收藏
下载资源

第七章 园区网安全技术

上传人:桔**** 文档编号:584210163 上传时间:2024-08-30 格式:PPT 页数:72 大小:2.18MB
返回 下载 相关 举报
第七章 园区网安全技术_第1页
第1页 / 共72页
第七章 园区网安全技术_第2页
第2页 / 共72页
第七章 园区网安全技术_第3页
第3页 / 共72页
第七章 园区网安全技术_第4页
第4页 / 共72页
第七章 园区网安全技术_第5页
第5页 / 共72页
点击查看更多>>
资源描述

《第七章 园区网安全技术》由会员分享,可在线阅读,更多相关《第七章 园区网安全技术(72页珍藏版)》请在金锄头文库上搜索。

1、网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心第七章园区网安全技术中中 北北 大大 学学 电电 子子 与与 计计 算算 机机 科科 学学 技技 术术 学学 院院School of Electronics and Computer Science and Technology . NUC 交换交换交换交换今日汗水,今日汗水,路由路由路由路由明朝辉煌明朝辉煌网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心教学目标教学目标了解常见的网络安全隐患及常用防范技术;熟悉交换机端口安全功能及配置掌握基于IP的标准、扩展ACL技术进行网络安全访

2、问控制。网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心本章内容本章内容网络安全隐患交换机端口安全IP访问控制列表网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心课程议题课程议题网络安全隐患网络安全隐患网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心常见的网络攻击常见的网络攻击网络攻击手段多种多样,以下是最常见的几种网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心攻击不可避免攻击不可避免网络攻击原理日趋复杂,但攻击却变得越来越简单易操作网网络络工工程程专专业业实实训训

3、中中心心网网络络工工程程专专业业实实训训中中心心额外的不安全因素额外的不安全因素 DMZ E-Mail File Transfer HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心现有网络安全体制现有网络安全体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%网网络络工工程程专专

4、业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心现有网络安全体制现有网络安全体制VPN VPN VPN VPN 虚拟专用网虚拟专用网虚拟专用网虚拟专用网防火墙防火墙包过滤包过滤防病毒防病毒入侵检测入侵检测网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心课程议题课程议题园区网常见攻击园区网常见攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心网络攻击对各网络层次的影响网络攻击对各网络层次的影响网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心二层交换机工作原理二层交换机工作原理MAC 地址

5、表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4交换机初始化时MAC地址表是空的;网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4主机之间互相发送数据,交换机会学习数据帧的源MAC地址。F0/1: 网网络络工工程程专专业业实实训训中中心心网网络络工

6、工程程专专业业实实训训中中心心二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1: 0260.8c01.1111交换机MAC地址表中没有目的地址记录执行广播操作F网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3

7、F0/2F0/4F0/1: 0260.8c01.1111F0/2: 0260.8c01.2222F0/3: 0260.8c01.3333F0/4: 0260.8c01.4444主机之间互相发送数据,交换机会学习数据帧的源MAC地址。网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1: 0260.8c01.1111F0/2: 0260.8c01.2222

8、F0/3: 0260.8c01.3333F0/4: 0260.8c01.4444已知单播帧:过滤操作FilteringX XX X网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心二层交换机工作原理二层交换机工作原理MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCDF0/1F0/3F0/2F0/4F0/1: 0260.8c01.1111F0/2: 0260.8c01.2222F0/3: 0260.8c01.3333F0/4: 0260.8c01.4444未知单播帧,广播帧:执

9、行广播操作F网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心二层攻击和防范二层攻击和防范网络攻击对二层交换机产生的严重影响有:MAC攻击;DHCP攻击;ARP攻击;IP/MAC欺骗攻击;STP攻击;网络设备管理安全;网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心三层攻击和防范三层攻击和防范网络攻击对三层交换机产生的严重影响有:MAC攻击;DHCP攻击;ARP攻击;IP/MAC欺骗攻击;DoS/DDoS攻击;IP扫描攻击;网络设备管理安全;网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心MAC攻击攻

10、击MAC地址:链路层唯一标识00.d0.f8. 00.07.3cFF.FF.FF.FF.FF.FF前3个字节:IEEE分配给网络设备厂商后3个字节:网络设备厂商自行分配,不重复,生产时写入设备广播MAC地址接入交换机MAC地址表:空间有限地址表:空间有限MACPORTA1B2C网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心MAC攻击攻击PC AMAC APC BMAC BPC CMAC CMACMAC攻击:攻击:攻击:攻击:每秒发送成千上每秒发送成千上每秒发送成千上每秒发送成千上万个随机源万个随机源万个随机源万个随机源MACMAC报文报文报文报文交换机交换机交

11、换机交换机MACMAC地址表地址表地址表地址表很快被不存在的地址很快被不存在的地址很快被不存在的地址很快被不存在的地址占满,没有空间学习占满,没有空间学习占满,没有空间学习占满,没有空间学习合法的合法的合法的合法的MAC BMAC B和和和和C C流量:流量:CB流量:流量:CB流量:流量:CB单播流量在交换机内部以广播单播流量在交换机内部以广播方式在所有端口转发,非法者方式在所有端口转发,非法者也能够接收这些报文也能够接收这些报文网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心MAC攻击攻击MAC攻击:攻击:交换机内部的MAC地址表空间是有限的,MAC攻击会很

12、快占满交换机内部的MAC地址表;使得单播包在交换机内部变得像广播包一样向同一VLAN的所有端口转发;每个连接在交换机端口的客户端都会收到该数据包,交换机变成了一个HUB,用户的信息传输也没有了安全保障网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DHCP攻击攻击PCClientDHCPServerDHCP协议有有DHCP服务器吗?服务器吗?DHCP Discover(广播)(广播)DHCP Offer(单播)(单播)我是我是DHCP服务器服务器DHCP Request(广播)(广播)DHCP ACK(单播)(单播)我需要你说的我需要你说的IP地址地址你可以使用

13、这个你可以使用这个IPDHCP协议相关标准请查阅RFC网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DHCP攻击攻击DHCP攻击之一:恶意用户通过更换MAC地址方式向DHCP Server发送大量的DHCP请求,以消耗DHCP Server的可分配IP地址资源为目的;使得合法用户的IP地址请求无法实现。链路层报头链路层报头网络层报头网络层报头UDP报头报头DHCP报文内容报文内容目的目的MAC:ffff.ffff.ffff源源源源MACMAC在不断变化在不断变化在不断变化在不断变化网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心

14、DHCP攻击攻击PCClientDHCPServerDHCPDHCP攻击之一:恶意攻击之一:恶意攻击之一:恶意攻击之一:恶意DHCPDHCP请求请求请求请求攻击者不攻击者不断变化断变化MAC地址地址IP Pool被耗尽被耗尽DHCP DiscoverDHCP可分配地址数可分配地址数DHCP OfferDHCP可分配地址数可分配地址数DHCP Request DHCP可分配地址数可分配地址数DHCP ACKDHCP可分配地址数可分配地址数网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DHCP攻击攻击DHCP攻击之二:非法DHCP Server,为合法用户的IP请

15、求分配不正确的IP地址、网关、DNS等错误信息;不仅导致合法用户的正常通信受到影响;还可能导致合法用户的信息被发往非法DHCP Server,严重影响用户的信息安全。网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DHCP攻击攻击DHCPDHCP攻击之二:伪装攻击之二:伪装攻击之二:伪装攻击之二:伪装DHCPDHCP ServerServerClientClient发出的发出的发出的发出的DHCPDHCP请求报文请求报文请求报文请求报文非法的非法的非法的非法的DHCPDHCP响应报文响应报文响应报文响应报文ClientClient访问某个访问某个访问某个访问某个

16、PCPC的报文的报文的报文的报文PCClientDHCPServer攻击者伪装成攻击者伪装成DHCP S网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心ARP攻击攻击ARP协议按照IETF的规定,PC机在发出ARP响应时,不需要一定要先收到ARP请求报文;局域网任何一台计算机都可以向网上发出自己就是IP_A和MAC_A的对应者,这就为攻击者带来了漏洞。BACDARP请求请求非法非法ARP响应:响应:IP_A MAC_C网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心ARP攻击攻击ARPARP攻击之一:攻击之一:攻击之一:攻击之一:

17、ARPARP欺骗欺骗欺骗欺骗192.168.10.1MAC A192.168.10.2MAC B192.168.10.3MAC C发送发送发送发送ARPARP响应,响应,响应,响应,告知告知告知告知192.168.10.2192.168.10.2对应对应对应对应MAC CMAC C刷新刷新刷新刷新ARPARP表:表:表:表:192.168.10.2192.168.10.2MAC CMAC C发送发送发送发送ARPARP响应,响应,响应,响应,告知告知告知告知192.168.10.1192.168.10.1对应对应对应对应MAC CMAC C刷新刷新刷新刷新ARPARP表:表:表:表:192.1

18、68.10.1192.168.10.1MAC CMAC C网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心ARP攻击攻击ARPARP攻击之二:攻击之二:攻击之二:攻击之二:ARPARP流量攻击流量攻击流量攻击流量攻击192.168.10.1MAC A192.168.10.2MAC B192.168.10.3MAC C利用攻击软件,发送大量利用攻击软件,发送大量利用攻击软件,发送大量利用攻击软件,发送大量ARPARP请求和响应,报文中的请求和响应,报文中的请求和响应,报文中的请求和响应,报文中的IPIP地址和地址和地址和地址和MACMAC均为伪造,随均为伪造,随均

19、为伪造,随均为伪造,随机填入:机填入:机填入:机填入:网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP/MAC欺骗攻击欺骗攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP/MAC欺骗攻击欺骗攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP/MAC欺骗攻击欺骗攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP/MAC欺骗攻击欺骗攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP/MAC欺骗攻击欺骗攻击网网络

20、络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心STP攻击攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DoS/DDoS攻击攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DoS/DDoS攻击攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心DoS/DDoS攻击攻击网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心课程议题课程议题交换机端口安全交换机端口安全网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中

21、心心交换机端口安全交换机端口安全利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心交换机端口安全基本概念安全违例产生于以下情况:如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时,你可以选择多种方式来处理违例:Protect:当安全地址个数满后,安全端口将丢弃未知地址(不是该

22、端口的安全地址中的任何一个)的包Restrict:当违例产生时,将发送一个Trap通知Shutdown:当违例产生时,将关闭端口并发送一个Trap通知网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心配置安全端口配置安全端口 interface interface-id!进入接口配置模式。switchport port-security !打开接口的端口安全功能switchport port-security maximum value!设置接口上安全地址数,范围1128,缺省为128switchport port-security violation prote

23、ct | restrict | shutdown!设置处理违例的方式switchport port-security mac-address mac-address ip-address ip-address!手工配置接口上的安全地址。网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心端口安全最大连接数配置端口安全最大连接数配置端口安全最大连接数配置switchportswitchport port-security port-securityswitchportswitchport port-security maximum port-security maxi

24、mum valuevalueswitchportswitchport port-security violation protect |restrict port-security violation protect |restrict |shutdown|shutdown注意:端口安全功能只能在access端口上进行配置。当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心配置安全端口配置安全端口端口的安全地址绑定switchportswitch

25、port port-security port-security switchportswitchport port-security port-security macmac-address -address macmac-address-address ipip- -address address ipip-address-address注意:端口安全功能只能在access端口上进行配置端口的安全地址绑定方式有:单MAC、单IP、MAC+IP网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心案例(一)案例(一)下面的例子是配置接口gigabitethernet

26、1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protectSwitch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violat

27、ion protect Switch(config-if)# 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心案例(二)案例(二)下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202Switch# configure terminalSwitch(config)# interface fastethernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport

28、 port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)# 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心查看配置信息查看配置信息Switch# show port-security addressshow port-security address Vlan Mac Address IP Address Type Port Remaining Age (mins)

29、 - - - - - - -1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Gi1/1 7 Switch#show port-securitySwitch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action - - - - - Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 P网网络络

30、工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心课程议题课程议题IP访问控制列表访问控制列表网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心什么是访问列表什么是访问列表IP Access-listIP访问列表或访问控制列表,简称IP ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心为什么要使用访问列表为什么要使用访问列表内网安全运行内网安全运行访问外网的安全控制访问外网的安全控制访问外网的安全控制访问外网的安全控制网网络络工工程程专专

31、业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心访问列表访问列表访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心访问列表的组成访问列表的组成定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上访问控制列表规则的分类:标准访问控制列表扩展访问控制列表网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心访问列表规则的应用访问列表

32、规则的应用路由器应用访问列表对流经接口的数据包进行控制入栈应用(in)经某接口进入设备内部的数据包进行安全规则过滤出栈应用(out)设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心访问列表的入栈应用访问列表的入栈应用NY是否是否允许允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行进行选路转发选路转发以以ICMPICMP信息通知源发送方信息通知源发送方网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专

33、业业实实训训中中心心 访问列表的出栈应用访问列表的出栈应用NY选择出口选择出口S0路由是路由是否存在否存在?NY查看访问列表查看访问列表的陈述的陈述是否是否允许允许?Y是否应用是否应用访问列表访问列表?NS0S0以以ICMPICMP信息通知源发送方信息通知源发送方网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP ACL的基本准则的基本准则一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾,至顶向下的匹配方式匹配成功马上停止立刻使用

34、该规则的“允许/拒绝”网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心一个访问列表多个测试条件一个访问列表多个测试条件Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐被系统隐被系统隐含拒绝含拒绝含拒绝含拒绝N网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心访问列表规则的定义访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端

35、口、目的端口、协议进行规则定义网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 IP标准访问列表标准访问列表源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 IP扩展访问列表扩展访问列表目的地址目的地址源地址源地址协议协议端口号端口号TCP/UDP数据数据IPeg.HDLC100-199 号列表号列表 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 反掩码(通配符)反掩码(通配符)0表示检查相应的地址比特1表示不检查相应的

36、地址比特00111111128643216842100000000000011111111110011111111do not check address (ignore bits in octet)ignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsE网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 IP标准访问列表的配置标准访问列表的配置定义标准ACL编号的标准访问列表Router(confi

37、g)#accessaccess-list -list permit|denypermit|deny 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 命名的标准访问列表switch(config)# ipip access-list standard access-list standard switch(config-std-nacl)#permit|deny)#permit|deny 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 应用ACL到接口Router(config-if)#ipip access-group in | out access-group in | out 网网

38、络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 IP标准访问列表配置实例标准访问列表配置实例(一一)172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0配置:access-list 1 permit 172.16.3.0 0.0.0.255access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) (access-list 1 deny any)interface serial 1/2interface serial 1/2ipip access-group

39、1 out access-group 1 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心标准访问列表配置实例标准访问列表配置实例(二二)需求:你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。配置:ipip access-list standard access-list standard abcabcpermit host 192.168.2.8 permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255deny 192.168.2.0 0.0.0.255财务财务192

40、.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长校长网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 IP扩展访问列表的配置扩展访问列表的配置定义扩展的ACL编号的扩展ACLRouter(config)#accessaccess-list permit /deny -list permit /deny 协协协协议议议议 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 源端口源端口源端口源端口 目的地址目的地址目的地址目的地址 反掩码反掩码反掩码反掩码 目的端口目的端口目的端口目

41、的端口 命名的扩展ACLipip access-list extended name access-list extended name permit /deny permit /deny 协议协议协议协议 源地址源地址源地址源地址 反掩码反掩码反掩码反掩码 源端口源端口源端口源端口 目的地址目的地址目的地址目的地址 反反反反掩码掩码掩码掩码 目的端口目的端口目的端口目的端口 应用ACL到接口Router(config-if)#ipip access-group in | out access-group in | out 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训

42、训中中心心 IP扩展访问列表配置实例扩展访问列表配置实例(一一)如何创建一条扩展ACL该ACL有一条ACE,用于允许指定网络(192.168.x.x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 IP扩展访问列表配置实例扩展访问列表配置实例(

43、二二)利用ACL隔离冲击波病毒access-list 115 deny access-list 115 deny udpudp any any anyany eqeq 69 69 access-list 115 deny access-list 115 deny tcptcp any any anyany eqeq 135 135access-list 115 deny access-list 115 deny udpudp any any anyany eqeq 135 135access-list 115 deny access-list 115 deny udpudp any any a

44、nyany eqeq 137 137access-list 115 deny access-list 115 deny udpudp any any anyany eqeq 138 138access-list 115 deny access-list 115 deny tcptcp any any anyany eqeq 139 139access-list 115 deny access-list 115 deny udpudp any any anyany eqeq 139 139access-list 115 deny access-list 115 deny tcptcp any a

45、ny anyany eqeq 445 445access-list 115 deny access-list 115 deny tcptcp any any anyany eqeq 593 593access-list 115 deny access-list 115 deny tcptcp any any anyany eqeq 4444 4444access-list 115 permit access-list 115 permit ipip any any anyany interface interface ipip access-group 115 in access-group

46、115 in ipip access-group 115 out access-group 115 网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心 访问列表的验证访问列表的验证显示全部的访问列表Router# show access-listsshow access-lists显示指定的访问列表Router# showshow access-lists access-lists 显示接口的访问列表应用Router# show show ipip interface interface 接口名称接口名称接口名称接口名称 接口编号接口编号接口编号接口编号网网络络工

47、工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心IP访问列表配置注意事项访问列表配置注意事项一个端口在一个方向上只能应用一组ACL锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口,只能配置入栈应用(In)针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用访问列表的缺省规则是:拒绝所有网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心课程回顾课程回顾网络安全隐患交换机端口安全IP访问控制列表网网络络工工程程专专业业实实训训中中心心网网络络工工程程专专业业实实训训中中心心休息休息中中 北北 大大 学学 电电 子子 与与 计计 算算 机机 科科 学学 技技 术术 学学 院院School of Electronics and Computer Science and Technology . NUC

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号