項目十二安全策略與數(shù)據(jù)流量過濾

1、項目十二安全策略與數(shù)據(jù)流量過濾1.教學(xué)目標(biāo) 掌握網(wǎng)絡(luò)平安策略布置原那么，掌握IP標(biāo)準(zhǔn)及擴展訪問控制列表配置技能，能夠根據(jù)實際需求準(zhǔn)確配置IP訪問控制列表，具體如下：1了解IP標(biāo)準(zhǔn)及擴展訪問控制列表的功能及用途 2掌握IP標(biāo)準(zhǔn)訪問控制列表配置技能3掌握IP擴展訪問控制列表配置技能2.工作任務(wù) 根據(jù)客戶工作任務(wù)的具體要求，配置IP標(biāo)準(zhǔn)或擴展訪問控制列表，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。 模塊模塊1 1 IPIP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用 . 教學(xué)目標(biāo) 了解IP標(biāo)準(zhǔn)訪問控制列表的功能及用途 掌握路由器IP標(biāo)準(zhǔn)訪問控制列表配置技能 掌握交換機IP標(biāo)準(zhǔn)訪問控制列表配置技能 2. 工作

2、任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員，學(xué)校的財務(wù)處、教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段，三個部門之間通過路由器進行信息傳遞，為了平安起見，學(xué)校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進行控制，實現(xiàn)校辦企業(yè)財務(wù)科的主機可以訪問財務(wù)處的主機，但是教師辦公室主機不能訪問財務(wù)處主機。 3. 相關(guān)實踐知識 首先對兩路由器進行根本配置，實現(xiàn)三個網(wǎng)段可以相互訪問；然后對距離控制目的地址較近的路由器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表，允許網(wǎng)段校辦企業(yè)財務(wù)科主機發(fā)出的數(shù)據(jù)包通過，不允許網(wǎng)段教師辦公室主機發(fā)出的數(shù)據(jù)包通過，最后將這一策略加到路由器RouterB的Fa 0端口，如圖1

3、2.1所示。圖12.1路由器IP標(biāo)準(zhǔn)訪問控制列表第1步：根本配置路由器RouterA：R enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0Router

4、A (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#no shutdownRouterA (config-if)#Exit路由器RouterB同理配置第2步：在路由器RouterB上配置IP標(biāo)準(zhǔn)訪問控制列表驗證測試RouterB #show

5、 access-list 1第3步：應(yīng)用在路由器RouterB的Fa 0接口輸出方向上RouterB (config)#interface fastethernet 0RouterB (config-if)#ip access-group 1 out驗證測試RouterB #show ip interface fastethernet 04. 相關(guān)理論知識 ACL概述 訪問控制列表ACL是在交換機或路由器上定義一些規(guī)那么，對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定規(guī)那么進行過濾。 ACL分類1編號訪問控制列表：在路由器配置的訪問控制列表是由編號來命名的，包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴展訪問控制列表。2命

6、名訪問控制列表：在三層交換機配置的訪問控制列表是由字符串名字來命令的，包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴展訪問控制列表。 編號標(biāo)準(zhǔn)訪問控制列表 1標(biāo)準(zhǔn)訪問控制列表 在路由器上建立的訪問控制列表，其編號取值范圍為199之間整數(shù)值，只根據(jù)源IP地址過濾流量。 在標(biāo)準(zhǔn)或擴展訪問列表的末尾，總有一個隱含的Deny all。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配，那么隱含的Deny all將會禁止該數(shù)據(jù)包通過。 2定義訪問控制列表 R (config)#access-list access-list number permit/deny source source mask 其中： access-l

7、ist number ：訪問列表序號,范圍是1-99； Permit/deny：允許/禁止?jié)M足條件的數(shù)據(jù)包通過； Source ：過濾數(shù)據(jù)包的源IP地址； Source mask： 通配屏蔽碼，1：不檢查位，0：必須匹配位。 【例12.3】定義訪問控制列表1拒絕特定主機的流量，但允許其它的所有主機。R(config)#access-list 1 permit any3應(yīng)用訪問控制列表 訪問控制列表需要應(yīng)用到路由器的一個接口上，應(yīng)用到一個接口上可選擇入棧IN或出棧OUT二個方向。【例12.5】將訪問控制列表1應(yīng)用到路由器的接口fastethernet 0的入棧方向上。R#

8、configure terminalR(config)# interface fastethernet 0R(config-if)#ip access-group 1 inR(config-if)#end 命名標(biāo)準(zhǔn)訪問控制列表命名標(biāo)準(zhǔn)訪問控制列表 在三層交換機上配置命名標(biāo)準(zhǔn)訪問控制列表，也是采用定義ACL、在接口上應(yīng)用ACL、查看ACL等步驟進行。第1步：進入Access-list配置模式，用名字來定義一條標(biāo)準(zhǔn)訪問控制列表。Switch(config)#ip access-list standard name Switch(config-std-nacl)#第2步：定義訪問控制列表條件Swit

9、ch(config-std-nacl)#deny source source-wildcard|host source |any或permitsource source-wildcard|host source|any。Switch(config-std-nacl)#exitSwitch(config)# 其中：permit允許通過；deny禁止通過；Source 是要被過濾數(shù)據(jù)包的源IP地址；source-wildcard 是通配屏蔽碼，指出該域中哪些位進行匹配，1表示允許這些位不同，0表示這些位必須匹配；Host source代表一臺源主機，其source-wildcard為

10、；any代表任意主機，即source為，source-wildcard為55。第3步：應(yīng)用訪問控制列表Switch(config)#interface vlan n其中：n是指Vlan n，以實現(xiàn)進入SVI模式Switch(config-if)#ip access-group namein|out其中：name為訪問控制列表名稱，in或out為控制接口流量方向。Switch(config-if)#【例12.7】在交換機上配置訪問控制列表，實現(xiàn)只禁止網(wǎng)段上主機發(fā)出的數(shù)據(jù)，而允許其它任意主機。Switch#configure termi

11、nalSwitch(config)#Switch(config)#ip access-list standard deny_2.0Switch(config-std-nacl)#permit any Switch(config-std-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group deny_2.0 inSwitch(config-if)#endSwitch#show access-lists模塊模塊2 IP擴展訪問控制列表的建立及應(yīng)用擴展訪問控制列表的建立及應(yīng)用 . 教學(xué)目標(biāo) 了解IP擴展訪

12、問控制列表功能及用途 掌握路由器IP擴展訪問控制列表配置技能 掌握交換機IP擴展訪問控制列表配置技能 2. 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員，學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web效勞器，其中FTP效勞器供教師專用，學(xué)生不可使用；Web效勞器教師和學(xué)生都可訪問。FTP及Web效勞器、教師辦公室和學(xué)生宿舍分屬不同的3個網(wǎng)段，三個網(wǎng)段之間通過路由器進行信息傳遞，要求你對路由器進行適當(dāng)設(shè)置實現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。3. 相關(guān)實踐知識 首先對兩路由器進行根本配置，實現(xiàn)三個網(wǎng)段相互訪問；然后對離控制源地址較近的路由器RouterA配置IP擴展訪問控制列表，不允許網(wǎng)段學(xué)生宿舍主機發(fā)出的去19

13、網(wǎng)段的FTP數(shù)據(jù)包通過，允許網(wǎng)段主機發(fā)出的其它效勞數(shù)據(jù)包通過，最后將這一策略加到路由器RouterA的Fa 0端口 ，如圖12.4所示 。圖12.4路由器IP擴展訪問控制列表第1步：根本配置路由器RouterA：RenableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRou

14、terA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#no shutdownRo

15、uterA (config-if)#Exit路由器RouterB同理配置第2步：在路由器RouterA上配置IP擴展訪問控制列表拒絕來自 網(wǎng)段去網(wǎng)段的FTP流量通過RouterA (config)#access-list 101 deny TCP 55 55 eq FTP允許其它效勞的流量通過RouterA (config)#access-list 101 permit IP any any 驗證測試RouterA #show access-list 101第3步：把訪問控制

16、列表應(yīng)用在路由器RouterA的Fa 0接口輸入方向上。RouterA(config)#interface fastethernet 0RouterA (config-if)#ip access-group 101 in4. 相關(guān)理論知識 編號擴展訪問控制列表 擴展編號訪問控制列表同標(biāo)準(zhǔn)編號訪問控制列表一樣也是在路由器上創(chuàng)立的，其編號范圍為100到199之間。擴展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。 配置編號擴展訪問控制列表 R(config)#access-list listnumber permit | deny protocol sour

17、ce source-wildcard-mask destination destination-wildcard-mask operator operand 命名擴展訪問控制列表第1步：用名字來定義一個命名擴展訪問控制表，并進入擴展訪問控制列表配置模式Switch(config)#ip access-listextended namewitch(config-ext-nacl)#第2步：定義訪問控制列表條件Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source |anyoperator po

18、rtdestination destination-wildcard|host destination|anyoperator port。Switch(config-ext-nacl)#exitSwitch(config)# 其中：Deny：禁止通過；Permit：允許通過；Protocol：協(xié)議類型。TCP：tcp；UDP：udp；IP：ip；Source：源IP地址；source-wildcard：源IP地址通配符；Host source：源主機，其source-wildcard為；host destination：目標(biāo)主機，其destination-wildcard為0.0

19、.0.0；Any：任意主機，即source或destination為，source-wildcard或destination-wildcard為55；Operator：操作符，只能為eq。Port：TCP或UDP的端口號，范圍為0-65535。模塊模塊3 3 基于時間的訪問列表建立與應(yīng)用基于時間的訪問列表建立與應(yīng)用 . 教學(xué)目標(biāo) 了解基于時間訪問控制列表的功能及用途 掌握路由器根本時間訪問控制列表配置技能 2. 工作任務(wù) 你是某公司的網(wǎng)管，為了保證公司上班時間的工作效率，公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松，訪問網(wǎng)絡(luò)不受限制。

20、3. 相關(guān)實踐知識 在路由器上進行根本配置，然后設(shè)置基于時間的訪問控制列表，把這個訪問控制列表應(yīng)用于路由器的Fa 0接口 ，如圖12.5所示。 圖12.5基于時間的訪問控制列表第1步：根本配置路由器RouterA：R enableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# ena

21、ble password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#no shutdownRouterA (config-if)#Exit第2步：配置路由器的時鐘RouterA#show clockClock:1987-1-16 5:19:9重新設(shè)置路由器當(dāng)前時鐘和實際時鐘同步RouterA(config)#clock

22、set 16:03:40 27 april 2006-4-27RouterA#show clockClock:2006-4-27 16:04-9第3步：定義時間段RouterA(config)#time-range freetime定義絕對時間段RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2021定義周期性時間段RouterA(config-time-range)#periodic daily 0:00 to 9:00RouterA(config-time-range)#periodic daily 17:00 to 23:59RouterA#show time-rangeTime-range entry:freetime(inactive)Absolute start 8:00 01 january 2006 end 18:00 30 december 2021Periodic daily 0:00 to 9:00Periodic daily 17:00 to 23:59第4步：定義訪問控制列表允許在規(guī)定時間段內(nèi)訪問任何網(wǎng)絡(luò)RouterA (config)#a