最新-訪問控制列表與端口安全-課件

第八章訪問控制列表與端口安全

12/22/20221第八章訪問控制列表與端口安全12/17/20221本章課題8.1訪問控制列表簡介8.2編號訪問控制列表配置8.3命名訪問控制列表8.4基于時間訪問的控制列表8.5端口安全12/22/20222本章課題8.1訪問控制列表簡介12/17/20222網(wǎng)絡安全隱患（1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。12/22/20223網(wǎng)絡安全隱患（1）非人為的或自然力造成的故障、事故等。12現(xiàn)有網(wǎng)絡安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡安全體制12/22/20224現(xiàn)有網(wǎng)絡安全IDS殺毒軟件防火墻ACL現(xiàn)有網(wǎng)絡安全體制12/VPN

虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測12/22/20225VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測12/17/20什么是訪問列表ISP√IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLIPACL就是對經(jīng)過網(wǎng)絡設備的數(shù)據(jù)包根據(jù)一定的規(guī)則進行數(shù)據(jù)包的過濾。12/22/20226什么是訪問列表ISP√IPAccess-list：IP訪問訪問列表的作用訪問控制列表可以限制網(wǎng)絡流量、提高網(wǎng)絡性能、控制網(wǎng)絡通信流量等，同時ACL也是網(wǎng)絡訪問控制的基本安全手段。在路由器或交換機的接口上配置訪問控制列表后，可以對進出接口及通過接口中繼的數(shù)據(jù)包進行安全檢測。配置訪問控制列表的目的主要基于以下兩點。（1）限制路由更新。（2）限制網(wǎng)絡訪問。12/22/20227訪問列表的作用訪問控制列表可以限制網(wǎng)絡流量、提高網(wǎng)絡性能、控訪問控制列表類型標準IP訪問控制列表編號的標準IP訪問控制列表命名的標準IP訪問控制列表擴展IP訪問控制列表編號的擴展IP訪問控制列表命名的擴展IP訪問控制列表12/22/20228訪問控制列表類型標準IP訪問控制列表12/17/20228ACL的一些相關(guān)特性（1）每一個接口可以在進入（Inbound）和離開（Outbound）兩個方向上分別應用一個ACL，且每個方向上只能應用一個ACL。（2）ACL語句包括兩個動作，一個是拒絕（Deny），一個是允許（Permit）。（3）在路由器或交換機接口接收到報文時，應用在接口進入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準備從某一個接口輸出報文時，應用在接口離開方向的ACL（外向ACL）起作用。（5）每個ACL的結(jié)尾有一個隱含的denyall（拒絕的所有數(shù)據(jù)包）語句。因此，如果包不匹配ACL中的任何語句，將被拒絕。

12/22/20229ACL的一些相關(guān)特性（1）每一個接口可以在進入（InbouACL的內(nèi)向匹配過程路由器取出內(nèi)向ACL的數(shù)據(jù)包進入路由器數(shù)據(jù)包進入路由器路由器取出內(nèi)向ACL的第一條語句允許還是拒絕？匹配項與數(shù)據(jù)包中的各項進行比較是否匹配匹配項與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL

下一條語句最后一條？允許進行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束12/22/202210ACL的內(nèi)向匹配過程路由器取出內(nèi)向ACL的數(shù)據(jù)包進入路由器ACL的外向匹配過程路由器取出外向ACL的第一條語句選擇離開接口是否匹配？匹配項與數(shù)據(jù)包中的各項進行比較取出外向ACL

下一條語句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開接口送出結(jié)束丟棄拒絕12/22/202211ACL的外向匹配過程路由器取出外向ACL的第一條語句選擇離通配符掩碼通配符掩碼掩碼的二進制形式描述00000000.00000000.00000000.00000000整個lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配12/22/202212通配符掩碼通配符掩碼掩碼的二進制形式描述0.0.0IP地址與通配符掩碼的作用規(guī)則

IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進行比較，通配符掩碼為0的位要求IP地址的對應位必須匹配，通配符掩碼為1的位所對應的IP地址位不必匹配，例如，IP地址 （相應的二進制為11000000101010000000000100000000）通配符掩碼 55 （相應的二進制為00000000000000000000000011111111）該通配符掩碼的前24位為0，對應的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對應的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說IP地址和通配符掩碼55匹配的結(jié)果是這個網(wǎng)段內(nèi)的所有主機。12/22/202213IP地址與通配符掩碼的作用規(guī)則IP地址與通配符掩碼的作用兩個特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼的簡寫形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語句。access-list10permit0或access-list10permithost0Any：表示全部不進行匹配，是通配符掩碼55的簡寫形式。例如，允許所有的IP地址的數(shù)據(jù)都通過，可使用以下兩種ACL語句。access-list10permit055或access-list10permitany12/22/202214兩個特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼0配置訪問控制列表的步驟第一步是配置訪問控制列表語句第二步是把配置好的訪問控制列表應用到某個端口上。12/22/202215配置訪問控制列表的步驟第一步是配置訪問控制列表語句12/17訪問控制列表配置的注意事項（1）注意訪問控制列表中語句的次序，盡量把作用范圍小的語句放在前面。（2）新的表項只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問控制列表，然后創(chuàng)建一個新訪問控制列表，將新訪問控制列表用到相應的接口上。（3）標準的IP訪問控制列表只匹配源地址，一般都使用擴展的IP訪問控制列表以達到精確的要求。（4）標準的訪問控制列表盡量靠近目的，擴展的訪問控制列表盡量靠近過濾源的位置，以免訪問控制列表影響其他接口上的數(shù)據(jù)流。（5）在應用訪問控制列表時，要特別注意過濾的方向。（6）在編號ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫全面。12/22/202216訪問控制列表配置的注意事項（1）注意訪問控制列表中語句的次配置標準IP訪問控制列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard-maskaccess-list-number的范圍是1~99訪問控制列表的動作：denylpermit12/22/202217配置標準IP訪問控制列表access-listacces應用訪問控制列表到接口Ipaccess-groupaccess-list-numberin|out訪問控制列表只有被應用到某個接口才能達到報文過濾的目的。接口上通過的報文有兩個方向，一個是通過接口進入路由器的報文，即in方向的報文，一個是通過接口離開路由器的報文，即out方向的報文，out也是訪問控制列表的默認方向。12/22/202218應用訪問控制列表到接口Ipaccess-groupac顯示訪問控制列表配置Showaccess-list[access-list-number]其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號的訪問控制列表配置細節(jié)，如果不指定則顯示所有訪問控制列表的配置細節(jié)。12/22/202219顯示訪問控制列表配置Showaccess-list[ac例8-1請在如圖8-3所示的路由器上配置ACL，實現(xiàn)PC1不能訪問網(wǎng)段，而PC2能訪問（假設各路由器各接口已配置好，并全網(wǎng)已連通）。

12/22/202220例8-1請在如圖8-3所示的路由器上配置ACL，實現(xiàn)PC1擴展IP訪問控制列表的配置access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcard-masksource-portdestination-addressdestination-wildcard-maskdestination-portlogoptions擴展IP訪問控制列表的編號范圍為100～199訪問控制列表的動作：permit或deny協(xié)議：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號：端口號的范圍是0~6553512/22/202221擴展IP訪問控制列表的配置access-listacce端口范圍運算符運算符及其語法描述例eqportnumber等于，用于指定單個的端口eq21或eqftpgtportnumber大于，用于指定大于某個端口的一個端口范圍gt1024ltportnumber小于，用于指定小于某個端口的一個端口范圍lt1024neqportnumber不等于，用于指定除了某個端口以外的所有端口neq21rangeportnumber1portnumber2指位于兩個端口號間的一個端口范圍range13514512/22/202222端口范圍運算符運算符及其語法描述例eqportn命名訪問控制列表的引入不管是標準IP訪問控制列表，還是擴展的IP訪問控制列表，其編號的范圍都不超過100個，這樣，就可能出現(xiàn)編號不夠用的情況；還有就是僅用編號區(qū)分的訪問控制列表不便于網(wǎng)絡管理員對訪問控制列表作用的識別。命名IP訪問控制列表是通過一個名稱而不是一個編號來引用的。命名的訪問控制列表可用于標準的和擴展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長度為100個字符。12/22/202223命名訪問控制列表的引入不管是標準IP訪問控制列表，還是擴展編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別（1）名字能更直觀地反映出訪問控制列表完成的功能。（2）命名訪問控制列表突破了99個標準訪問控制列表和100個擴展訪問控制列表的數(shù)目限制，能夠定義更多的訪問控制列表。（3）單個路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。（4）命名訪問控制列表是一個全局命令，它將使用者進入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動作的相關(guān)語句。（5）命名IP訪問控制列表允許刪除個別語句，當一個命名訪問控制列表中的語句要被刪除時，只需將該語句刪除即可，而編號訪問控制列表中則需要將訪問控制列表中的所有語句刪除后再重新輸入。（6）命名訪問控制列表的命令為ipaccess-list，在命令中用standard和extended來區(qū)別標準訪問控制列表和擴展訪問控制列表，而編號訪問控制列表的配置命令為access-list，并用編號來區(qū)別標準和擴展。12/22/202224編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別（1）創(chuàng)建標準命名IPACL的步驟（1）configureterminal進入全局配置模式。（2）ipaccess-liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進入access-list配置模式。（3）deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定報文是轉(zhuǎn)發(fā)或還是丟棄。hostsource代表一臺源主機，any代表任意主機。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。12/22/202225創(chuàng)建標準命名IPACL的步驟（1）configurete例8-3在三層交換機上進行ACL設置，以實現(xiàn)VLAN10的主機不能與VLAN30內(nèi)的主機進行通信，能與VLAN20內(nèi)的主機進行通信，而VLAN20可以和VLAN30的主機進行通信。12/22/202226例8-3在三層交換機上進行ACL設置，以實現(xiàn)VLAN10的命名擴展IP訪問控制列表配置（1）configureterminal進入全局配置模式。（2）ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進入access-list配置模式。（3）{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定匹配條件的報文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。操作符（operator）只能為eq。如果操作符在sourcesource-wildcard之后，則報文的源端口匹配指定值條件生效。如果操作符在destinationdestination-wildcard之后，則報文的目的端口匹配指定值條件生效。port為十進制值，它代表TCP或UDP的端口號，值范圍為0～65535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入訪問控制列表，如果不指定name參數(shù)，則顯示所有接入訪問控制列表。12/22/202227命名擴展IP訪問控制列表配置（1）configurete基于時間的訪問控制列表基于時間的訪問控制列表能夠應用于編號訪問控制列表和命名訪問控制列表。為了實現(xiàn)基于時間的ACL功能，首先應定義一個Time-range接口來指明日期時間范圍，與其他接口一樣，Time-range接口通過名稱來標識。然后，將Time-range接口與對應的ACL關(guān)聯(lián)起來，這是通過在ACL中用Time-range引用時間范圍實現(xiàn)的。12/22/202228基于時間的訪問控制列表基于時間的訪問控制列表能夠應用于編號路由器時鐘設置路由器時鐘設置在特權(quán)模式下進行，分為兩步：首先設置系統(tǒng)日期時間，然后用當前系統(tǒng)時鐘更新路由器實時時鐘。配置命令為：Clocksethh:mm:ssdaymonthyear //設置系統(tǒng)日期時間Clockupdate-calender //更新路由器實時時鐘12/22/202229路由器時鐘設置路由器時鐘設置在特權(quán)模式下進行，分為兩步：首定義Time-range接口time-rangetime-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為Time-range接口的名稱，接口名稱長度為1～32個字符，中間不能有空格。Time-range接口命名后，就進入了時間定義模式，在此模式中還要使用absolute和periodic兩個命令定義具體的時間范圍。值得注意的是，一個時間范圍只能包括一個absolute絕對時間范圍和多個周期時間范圍。12/22/202230定義Time-range接口time-rangetim定義絕對時間范圍Absolute[startstart-ttmestart-date][endend-timeend-date]star-time、end-time分別用于指定開始和結(jié)束時間，使用24小時表示，其格式為“小時：分鐘”，start-date和end-date分別用于指定開始的日期和結(jié)束的日期，使用日/月/年的時間格式，而不是通常采用的月/日/年格式，這一點必須注意。命令中的start和end關(guān)鍵字都是可選的。當省略start及其后面的時間、日期時，表示與之相聯(lián)系的ACL語句立即生效，并一直作用到end處的時間、日期為止；當省略end及其后面的時間，表示與之相聯(lián)系的ACL語句在start處表示的時間、日期開始生效，并且永遠發(fā)生作用，當然把訪問控制列表刪除了的話就不會起作用了。12/22/202231定義絕對時間范圍Absolute[startstart常用的時間定義形式時間定義描述Absolutestart17:00Absolutestart17:001decemdber2000Absoluteend17:00Absoluteend17:00ldecemdber2000Absolutestart8:00end20:00Absolutestart17:001decemdber2000end5:0031decemdber2000從配置的當天17:00開始直到永遠從2000年12月1日17:00開始直到永遠從配置時開始直到當天的17:00結(jié)束從配置時開始直到2000年12月1日17:00結(jié)束從8點開始到20點結(jié)束從2000年12月1日17:00開始直到2000年12月31日5:00結(jié)束12/22/202232常用的時間定義形式時間定義描述Abso定義周期、重復使用的時間范圍

Periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來定義時間范圍的一個命令。它可以使用大量的參數(shù)，其范圍可以是一個星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。12/22/202233定義周期、重復使用的時間范圍Periodicdays-operiodic中的參數(shù)參數(shù)描述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日12/22/202234periodic中的參數(shù)參數(shù)描述Monda常用的時間范圍定義形式時間范圍定義描述Periodicweekend7:00to19:00Periodicweekday8:00to17:00Periodicdaily7:00to17:00Periodicstaturday17:00toMonday7:00PeriodicMondayFriday7:00to20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:0012/22/202235常用的時間范圍定義形式時間范圍定義描述Period應用時間訪問控制列表的注意事項

由于使用帶時間范圍的訪問控制列表依賴于路由器的系統(tǒng)時鐘，所以要保證路由器時鐘設置的準確性。在time-range范圍命令中同時使用absolute和periodic語句12/22/202236應用時間訪問控制列表的注意事項由于使用帶時間范圍的訪問控制例8-5要求從2019年1月1日起在每周工作時間段8:00到18:00內(nèi)禁止網(wǎng)段的主機訪問HTTP的數(shù)據(jù)流。12/22/202237例8-5要求從2019年1月1日起在每周工作時間段8:00交換機端口安全利用交換機的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)端口的安全地址綁定12/22/202238交換機端口安全利用交換機的端口安全功能可以防止局域網(wǎng)大部分的交換機端口安全如果一個端口被配置為一個安全端口，當其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后;如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。RestrictTrap：當違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown：當違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。12/22/202239交換機端口安全如果一個端口被配置為一個安全端口，當其安全地址配置安全端口

端口安全最大連接數(shù)配置switchportport-security 打開該接口的端口安全功能switchportport-securitymaximumvalue 設置接口上安全地址的最大個數(shù)，范圍是1－128，缺省值為128。switchportport-securityviolation{protect|restrict|shutdown} 設置處理違例的方式注：1、端口安全功能只能在access端口上進行配置。2、當端口因為違例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復過來。12/22/202240配置安全端口端口安全最大連接數(shù)配置注：1、端口安全功能只能配置安全端口端口的安全地址綁定switchportport-security打開該接口的端口安全功能switchportport-security[mac-addressmac-address][ip-addressip-address] 手工配置接口上的安全地址。注：1、端口安全功能只能在access端口上進行配置。2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP12/22/202241配置安全端口端口的安全地址綁定注：1、端口安全功能只能在ac端口安全的限制（1）一個安全端口不能是一個AggregatePort。（2）一個安全端口只能是一個AccessPort。（3）在端口上聲明的安全地址的數(shù)量限制。一個靜態(tài)模塊上的百兆端口（FastEthernet，固定在交換機上）上最多支持20個同時聲明IP地址和MAC地址的安全地址，一個動態(tài)模塊（可插拔模塊）上的端口最多支持110個同時聲明IP地址和MAC地址的安全地址。另外，由于這種同時聲明IP地址和MAC地址的安全地址占用的硬件資源與ACLs所占用的系統(tǒng)硬件資源共享，因此在某一個端口上應用了ACLs，則相應地該端口上所能設置的聲明IP地址的安全地址個數(shù)將會減少。（4）一個安全端口上的安全地址的格式保持一致，即一個端口上的安全地址要么全是綁定了IP地址的安全地址，要么都是綁定MAC地址的安全地址。12/22/202242端口安全的限制（1）一個安全端口不能是一個Aggregat例8-6在一個交換機上的端口fastethernet0/3上應用端口安全功能，設置最大地址個數(shù)為2，設置違例方式為protect。12/22/202243例8-6在一個交換機上的端口fastethernet0/例8-7為接口fastethernet0/3配置一個安全地址：00d0.f800.075c，并為其綁定一個IP地址：。12/22/202244例8-7為接口fastethernet0/3配置一個安全地安全地址的老化時間在沒有為一個接口上的所有安全地址配置老化時間時，所有的安全地址永遠不失效。但由于有的安全地址很長時間未訪問端口，這個安全地址由于沒有失效還是要占用一安全端口的個數(shù)。如果設置了老化時間，在一個老化時間允許的時間內(nèi)，一個安全地址沒有訪問端口，則從安全地址表中將這個安全地址刪除，空出一個安全地址位置，以讓其他地址成為安全地址。當設置安全地址的最大個數(shù)后，可以讓交換機自動地增加和刪除接口上的安全地址了。12/22/202245安全地址的老化時間在沒有為一個接口上的所有安全地址配置老化設置老化時間Static：表示老化時間將同時應用于手工配置的安全地址和自動學習的地址，否則只應用于自動學習的地址。Time：表示這個端口上安全地址的老化時間，范圍是0～1440，單位是分鐘。如果老化時間被設置為0，則老化功能實際上被關(guān)閉。老化時間按照絕對的方式的計時，也就是一個地址成為一個端口的安全地址后，經(jīng)過Time指定的時間后，這個地址就將被自動刪除。Time的默認值為0。12/22/202246設置老化時間Static：表示老化時間將同時應用于手工配置關(guān)閉安全地址老化功能在接口配置模式下使用如下命令來關(guān)閉一個接口的安全地址老化功能（老化時間為0）。noswitchportport-securityagingtime使用命令來使老化時間僅應用于動態(tài)學習到的安全地址。noswitchportport-securityagingstatic12/22/202247關(guān)閉安全地址老化功能在接口配置模式下使用如下命令來關(guān)閉一個查看端口安全信息（1）查看接口的端口安全配置信息。showport-securityinterface[interface-id]（2）查看安全地址信息。showport-securityaddress（3）顯示某個接口上的安全地址信息。showport-security[interface-id]address（4）顯示所有安全端口的統(tǒng)計信息，包括最大安全地址數(shù)、當前安全地址數(shù)以及違例處理方式等。showport-security12/22/202248查看端口安全信息（1）查看接口的端口安全配置信息。12/1Q&A12/22/202249Q&A12/17/202249第八章訪問控制列表與端口安全

12/22/202250第八章訪問控制列表與端口安全12/17/20221本章課題8.1訪問控制列表簡介8.2編號訪問控制列表配置8.3命名訪問控制列表8.4基于時間訪問的控制列表8.5端口安全12/22/202251本章課題8.1訪問控制列表簡介12/17/20222網(wǎng)絡安全隱患（1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。12/22/202252網(wǎng)絡安全隱患（1）非人為的或自然力造成的故障、事故等。12現(xiàn)有網(wǎng)絡安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡安全體制12/22/202253現(xiàn)有網(wǎng)絡安全IDS殺毒軟件防火墻ACL現(xiàn)有網(wǎng)絡安全體制12/VPN

虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測12/22/202254VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測12/17/20什么是訪問列表ISP√IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLIPACL就是對經(jīng)過網(wǎng)絡設備的數(shù)據(jù)包根據(jù)一定的規(guī)則進行數(shù)據(jù)包的過濾。12/22/202255什么是訪問列表ISP√IPAccess-list：IP訪問訪問列表的作用訪問控制列表可以限制網(wǎng)絡流量、提高網(wǎng)絡性能、控制網(wǎng)絡通信流量等，同時ACL也是網(wǎng)絡訪問控制的基本安全手段。在路由器或交換機的接口上配置訪問控制列表后，可以對進出接口及通過接口中繼的數(shù)據(jù)包進行安全檢測。配置訪問控制列表的目的主要基于以下兩點。（1）限制路由更新。（2）限制網(wǎng)絡訪問。12/22/202256訪問列表的作用訪問控制列表可以限制網(wǎng)絡流量、提高網(wǎng)絡性能、控訪問控制列表類型標準IP訪問控制列表編號的標準IP訪問控制列表命名的標準IP訪問控制列表擴展IP訪問控制列表編號的擴展IP訪問控制列表命名的擴展IP訪問控制列表12/22/202257訪問控制列表類型標準IP訪問控制列表12/17/20228ACL的一些相關(guān)特性（1）每一個接口可以在進入（Inbound）和離開（Outbound）兩個方向上分別應用一個ACL，且每個方向上只能應用一個ACL。（2）ACL語句包括兩個動作，一個是拒絕（Deny），一個是允許（Permit）。（3）在路由器或交換機接口接收到報文時，應用在接口進入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準備從某一個接口輸出報文時，應用在接口離開方向的ACL（外向ACL）起作用。（5）每個ACL的結(jié)尾有一個隱含的denyall（拒絕的所有數(shù)據(jù)包）語句。因此，如果包不匹配ACL中的任何語句，將被拒絕。

12/22/202258ACL的一些相關(guān)特性（1）每一個接口可以在進入（InbouACL的內(nèi)向匹配過程路由器取出內(nèi)向ACL的數(shù)據(jù)包進入路由器數(shù)據(jù)包進入路由器路由器取出內(nèi)向ACL的第一條語句允許還是拒絕？匹配項與數(shù)據(jù)包中的各項進行比較是否匹配匹配項與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL

下一條語句最后一條？允許進行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束12/22/202259ACL的內(nèi)向匹配過程路由器取出內(nèi)向ACL的數(shù)據(jù)包進入路由器ACL的外向匹配過程路由器取出外向ACL的第一條語句選擇離開接口是否匹配？匹配項與數(shù)據(jù)包中的各項進行比較取出外向ACL

下一條語句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開接口送出結(jié)束丟棄拒絕12/22/202260ACL的外向匹配過程路由器取出外向ACL的第一條語句選擇離通配符掩碼通配符掩碼掩碼的二進制形式描述00000000.00000000.00000000.00000000整個lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配12/22/202261通配符掩碼通配符掩碼掩碼的二進制形式描述0.0.0IP地址與通配符掩碼的作用規(guī)則

IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進行比較，通配符掩碼為0的位要求IP地址的對應位必須匹配，通配符掩碼為1的位所對應的IP地址位不必匹配，例如，IP地址 （相應的二進制為11000000101010000000000100000000）通配符掩碼 55 （相應的二進制為00000000000000000000000011111111）該通配符掩碼的前24位為0，對應的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對應的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說IP地址和通配符掩碼55匹配的結(jié)果是這個網(wǎng)段內(nèi)的所有主機。12/22/202262IP地址與通配符掩碼的作用規(guī)則IP地址與通配符掩碼的作用兩個特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼的簡寫形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語句。access-list10permit0或access-list10permithost0Any：表示全部不進行匹配，是通配符掩碼55的簡寫形式。例如，允許所有的IP地址的數(shù)據(jù)都通過，可使用以下兩種ACL語句。access-list10permit055或access-list10permitany12/22/202263兩個特殊的關(guān)鍵字Host：表示一種精確匹配，是通配符掩碼0配置訪問控制列表的步驟第一步是配置訪問控制列表語句第二步是把配置好的訪問控制列表應用到某個端口上。12/22/202264配置訪問控制列表的步驟第一步是配置訪問控制列表語句12/17訪問控制列表配置的注意事項（1）注意訪問控制列表中語句的次序，盡量把作用范圍小的語句放在前面。（2）新的表項只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問控制列表，然后創(chuàng)建一個新訪問控制列表，將新訪問控制列表用到相應的接口上。（3）標準的IP訪問控制列表只匹配源地址，一般都使用擴展的IP訪問控制列表以達到精確的要求。（4）標準的訪問控制列表盡量靠近目的，擴展的訪問控制列表盡量靠近過濾源的位置，以免訪問控制列表影響其他接口上的數(shù)據(jù)流。（5）在應用訪問控制列表時，要特別注意過濾的方向。（6）在編號ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫全面。12/22/202265訪問控制列表配置的注意事項（1）注意訪問控制列表中語句的次配置標準IP訪問控制列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard-maskaccess-list-number的范圍是1~99訪問控制列表的動作：denylpermit12/22/202266配置標準IP訪問控制列表access-listacces應用訪問控制列表到接口Ipaccess-groupaccess-list-numberin|out訪問控制列表只有被應用到某個接口才能達到報文過濾的目的。接口上通過的報文有兩個方向，一個是通過接口進入路由器的報文，即in方向的報文，一個是通過接口離開路由器的報文，即out方向的報文，out也是訪問控制列表的默認方向。12/22/202267應用訪問控制列表到接口Ipaccess-groupac顯示訪問控制列表配置Showaccess-list[access-list-number]其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號的訪問控制列表配置細節(jié)，如果不指定則顯示所有訪問控制列表的配置細節(jié)。12/22/202268顯示訪問控制列表配置Showaccess-list[ac例8-1請在如圖8-3所示的路由器上配置ACL，實現(xiàn)PC1不能訪問網(wǎng)段，而PC2能訪問（假設各路由器各接口已配置好，并全網(wǎng)已連通）。

12/22/202269例8-1請在如圖8-3所示的路由器上配置ACL，實現(xiàn)PC1擴展IP訪問控制列表的配置access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcard-masksource-portdestination-addressdestination-wildcard-maskdestination-portlogoptions擴展IP訪問控制列表的編號范圍為100～199訪問控制列表的動作：permit或deny協(xié)議：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號：端口號的范圍是0~6553512/22/202270擴展IP訪問控制列表的配置access-listacce端口范圍運算符運算符及其語法描述例eqportnumber等于，用于指定單個的端口eq21或eqftpgtportnumber大于，用于指定大于某個端口的一個端口范圍gt1024ltportnumber小于，用于指定小于某個端口的一個端口范圍lt1024neqportnumber不等于，用于指定除了某個端口以外的所有端口neq21rangeportnumber1portnumber2指位于兩個端口號間的一個端口范圍range13514512/22/202271端口范圍運算符運算符及其語法描述例eqportn命名訪問控制列表的引入不管是標準IP訪問控制列表，還是擴展的IP訪問控制列表，其編號的范圍都不超過100個，這樣，就可能出現(xiàn)編號不夠用的情況；還有就是僅用編號區(qū)分的訪問控制列表不便于網(wǎng)絡管理員對訪問控制列表作用的識別。命名IP訪問控制列表是通過一個名稱而不是一個編號來引用的。命名的訪問控制列表可用于標準的和擴展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長度為100個字符。12/22/202272命名訪問控制列表的引入不管是標準IP訪問控制列表，還是擴展編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別（1）名字能更直觀地反映出訪問控制列表完成的功能。（2）命名訪問控制列表突破了99個標準訪問控制列表和100個擴展訪問控制列表的數(shù)目限制，能夠定義更多的訪問控制列表。（3）單個路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。（4）命名訪問控制列表是一個全局命令，它將使用者進入到命名IP列表的子模式，在該子模式下建立匹配和允許／拒絕動作的相關(guān)語句。（5）命名IP訪問控制列表允許刪除個別語句，當一個命名訪問控制列表中的語句要被刪除時，只需將該語句刪除即可，而編號訪問控制列表中則需要將訪問控制列表中的所有語句刪除后再重新輸入。（6）命名訪問控制列表的命令為ipaccess-list，在命令中用standard和extended來區(qū)別標準訪問控制列表和擴展訪問控制列表，而編號訪問控制列表的配置命令為access-list，并用編號來區(qū)別標準和擴展。12/22/202273編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別（1）創(chuàng)建標準命名IPACL的步驟（1）configureterminal進入全局配置模式。（2）ipaccess-liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進入access-list配置模式。（3）deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定報文是轉(zhuǎn)發(fā)或還是丟棄。hostsource代表一臺源主機，any代表任意主機。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。12/22/202274創(chuàng)建標準命名IPACL的步驟（1）configurete例8-3在三層交換機上進行ACL設置，以實現(xiàn)VLAN10的主機不能與VLAN30內(nèi)的主機進行通信，能與VLAN20內(nèi)的主機進行通信，而VLAN20可以和VLAN30的主機進行通信。12/22/202275例8-3在三層交換機上進行ACL設置，以實現(xiàn)VLAN10的命名擴展IP訪問控制列表配置（1）configureterminal進入全局配置模式。（2）ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進入access-list配置模式。（3）{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，聲明一個或多個的允許通過（permit）或丟棄（deny）的條件以用于決定匹配條件的報文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。操作符（operator）只能為eq。如果操作符在sourcesource-wildcard之后，則報文的源端口匹配指定值條件生效。如果操作符在destinationdestination-wildcard之后，則報文的目的端口匹配指定值條件生效。port為十進制值，它代表TCP或UDP的端口號，值范圍為0～65535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。（4）end退回到特權(quán)模式。（5）showaccess-lists[name]顯示該接入訪問控制列表，如果不指定name參數(shù)，則顯示所有接入訪問控制列表。12/22/202276命名擴展IP訪問控制列表配置（1）configurete基于時間的訪問控制列表基于時間的訪問控制列表能夠應用于編號訪問控制列表和命名訪問控制列表。為了實現(xiàn)基于時間的ACL功能，首先應定義一個Time-range接口來指明日期時間范圍，與其他接口一樣，Time-range接口通過名稱來標識。然后，將Time-range接口與對應的ACL關(guān)聯(lián)起來，這是通過在ACL中用Time-range引用時間范圍實現(xiàn)的。12/22/202277基于時間的訪問控制列表基于時間的訪問控制列表能夠應用于編號路由器時鐘設置路由器時鐘設置在特權(quán)模式下進行，分為兩步：首先設置系統(tǒng)日期時間，然后用當前系統(tǒng)時鐘更新路由器實時時鐘。配置命令為：Clocksethh:mm:ssdaymonthyear //設置系統(tǒng)日期時間Clockupdate-calender //更新路由器實時時鐘12/22/202278路由器時鐘設置路由器時鐘設置在特權(quán)模式下進行，分為兩步：首定義Time-range接口time-rangetime-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為Time-range接口的名稱，接口名稱長度為1～32個字符，中間不能有空格。Time-range接口命名后，就進入了時間定義模式，在此模式中還要使用absolute和periodic兩個命令定義具體的時間范圍。值得注意的是，一個時間范圍只能包括一個absolute絕對時間范圍和多個周期時間范圍。12/22/202279定義Time-range接口time-rangetim定義絕對時間范圍Absolute[startstart-ttmestart-date][endend-timeend-date]star-time、end-time分別用于指定開始和結(jié)束時間，使用24小時表示，其格式為“小時：分鐘”，start-date和end-date分別用于指定開始的日期和結(jié)束的日期，使用日/月/年的時間格式，而不是通常采用的月/日/年格式，這一點必須注意。命令中的start和end關(guān)鍵字都是可選的。當省略start及其后面的時間、日期時，表示與之相聯(lián)系的ACL語句立即生效，并一直作用到end處的時間、日期為止；當省略end及其后面的時間，表示與之相聯(lián)系的ACL語句在start處表示的時間、日期開始生效，并且永遠發(fā)生作用，當然把訪問控制列表刪除了的話就不會起作用了。12/22/202280定義絕對時間范圍Absolute[startstart常用的時間定義形式時間定義描述Absolutestart17:00Absolutestart17:001decemdber2000Absoluteend17:00Absoluteend17:00ldecemdber2000Absolutestart8:00end20:00Absolutestart17:001decemdber2000end5:0031decemdber2000從配置的當天17:00開始直到永遠從2000年12月1日17:00開始直到永遠從配置時開始直到當天的17:00結(jié)束從配置時開始直到2000年12月1日17:00結(jié)束從8點開始到20點結(jié)束從2000年12月1日17:00開始直到2000年12月31日5:00結(jié)束12/22/202281常用的時間定義形式時間定義描述Abso定義周期、重復使用的時間范圍

Periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來定義時間范圍的一個命令。它可以使用大量的參數(shù)，其范圍可以是一個星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。12/22/202282定義周期、重復使用的時間范圍Periodicdays-operiodic中的參數(shù)參數(shù)描述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日12/22/202283periodic中的參數(shù)參數(shù)描述Monda常用的時間范圍定義形式時間范圍定義描述Periodicweekend7:00to19:00Periodicweekday8:00to17:00Periodicdaily7:00to17:00Periodicstaturday17:00toMonday7:00PeriodicMondayFriday7:00to20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:0012/22/202284常用的時間范圍定義形式時間范圍定義描述Period應用時間訪問控制列表的注意事項

由于使用帶時間范圍的訪問控制列表依賴于路由器的系統(tǒng)時鐘，所以要保證路由器時鐘設置的準確性。在time-range范圍命令中同時使用absolute和periodic語句12/22/202285應用時間訪問控制列表的注意事項由于使用帶時間范圍的訪問控制例8-5要求從2019年1月1日起在每周工作時間段8:00到18:00內(nèi)禁止網(wǎng)段的主機訪問HTTP的數(shù)據(jù)流。12/22/202286例8-5要求從2019年1月1日起在每周工作時間段8:00交換機端口安全利用交換機的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)端口的安全地址綁定12/22/202287交換機端口安全利用交換機的端口安全功能可以防止局域網(wǎng)大部分的交換機端口安全如果一個端口被配置為一個安全端口，當其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后;如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。

當安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。RestrictTrap：當違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdo