网络教程网络安全.ppt

网络教程网络安全于广辉大连理工大学网络中心课程安排n过滤IP流量n过滤IPX和SAP流量访问控制列表何时进行控制RoutingLogicBitBucketIPACLACLPermitPermitDenyDeny访问控制列表的特征n来自路由器以外的包必须被过滤n包可以在进入一个界面，进行路由处理之前被过滤。n包可以在从一个界面出去之前被过滤，在路由处理之后。nIOS使用“Deny”项表示这个包应该被过滤掉。nIOS使用“Permi”项表示这个包不应该被过滤掉。n过滤的逻辑在访问控制列表中控制。n在任何一个访问列表的结尾都应该加入一个“deny all traffic”的声明，无法匹配任何一个访问控制的包将被阻塞。访问控制列表流程小结1.将这个包的相应属性同第一个访问控制比较。2.如果有匹配的属性，这条访问控制中定义的动作（Permit or Deny）将被采用。3.如果在第二步没有匹配的属性，重复第一、第二步，顺序使用下一条访问控制。4.如果在访问控制中没有任何一条匹配，Deny动作将被应用。访问控制列表CommandConfiguration mode access-list 1-99permit|deny source-addr source-maskGlobal access-list 100-199permit|deny protocol source-addr source-mask operator operand destination-addr destination-maskoperator operandestablishedGlobal ip access-group number in|outInterface ip access-list standard|extended name permit|deny protocol source-addr source-mask operator operand destination-addr destination-mask operator operand establishedGlobalAccess List Configuration Commands访问控制列表CommandFunction show interfaceIncludes reference to the access lists enabled on the interface show access-listShows details of all configured access lists show ip access-listShow IP access lists标准IP访问列表n标准访问列表只检测包的IP头的源IP地址。n32位源IP地址中的任何一位都可以同访问控制列表中的表达式进行比较；比如可以检测一个子网掩码。然而，这种匹配是非常具有弹性的，你可以根本不去关心子网掩码；只是一个数学问题。标准IP访问列表n掩码中为0的位，表示两个地址的这一位必须相同。掩码中为1的位表示两个地址中的这一位可以不相同。标准IP访问列表AccessList MaskSource IPAddress in PacketBinary Version of Source IPAddressesIP Address in access-ist CommandBinary Version of IP Address in access-list CommandExplanation0.0.0.01.55.88.1110000 00010011 01110101 10000110 11111.55.8.40000 00010011 01110101 10000000 0100All bits must match,and they do not.0.0.0.2551.55.88.1110000 00010011 01110101 10000110 11111.55.88.00000 00010011 01110101 10000000 0000The first 24 bits must match,and they do.0.0.255.2551.55.56.70000 00010011 01110011 10000000 01111.55.0.00000 00010011 01110000 00000000 0000The first 16 bits must match,and they do.标准IP访问列表AccessList MaskSource IPAddress in PacketBinary Version of Source IPAddressesIP Address in access-ist CommandBinary Version of IP Address in access-list CommandExplanation255.255.255.2555.88.22.50000 01010101 10000001 01100000 01010.0.0.00000 00000000 00000000 00000000 0000All bits match,regardless of the IP address in the packet32.48.0.2550010 00000011 00000000 00001111 111133.1.1.10010 00010000 00010000 00010000 00011.1.1.00000 00010000 00010000 00010000 0000All bits except the third,eleventh,twelfth,and last eight must match.The two numbers match in this case.实例标准IP访问列表s0s1s1s1s0s0Subnet 10.1.1.0Subnet 10.1.3.0Subnet 10.1.2.0Subnet 10.1.129.0Subnet 10.1.128.0Subnet 10.1.130.0PC1PC2RouterARouterBRouterCPC3PC4PC5PC610.1.2.110.1.2.2实例标准IP访问列表n任务n不允许PC3访问PC1或PC2nRouterB的以太网不允许访问RouterC的以太网的主机。n允许所有其他操作扩展访问列表n扩展访问列表和标准访问列表最大的不同就是，扩展访问列表允许比较包中的其他字段。扩展访问列表IPTCP,UPP,ICMPSource IP AddressDestination IP AddressProtocolIP FieldIdentifiesNext header(TCP,UDP,etc.)IP FieldIdentifiesNext header(TCP,UDP,etc.)Destination Port(UDP&TCP Only)Source Port(UDP&TCP Only)扩展访问列表 access-list statementExplanation of What Matches ip access-list 101 tcp deny any host 10.1.1.1Packet with any source address,destination must be 10.1.1.1,with a TCP header,with destination port 23 ip access-list 101 tcp deny any host 10.1.1.1 eq telnet Same as last example;telnet keyword used instead of port 23 ip access-list 101 udp deny 1.0.0.0 0.0.0.255 lt 1023 anyPacket with source in network 1.0.0.0 to any destination,using UDP with source port less than 1023 ip acccess-list 101 udp deny 1.0.0.0 0.255.255.255 lt 1023 44.1.2.3 0.0.255.255Packet with source in network 1.0.0.0,to destinations beginning 44.1,using UDP with source port less then 1023 ip access-list 101 ip deny 33.1.2.0 0.0.0.255 44.1.2.3 0.0.255.255Packet with source in 33.1.2.0/24,to destinations beginning 44.1.ip access-list 101 icmp deny 33.1.2.0 0.0.0.255 44.1.2.3 0.0.255.255 echoPacket with source in 33.1.2.0/24,to destinations beginning 44.1,with are ICMP echo requests.实例扩展访问控制列表s0s1s1s1s0s0Subnet 10.1.1.0Subnet 10.1.3.0Subnet 10.1.2.0Subnet 10.1.129.0Subnet 10.1.128.0Subnet 10.1.130.0RouterARouterBRouterCPC3PC4PC5PC610.1.2.110.1.2.210.1.3.110.1.3.210.1.1.110.1.1.13010.1.1.210.1.1.28NFSWeb实例扩展访问控制列表n任务nWeb可以被所有用户访问nNFS和其他在NFS上的其他UDP服务，对每个子网前一半地址不可以访问。nRouterB和RouterC的以太网只有包直接通过串口路由才可以互相访问。n10.1.1.130,10.1.1.28可以连接除PC6以外的主机。n任何到RouterA的以太网的连接，如果没有允许都禁止。n所有其他连接都允许。命名IP访问控制列表n命名IP访问控制列表遵守和数字的IP访问控制列表一样的逻辑。n名字可以更加容易的记住访问控制列表的功能。n名字允许使用超过99个标准控制列表和100个扩展控制列表。n命名控制列表可以删除特定的一条语句，而数字访问控制列表只能删除整个访问控制。命名IP访问控制列表Router(config)#ip access-list extended barneyRouter(config-ext-nacl)#permit tcp host 10.1.1.2 eq www anyRouter(config-ext-nacl)#dny udp host 10.1.1.1 0.0.0.128 255.255.255.127控制列表小结n需要注意的是：n列表的顺序是相当重要的n注意列表的相互影响n默认每个列表后都由一个“deny all”过滤IPX和SAP流量nIPX的访问控制逻辑和IP类似。命令也相似。