第22章 用訪問控制列表實(shí)現(xiàn)包過濾_第1頁
第22章 用訪問控制列表實(shí)現(xiàn)包過濾_第2頁
第22章 用訪問控制列表實(shí)現(xiàn)包過濾_第3頁
第22章 用訪問控制列表實(shí)現(xiàn)包過濾_第4頁
第22章 用訪問控制列表實(shí)現(xiàn)包過濾_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、用訪問控制列表實(shí)現(xiàn)包過濾用訪問控制列表實(shí)現(xiàn)包過濾n 要增強(qiáng)網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問要增強(qiáng)網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問或某些數(shù)據(jù)的能力?;蚰承?shù)據(jù)的能力。n ACL包過濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使包過濾是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使用用ACL來實(shí)現(xiàn)數(shù)據(jù)識別,并決定是轉(zhuǎn)發(fā)還是丟棄這些來實(shí)現(xiàn)數(shù)據(jù)識別,并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。數(shù)據(jù)包。n 由由ACL定義的報(bào)文匹配規(guī)則,還可以被其它需要對數(shù)定義的報(bào)文匹配規(guī)則,還可以被其它需要對數(shù)據(jù)進(jìn)行區(qū)分的場合引用。據(jù)進(jìn)行區(qū)分的場合引用。引入引入n 了解了解ACL定義及應(yīng)用定義及應(yīng)用n 掌握掌握ACL包過濾工作原理包過

2、濾工作原理n 掌握掌握ACL的分類及應(yīng)用的分類及應(yīng)用n 掌握掌握ACL包過濾的配置包過濾的配置n 掌握掌握ACL包過濾的配置應(yīng)用注意事項(xiàng)包過濾的配置應(yīng)用注意事項(xiàng)課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程,您應(yīng)該能夠:學(xué)習(xí)完本課程,您應(yīng)該能夠:n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄目錄ACL概述 ACL(Access Control List,訪問控制列表)是用來實(shí)現(xiàn)數(shù)據(jù)包識別功能的 ACL可以應(yīng)用于諸多方面 包過濾防火墻功能包過濾防火墻功能 NAT(Network Address Translation,

3、網(wǎng)絡(luò)地址轉(zhuǎn)換),網(wǎng)絡(luò)地址轉(zhuǎn)換) QoS(Quality of Service,服務(wù)質(zhì)量),服務(wù)質(zhì)量)的數(shù)據(jù)分類的數(shù)據(jù)分類 路由策略和過濾路由策略和過濾 按需撥號按需撥號n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄目錄基于ACL的包過濾技術(shù) 對進(jìn)出的數(shù)據(jù)包逐個過濾,丟棄或允許通過 ACL應(yīng)用于接口上,每個接口的出入雙向分別過濾 僅當(dāng)數(shù)據(jù)包經(jīng)過一個接口時,才能被此接口的此方向的ACL過濾入方向過濾入方向過濾入方向過濾入方向過濾出方向過濾出方向過濾出方向過濾出方向過濾接口接口接口接口路由轉(zhuǎn)發(fā)路由轉(zhuǎn)發(fā)進(jìn)程

4、進(jìn)程入站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置入方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程N(yùn)oNoNo檢查默認(rèn)規(guī)則設(shè)定出站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包到達(dá)出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置出方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefault Deny數(shù)據(jù)包出站NoNoNo檢查默認(rèn)規(guī)則設(shè)定通配符掩碼通配符掩碼通配符掩碼含義含義0.0.0.

5、255只比較前只比較前24位位0.0.3.255只比較前只比較前22位位0.255.255.255只比較前只比較前8位位 通配符掩碼和IP地址結(jié)合使用以描述一個地址范圍 通配符掩碼和子網(wǎng)掩碼相似,但含義不同 0表示對應(yīng)位須比較表示對應(yīng)位須比較 1表示對應(yīng)位不比較表示對應(yīng)位不比較通配符掩碼的應(yīng)用示例IP地址地址通配符掩碼通配符掩碼表示的地址范圍表示的地址范圍192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0

6、192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和和192.168.2.0/24n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄目錄ACL的標(biāo)識l 利用數(shù)字序號標(biāo)識訪問控制列表利用數(shù)字序號標(biāo)識訪問控制列表l 可以給訪問控制列表指定名稱,便于維護(hù)可以給訪問控制列表指定名稱,便于維護(hù)訪問控制列表的分類訪問控制列表的分類數(shù)字序號的范圍數(shù)字序號的范圍基本訪問控制列表基本訪問控制列表 20002999

7、 擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表 30003999 基于二層的訪問控制列表基于二層的訪問控制列表 40004999 用戶自定義的訪問控制列表用戶自定義的訪問控制列表 50005999 基本ACL 基本訪問控制列表只根據(jù)報(bào)文的源IP地址信息制定規(guī)則接口接口接口接口從從1.1.1.0/24來的數(shù)據(jù)包不能通過來的數(shù)據(jù)包不能通過從從2.2.2.0/28來的數(shù)據(jù)包可以通過來的數(shù)據(jù)包可以通過DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分組分組分組分組高級ACL 高級訪問控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則接

8、口接口接口接口從從1.1.1.0/24來,到來,到3.3.3.1的的TCP端口端口80去的數(shù)據(jù)包不能通過去的數(shù)據(jù)包不能通過從從1.1.1.0/24來,到來,到2.2.2.1的的TCP端口端口23去的數(shù)據(jù)包可以通過去的數(shù)據(jù)包可以通過DA=3.3.3.1, SA=1.1.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1TCP, DP=23, SP=3176分組分組分組分組二層ACL與用戶自定義ACL 二層ACL根據(jù)報(bào)文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息制定匹配規(guī)則 用戶自定義ACL可以根據(jù)任意位置的任意字串制定匹配規(guī)則

9、 報(bào)文的報(bào)文頭、IP頭等為基準(zhǔn),指定從第幾個字節(jié)開始與掩碼進(jìn)行“與”操作,將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較,找到匹配的報(bào)文。n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄目錄ACL包過濾配置任務(wù) 啟動包過濾防火墻功能,設(shè)置默認(rèn)的過濾規(guī)則 根據(jù)需要選擇合適的ACL分類 創(chuàng)建正確的規(guī)則 設(shè)置匹配條件 設(shè)置合適的動作(Permit/Deny) 在路由器的接口上應(yīng)用ACL,并指明過濾報(bào)文的方向(入站/出站)啟動包過濾防火墻功能l 防火墻功能需要在路由器上啟動后才能生效防火墻功能需要在路由器

10、上啟動后才能生效l 設(shè)置防火墻的默認(rèn)過濾方式設(shè)置防火墻的默認(rèn)過濾方式系統(tǒng)默認(rèn)的默認(rèn)過濾方式是permit sysname firewall enable sysname firewall default permit | deny 配置基本ACLsysname acl number acl-number 配置基本ACL,并指定ACL序號 基本IPv4 ACL的序號取值范圍為20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard |

11、any | time-range time-name l 定義規(guī)則定義規(guī)則制定要匹配的源IP地址范圍指定動作是permit或deny配置高級ACLl 配置高級配置高級IPv4 ACL,并指定,并指定ACL序號序號高級IPv4 ACL的序號取值范圍為30003999sysname-acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | sour

12、ce sour-addr sour-wildcard | any | source-port operator port1 port2 | time-range time-name sysname acl number acl-numberl 定義規(guī)則定義規(guī)則需要配置規(guī)則來匹配源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議端口號等信息指定動作是permit或deny配置二層ACLl 配置二層配置二層 ACL,并指定,并指定ACL序號序號二層ACL的序號取值范圍為40004999sysname-acl-ethernetframe-4000 rule rule-id deny | permit

13、 cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name sysname acl number acl-numberl 定義規(guī)則定義規(guī)則需要配置規(guī)則來匹配源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息指定動作是permit或拒絕deny在接口上應(yīng)用ACL 將ACL應(yīng)用到接口上,配置的ACL包過濾才能生效 指明在接口上應(yīng)用的方向是Outbound還是Inbound

14、sysname-Serial2/0 firewall packet-filter acl-number | name acl-name inbound | outbound ACL包過濾顯示與調(diào)試操作操作命令命令查看防火墻的統(tǒng)計(jì)信息查看防火墻的統(tǒng)計(jì)信息display firewall-statistics all | interface interface-type interface-number查看以太網(wǎng)幀過濾情況的信息查看以太網(wǎng)幀過濾情況的信息display firewall ethernet-frame-filter all | dlsw | interface interface-t

15、ype interface-number 清除防火墻的統(tǒng)計(jì)信息清除防火墻的統(tǒng)計(jì)信息reset firewall-statistics all | interface interface-type interface-number顯示配置的顯示配置的IPv4 ACL信息信息display acl acl-number | all清除清除IPv4 ACL統(tǒng)計(jì)信息統(tǒng)計(jì)信息reset acl counter acl-number | all |n ACL概述概述n ACL包過濾原理包過濾原理n ACL分類分類n 配置配置ACL包過濾包過濾n ACL包過濾的注意事項(xiàng)包過濾的注意事項(xiàng)目錄目錄ACL規(guī)則的匹

16、配順序 匹配順序指ACL中規(guī)則的優(yōu)先級。 ACL支持兩種匹配順序: 配置順序(config):按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配 自動排序(auto):按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配,即地址范圍小的規(guī)則被優(yōu)先進(jìn)行匹配 配置ACL的匹配順序: sysname acl number acl-number match-order auto | config 不同匹配順序?qū)е陆Y(jié)果不同接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分組分組acl number 2000 match-order config rule permit source 1.1.1.0 0.0.0.255 ru

17、le deny source 1.1.1.1 0接口接口接口接口DA=3.3.3.3 SA=1.1.1.1分組分組acl number 2000 match-order auto rule permit source 1.1.1.0 0.0.0.255 rule deny source 1.1.1.1 0在網(wǎng)絡(luò)中的正確位置配置ACL包過濾 盡可能在靠近數(shù)據(jù)源的路由器接口上配置ACL,以減少不必要的流量轉(zhuǎn)發(fā) 高級ACL 應(yīng)該在靠近被過濾源的接口上應(yīng)用ACL,以盡早阻止不必要的流量進(jìn)入網(wǎng)絡(luò) 基本ACL 過于靠近被過濾源的基本ACL可能阻止該源訪問合法目的 應(yīng)在不影響其他合法訪問的前提下,盡可能使A

18、CL靠近被過濾的源高級ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA 要求PCA不能訪問NetworkA和NetworkB,但可以訪問其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTC firewall enableRTC firewall enableRTC acl number 3000RTC acl number 3000RTC-acl-adv-3000 rule deny ip source 17

19、2.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 destination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound RTC-Ethernet0/0 firewall packet-filter 3000 inbound 基本ACL部署位置示例 要求PCA不能訪問NetworkA和NetworkB,但可以訪問其他所有網(wǎng)絡(luò)PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1RTA

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論