ACL扩展IP AC
2、LIPv6 ACL其他基于MAC的ACL(MAC ACL)专家ACL(Expert ACL)根据命名规则编号ACL命名ACLACL的工作原理ACL的组成由一组具有相同编号或者名字的访问控制规则组成(ACL规则)规则中定义检查字段由Permit/deny定义执行的动作ACL工作原理通过编号或者名字调用ACL网络设备根据ACL规则检查报文,并采取相应操作ACL基本规则ACL规则匹配顺序从上至下当报文匹配某条规则后,将执行操作,跳出匹配过程缺省最后隐含一条“deny any”的规则一个ACL中至少要有一条Permit规则经常匹配的、细化的语句放在前面7标准IP ACL标识方法编号 199和13001
3、999命名 standard定义字段源IP地址信息配置标准IP ACL全局配置模式ruijie(config)#access-list access-list-number permit | deny any | source source-wildcard time-range time-range-name ACL配置模式ruijie(config)# ip access-list standard name | access-list-number Ruijie(config-std-nacl)# permit | deny any | source source-wildcard ti
4、me-range time-range-name Ruijie(config)#ip access-list standard sampleRuijie(config-std-nacl)#permit 172.16.1.0 0.0.0.255扩展IP ACL标识方法编号 100199和20002699命名 定义字段源IP地址、目的IP地址、协议、源端口、目的端口配置扩展IP ACL全局配置模式ruijie(config)#access-list access-list-number deny | permit protocol any | source source-wildcard oper
5、ator port any | destination destination-wildcard operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Ruijie(config)#access-list 101 deny ip 172.16.2.0 0.0.0.255 host 192.168.6.8Ruijie(config)#access-list 101 permit any any配置扩展IP ACLACL配置模式ruijie(config)# ip acce
6、ss-list extended name | access-list-number Ruijie(config-ext-nacl)# permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment Ruijie(config)#ip access-list extended sampleRuijie(config-ext-nacl
7、)#permit tcp 172.16.1.0 0.0.0.255 192.168.6.10 eq wwwIPv6 ACL标识方法命名扩展ACL定义字段源IPv6地址、目的IPv6地址、下一跳头部、源端口、目的端口等信息EthernetIPv6头部TCP/UPDDATA源 目标IPv6地址下一跳头部源 目标端口号配置IPv6 ACLACL配置模式Ruijie(config)#ipv6 access-list name Ruijie(config-ipv6-acl)#sn permit | deny protocol source IPv6-prefix/prefix-len |host sou
8、rce-ipv6-address |any operator port any | destination IPv6-prefix/prefix-len |host source-ipv6-address |any flow-label time-range time-range-name dscp dscp fragment Ruijie(config)#ipv6 access-list sample Ruijie(config-ipv6-acl)#permit ipv6 2001:/64 anyMAC ACL标识方式编号:700799命名定义字段源MAC地址、目的MAC地址、以太网类型配置
9、MAC ACL全局配置模式ruijie(config)#access-list access-list-number permit | deny any | host source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name ACL配置模式Ruijie(config)#mac access-list extended name | access-list-number Ruijie(config-mac-nacl)# permit | deny any | hos
10、t source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name 专家ACL标识方法编号:27002899命名过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口配置专家 ACL全局配置模式ruijie(config)#access-list access-list-number permit | deny protocol | ethernet-type VID vid any | source source-wildc
11、ard host source-mac-address | any operator port any | destination destination-wildcard host destination-mac-address | any operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment ACL配置模式Ruijie(config)# expert access-list extended name | access-list-number Ruijie(conf
12、ig-exp-nacl)# 。 基于时间的ACL基于时间的ACL在ACL规则中使用time-range参数引用时间段任何类型的ACL都可以应用时间段配置了time-range的规则只会在指定的时间段内生效未引用时间段的规则将不受影响确保设备的系统时间的正确时间段绝对时间段(absolute)周期时间段(periodic)配置基于时间 的ACL配置时间段Ruijie(config)#time-range name配置绝对时间Ruijie(config-time-range)# absolute start time end time 配置周期时间Ruijie(config-time-range)
13、# periodic time to timeACL规则的修改全局模式下编号ACL规则的修改新规则添加到ACL的末尾无法单独删除某条规则建议:导出配置文件进行修改将ACL规则复制到编辑工具进行修改删除所有ACL规则重新编写ACL配置模式下ACL规则的修改可以给ACL规则编序号,按照序号查找匹配规则可以在任意位置插入新的ACL规则可以删除特定的ACL规则课程内容l第一章第一章 ACLl第二章第二章 包过滤包过滤22 包过滤缺省情况下,网络设备会转发所有数据在接口下绑定IP access-group (包过滤)命令,对流经该接口的数据进行过滤包过滤对本地生成的外出的数据不生效 包过滤Ruijie(
14、config-IF)#ip access-group ACL in/outIn 对从该接口进入设备内部的数据包进行包过滤Out 对从该接口向外发送数据时进行包过滤一个接口在一个方向只能应用一个ACLF1/0F1/0F1/1F1/1ININOUTOUT包过滤的配置定义访问控制列表使用ACL定义规则Permit表示放通,deny表示丢弃通过多个相同编号或者名字的规则定义一系列相互关联的规则在接口下调用访问控制列表在接口下使用IP access-group调用访问ACL通过IN/OUT定义方向 包过滤的调试显示全部的访问控制列表Router#show access-lists显示指定的访问控制列表R
15、outer#show access-lists 显示接口的访问列表应用Router#show access-group interface 接口号包过滤案例一需求:172.16.1.0网段的主机不可以访问服务器172.17.1.1,其它主机访问服务器172.17.1.1不受限制。 包过滤案例二需求:网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务,而对该服务器的其它服务禁止访问,可以访问172.17.1.2的任何服务包过滤案例三需求:上班时间(9:0018:00)不允许员工的主机(172.16.1.0/24)访问Internet,下班时间可以访问Inter
16、net上的Web服务。 包过滤案例四需求:只允许172.16.1.10这台主机远程telnet路由器 Router(config)#enable secret ruijieRouter(config)#access-list 3 permit host 172.16.1.10Router(confg)#line vty 0 4Router(config-line)#password ruijieRouter(config-line)#access-class 3 in包过滤案例四需求:只允许2001:/64这个网段的用户的数据通过ruijie(config)#ipv6 access-list sampleruijie(config-ipv6-nacl)#permit ipv6 2001:/64 anyruijie(config)#int FA0/1ruijie(config-if)#ipv6 enableruijie(config-if)#ipv6 traffic-filter sample in2001:/642001:301:/64课程回顾lACL的作用及分类lACL的配置l包过滤与ACL
