第4章路由器安全管理

4.1Telnet會(huì)話管理4.1.1呼出Telnet會(huì)話管理

圖4-1遠(yuǎn)程登錄第一頁(yè)，共37頁(yè)。第一頁(yè)，共37頁(yè)。使用主機(jī)名直接遠(yuǎn)程登錄

第二頁(yè)，共37頁(yè)。第二頁(yè)，共37頁(yè)。當(dāng)?shù)顷懙侥繕?biāo)主機(jī)后，可使用以下命令斷開當(dāng)前Telnet回話：exit，回到本地設(shè)備；

不退出當(dāng)前回話連接而暫時(shí)回到原設(shè)備：Ctrl+Shift+6+x；第三頁(yè)，共37頁(yè)。第三頁(yè)，共37頁(yè)。顯示呼出Telnet會(huì)話

第四頁(yè)，共37頁(yè)。第四頁(yè)，共37頁(yè)。斷開呼出Telnet會(huì)話

此斷開回話是從本地?cái)嚅_到目標(biāo)本機(jī)的telnet回話。disconnect命令第五頁(yè)，共37頁(yè)。第五頁(yè)，共37頁(yè)。同時(shí)發(fā)起多個(gè)Telnet會(huì)話

第六頁(yè)，共37頁(yè)。第六頁(yè)，共37頁(yè)。返回某次Telnet會(huì)話過(guò)程

第七頁(yè)，共37頁(yè)。第七頁(yè)，共37頁(yè)。斷開指定Telnet連接

第八頁(yè)，共37頁(yè)。第八頁(yè)，共37頁(yè)。4.1Telnet會(huì)話管理4.1.2呼入Telnet會(huì)話管理

第九頁(yè)，共37頁(yè)。第九頁(yè)，共37頁(yè)。采用相對(duì)線號(hào)斷開遠(yuǎn)程Telnet連接

第十頁(yè)，共37頁(yè)。第十頁(yè)，共37頁(yè)。用絕對(duì)線號(hào)斷開遠(yuǎn)程Telnet連接

第十一頁(yè)，共37頁(yè)。第十一頁(yè)，共37頁(yè)。4.2訪問(wèn)控制列表——ACL

4.2.1訪問(wèn)控制列表概述1．訪問(wèn)控制列表訪問(wèn)控制列表是控制流入、流出路由器數(shù)據(jù)包的一種方法。它通過(guò)在數(shù)據(jù)流入或流出路由器時(shí)進(jìn)行檢查、過(guò)濾達(dá)到流量管理的目的，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備和服務(wù)器的關(guān)鍵作用。是一個(gè)有序的語(yǔ)句集合，它通過(guò)匹配報(bào)文信息與訪問(wèn)列表參數(shù)來(lái)允許報(bào)文或拒接報(bào)文通過(guò)某個(gè)接口。第十二頁(yè)，共37頁(yè)。第十二頁(yè)，共37頁(yè)。2．配置訪問(wèn)控制列表步驟：Step1：定義允許或禁止報(bào)文的描述語(yǔ)句（訪問(wèn)列表）；Step2：將訪問(wèn)列表應(yīng)用到路由器的具體接口（應(yīng)用訪問(wèn)組）。第十三頁(yè)，共37頁(yè)。第十三頁(yè)，共37頁(yè)。表4-1通過(guò)編號(hào)指定的訪問(wèn)列表所支持的協(xié)議

協(xié)議范圍標(biāo)準(zhǔn)IP協(xié)議1～99擴(kuò)展IP協(xié)議100～199Ethernet類型碼200～299DECnet300～399XNS400～499擴(kuò)展XNS500～599AppleTalk600～699Ethernet地址700～799IPX800～899擴(kuò)展IPX900～999IPXSAP1000～1099MAC1100～1199IPX匯總地址1200～1299標(biāo)準(zhǔn)IP協(xié)議：1300～1999（IOSv12.0andlater）擴(kuò)展IP協(xié)議：2000～2699（IOSv12.0andlater）第十四頁(yè)，共37頁(yè)。第十四頁(yè)，共37頁(yè)。IP訪問(wèn)控制列表：標(biāo)準(zhǔn)IP訪問(wèn)控制列表：僅依據(jù)IP數(shù)據(jù)包的源地址決定是否過(guò)濾數(shù)據(jù)包；擴(kuò)展IP訪問(wèn)控制列表：不但可以檢查源地址、目標(biāo)地址，而且可以檢查源和目標(biāo)的端口號(hào)等字段。第十五頁(yè)，共37頁(yè)。第十五頁(yè)，共37頁(yè)。4.2訪問(wèn)控制——ACL

4.2.2標(biāo)準(zhǔn)ACL配置方法

1．標(biāo)準(zhǔn)IP訪問(wèn)控制列表語(yǔ)句ACCESS-LISTaccess-list-number{DENY|PERMIT|REMARK}{SOURCE[source-wildcard]|ANY}access-list-number列表號(hào)碼，范圍1~99之間DENY|PERMIT指出該訪問(wèn)控制列表是允許還是拒絕數(shù)據(jù)包SOURCE[source-wildcard]|ANY主機(jī)或網(wǎng)絡(luò)的源地址，或者是任何主機(jī)注意：要匹配某個(gè)主機(jī)則需要輸入該主機(jī)的IP地址；若要匹配某個(gè)網(wǎng)絡(luò)，則需要輸入網(wǎng)絡(luò)號(hào)，后面跟上通配符掩碼。通配符掩碼為“1”，表示IP地址的對(duì)應(yīng)位可以是1也可以是0，若通配符掩碼為“0”，則表示IP地址對(duì)應(yīng)位必須被精確匹配。例如：55表示前三位域必須是210.31.10，最后一個(gè)位域什么值都可以（1~255）第十六頁(yè)，共37頁(yè)。第十六頁(yè)，共37頁(yè)。2．IP訪問(wèn)控制組語(yǔ)句（首先進(jìn)入路由器的某個(gè)接口）

IPACCESS-GROUPaccess-list-number{IN|OUT}access-list-number列表號(hào)碼，范圍1~99之間IN|OUT表示對(duì)流入海是流出路由器的數(shù)據(jù)包進(jìn)行檢查4.2訪問(wèn)控制——ACL

第十七頁(yè)，共37頁(yè)。第十七頁(yè)，共37頁(yè)。標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置實(shí)例1

第十八頁(yè)，共37頁(yè)。第十八頁(yè)，共37頁(yè)。標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置Ra#conftRa(config)#access-list1permithost0Ra(config)#access-list1denyanyRa(config)#interfaceethernet0Ra(config-if)#ipaccess-group1in第十九頁(yè)，共37頁(yè)。第十九頁(yè)，共37頁(yè)。標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置實(shí)例2

第二十頁(yè)，共37頁(yè)。第二十頁(yè)，共37頁(yè)。Ra#conftRa(config)#access-list1permithost55Ra(config)#access-list1denyanyRa(config)#interfaceserial0Ra(config-if)#ipaccess-group1out第二十一頁(yè)，共37頁(yè)。第二十一頁(yè)，共37頁(yè)。4.2訪問(wèn)控制——ACL

4.2.3擴(kuò)展ACL配置方法

1．?dāng)U展IP訪問(wèn)控制列表語(yǔ)句ACCESS-LISTaccess-list-number{DENY|PERMIT|REMARK}protocolsourcesource-wildcarddestinationdestination-wildcardoptionaccess-list-number列表號(hào)碼，范圍100~199之間Protocol指明要匹配使用的協(xié)議2．IP訪問(wèn)控制組語(yǔ)句

IPACCESS-GROUPaccess-list-number{IN|OUT}第二十二頁(yè)，共37頁(yè)。第二十二頁(yè)，共37頁(yè)。擴(kuò)展IP訪問(wèn)控制列表配置實(shí)例第二十三頁(yè)，共37頁(yè)。第二十三頁(yè)，共37頁(yè)。Rb#conftRb(config)#access-list101permittcp55host1eqtelent(23)Rb(config)#access-list101permittcp55host1eq)Rb(config)#access-list101permiticmp55anyRb(config)#access-list101denyipanyanyRb(config)#interfaceserial0Rb(config-if)#ipaccess-group101out第二十四頁(yè)，共37頁(yè)。第二十四頁(yè)，共37頁(yè)。需要注意的問(wèn)題在訪問(wèn)控制列表中除了可以用eq關(guān)鍵字指出單一的端口號(hào)外，也可以規(guī)定端口號(hào)范圍。

例如：gt1024表示端口號(hào)大于1024；用lt1024表示端口號(hào)小于1024；range100200則表示端口號(hào)介于100和200之間。在每個(gè)訪問(wèn)控制列表的底端都可以有一個(gè)默認(rèn)的DENYANY。所以，建議在每個(gè)訪問(wèn)控制列表的最后一條語(yǔ)句明確地指出對(duì)其余通信量的出來(lái)方式。第二十五頁(yè)，共37頁(yè)。第二十五頁(yè)，共37頁(yè)。4.2訪問(wèn)控制——ACL

4.2.4命名訪問(wèn)控制列表

1．標(biāo)準(zhǔn)命名訪問(wèn)控制列表

ipaccess-liststandardaclname

ipaccess-groupaclname[in|out]2．?dāng)U展命名訪問(wèn)控制列表ipaccess-listextendedaclname

ipaccess-groupaclname[in|out]3．命名訪問(wèn)控制列表的修改第二十六頁(yè)，共37頁(yè)。第二十六頁(yè)，共37頁(yè)。4.2.5．ACL日志

第二十七頁(yè)，共37頁(yè)。第二十七頁(yè)，共37頁(yè)。ACL語(yǔ)句中的關(guān)鍵字“l(fā)og”及其作用

第二十八頁(yè)，共37頁(yè)。第二十八頁(yè)，共37頁(yè)。4.3路由器的安全管理

4.3.1本地登錄認(rèn)證圖4-23配置本地登錄認(rèn)證

第二十九頁(yè)，共37頁(yè)。第二十九頁(yè)，共37頁(yè)。4.3路由器的安全管理

4.3.1本地登錄認(rèn)證圖4-24本地登錄認(rèn)證第三十頁(yè)，共37頁(yè)。第三十頁(yè)，共37頁(yè)。4.3.2訪問(wèn)類語(yǔ)句

圖4-25限制對(duì)路由器的管理性訪問(wèn)

第三十一頁(yè)，共37頁(yè)。第三十一頁(yè)，共37頁(yè)。4.3.2訪問(wèn)類語(yǔ)句

圖4-26進(jìn)行VTY訪問(wèn)控制

第三十二頁(yè)，共37頁(yè)。第三十二頁(yè)，共37頁(yè)。4.3.3HTTP/HTTPS

1．HTTP管理方式

圖4-29HTTP訪問(wèn)本地認(rèn)證配置

圖4-31限制HTTP訪問(wèn)位置圖4-33關(guān)閉路由器上的HTTP服務(wù)

第三十三頁(yè)，共37頁(yè)。第三十三頁(yè)，共37頁(yè)。4.3.3HTTP/HTTPS

2．HTTPS管理方式

圖4-34配置路由器支持HTTPS訪問(wèn)方式第三十四頁(yè)，共37頁(yè)。第三十四頁(yè)，共37頁(yè)。4.3.4SSH

圖