(9.13)-《路由器技術(shù)》第11章計算機網(wǎng)絡(luò)

11-保護三層子網(wǎng)通信安全【單元背景】三層交換技術(shù)通過Vlan以及子網(wǎng)技術(shù)，把大的網(wǎng)絡(luò)劃分為多個較小的廣播域的子網(wǎng)絡(luò)，各個Vlan間采用三層交換技術(shù)實現(xiàn)連通。網(wǎng)絡(luò)采用三層交換技術(shù)架構(gòu)，避免二層交換技術(shù)缺陷。在子網(wǎng)間采用安全訪問控制策略，能加強網(wǎng)絡(luò)整體安全，實現(xiàn)Vlan或三層子網(wǎng)之間安全訪問控制，決定哪些用戶數(shù)據(jù)流可以在Vlan或三層子網(wǎng)之間交換，最終到達核心層。三層網(wǎng)絡(luò)安全技術(shù)解決針對三層網(wǎng)絡(luò)中出現(xiàn)安全隱患，保證數(shù)據(jù)傳輸安全?！緦W(xué)習(xí)目標(biāo)】學(xué)習(xí)訪問控制列表技術(shù)安全實施原理配置標(biāo)準(zhǔn)ACL訪問規(guī)則，保護子網(wǎng)安全配置擴展ACL訪問規(guī)則，保護子網(wǎng)中服務(wù)安全學(xué)習(xí)命名訪問控制列表技術(shù)，優(yōu)化網(wǎng)絡(luò)安全配置實施Vlan間安全訪問控制11.1路由安全基礎(chǔ)在一個園區(qū)網(wǎng)絡(luò)中，如果三層網(wǎng)絡(luò)安全沒有保障，整個網(wǎng)絡(luò)也就毫無安全可言。在網(wǎng)絡(luò)管理上，必須對三層設(shè)備合理規(guī)劃、配置，采取必要安全措施，避免因三層網(wǎng)絡(luò)自身問題，給整個網(wǎng)絡(luò)系統(tǒng)帶來漏洞和風(fēng)險，如圖11-1顯示三層網(wǎng)絡(luò)中各種干擾和攻擊。11.2三層設(shè)備登錄安全配置路由器控制臺密碼：Router（config）#enablepasswordstar!表示輸入的是明文形式的口令Router（config）#enablesecretstar!表示輸入的是密文形式的口令在同一臺設(shè)備上，如果同時啟用兩種類型密碼，則Secret密文格式有優(yōu)先權(quán)。該命令的no命令格式，可以刪除指定級別的口令。Router（config）#noenablesecret。11.2三層設(shè)備登錄安全支持配置遠程登錄方式，在line配置模式下執(zhí)行以下命令：Ruijie#configureterminalRuijie（config）#linevty0！遠程登錄line線路進行認證口令Ruijie(config-line)#passwordpassword

！指定line線路口令Ruijie(config-line)#login！啟用line線路口令保護11.3訪問控制列表基礎(chǔ)1.什么是訪問控制列表訪問控制列表ACL（AccessControlList）技術(shù)是數(shù)據(jù)包過濾技術(shù)。通過對網(wǎng)絡(luò)中通過數(shù)據(jù)包過濾，實現(xiàn)網(wǎng)絡(luò)輸入和輸出訪問控制,如圖11-2顯示數(shù)據(jù)包過濾檢查過程。11.3訪問控制列表基礎(chǔ)配置在三層設(shè)備中ACL是一張規(guī)則檢查表，包含很多指令，告訴三層設(shè)備：接收哪些數(shù)據(jù)包，拒絕哪些數(shù)據(jù)包，如圖11-3所示。11.3訪問控制列表基礎(chǔ)如圖11-4顯示數(shù)據(jù)包過濾流程，三層設(shè)備按照ACL中指令順序，處理每一個進入數(shù)據(jù)包，對進入或流出數(shù)據(jù)過濾，ISP1、什么是訪問列表

Access-list：訪問控制列表，簡稱ACL

ACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進行數(shù)據(jù)包的過濾?！蘁TPRG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部門所屬VLAN不同12221112技術(shù)部VLAN20財務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪問列表3、訪問列表的組成

定義訪問列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步：將規(guī)則應(yīng)用在路由器（或交換機）的接口上

訪問控制列表的分類：1、標(biāo)準(zhǔn)訪問控制列表2、擴展訪問控制列表3、命名的訪問控制列表4、基于時間訪問控制列表5、專家級訪問控制列表

訪問控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù)4、訪問列表規(guī)則的應(yīng)用

路由器應(yīng)用訪問列表，對流經(jīng)接口的數(shù)據(jù)包進行控制：

1.入棧應(yīng)用（in）

2.出棧應(yīng)用（out）5、ACL的基本準(zhǔn)則

一切未被允許的就是禁止的。路由器或三層交換機缺省允許所有的信息流通過;

而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項開放。

按規(guī)則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配

從頭到尾，至頂向下的匹配方式

匹配成功馬上停止

立刻使用該規(guī)則的“允許、拒絕……”Y拒絕Y是否匹配

測試條件1?允許N拒絕允許是否匹配

測試條件2?拒絕是否匹配

最后一個

測試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N6、一個訪問列表多個測試條件

標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進行規(guī)則定義

擴展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進行規(guī)則定義7、ACL分類

標(biāo)準(zhǔn)的訪問列表只能根據(jù)源IP地址，進行數(shù)據(jù)包的過濾。例在校園網(wǎng)中，學(xué)生網(wǎng)段不可以訪問教研網(wǎng)段，但校領(lǐng)導(dǎo)網(wǎng)段可以訪問教研網(wǎng)段學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)訪問列表規(guī)則的定義（1）源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號列表IP標(biāo)準(zhǔn)訪問列表（2）1、定義標(biāo)準(zhǔn)ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩碼]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩碼]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>|{name}{in|out}access-list1permit

55(access-list1deny55)interfaceserial0ipaccess-group1outF0S0F1InternetIP標(biāo)準(zhǔn)訪問列表配置（3）只允許網(wǎng)絡(luò)中的計算機訪問互聯(lián)網(wǎng)絡(luò)IP標(biāo)準(zhǔn)訪問列表配置技術(shù)（4）

假使在我們的網(wǎng)絡(luò)管理過程中，要阻止網(wǎng)絡(luò)中地址為5的一臺主機通過E0訪問網(wǎng)絡(luò)，而允許其他的機器訪問網(wǎng)絡(luò)，可以通過如下操作Router（config）

#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in

0表示檢查相應(yīng)的地址比特

1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111100111111119、配置中的反掩碼（通配符）技術(shù)通配符掩碼是一個32比特位。在通配符掩碼位中，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。通配符掩碼與IP地址是成對出現(xiàn).通配符掩碼與子網(wǎng)掩碼工作原理是不同的。在IP子網(wǎng)掩碼中，數(shù)字1和0用來決定是網(wǎng)絡(luò)，還是主機的IP地址。如表示這個網(wǎng)段，使用通配符掩碼應(yīng)為55。在通配符掩碼用55表示所有IP地址，全為1說明所有32位都不檢查相應(yīng)的位，這是可以用any來取代。的通配符掩碼則表示所有32位都要進行匹配，這樣只表示一個IP地址，可以用host表示。10、ACL分類（2）-擴展的訪問列表

擴展的訪問列表

擴展ACL可以根據(jù)數(shù)據(jù)包內(nèi)的源、目的地址，應(yīng)用服務(wù)進行過濾。例教師網(wǎng)段可以訪問內(nèi)網(wǎng)的郵件服務(wù)器，而學(xué)生網(wǎng)不可以訪問，但可以訪問內(nèi)網(wǎng)的網(wǎng)站。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段郵件serverWEBserver目的地址源地址協(xié)議端口號100-199號列表TCP/UDP數(shù)據(jù)IP

eg.HDLCIP擴展訪問列表（1）IP擴展訪問列表的配置（2）1、定義擴展的ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議

源地址反掩碼

[源端口]目的地址反掩碼

[目的端口]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>|{name}{in|out}IP擴展訪問列表配置實例（3）

創(chuàng)建一條ExtendedIPACL，允許網(wǎng)絡(luò)內(nèi)所有主機，可以訪問HTTP服務(wù)器，但拒絕其它所有主機使用網(wǎng)絡(luò)。

Switch(config)#access-list111permittcp55hosteqwwwSwitch#showaccess-lists網(wǎng)絡(luò)實踐1：配置標(biāo)準(zhǔn)ACL規(guī)則，保護子網(wǎng)安全【任務(wù)場景】某校園網(wǎng)中由于沒有實施部門安全策略，出現(xiàn)學(xué)生登錄到教師網(wǎng)查看試卷情況。因此學(xué)校要求禁止學(xué)生宿舍網(wǎng)絡(luò)訪問教師網(wǎng)絡(luò)。如圖11-12所示辦公網(wǎng)絡(luò)場景?！驹O(shè)備清單】：路由器（1臺）、計算機（>=3臺）、

雙絞線（若干根）。【工作過程】(省略）網(wǎng)絡(luò)實踐2：配置擴展ACL，保護子網(wǎng)中應(yīng)用安全【任務(wù)場景】某學(xué)校教師網(wǎng)中搭建一臺FTP服務(wù)器，但出現(xiàn)學(xué)生登錄到教師網(wǎng)FTP網(wǎng)絡(luò)服務(wù)器查看試卷情況。因此，學(xué)校允許學(xué)生訪問教師網(wǎng)絡(luò)，但禁止學(xué)生訪問教師網(wǎng)中FTP服務(wù)器。如圖11-13所示的網(wǎng)絡(luò)拓撲是不允許學(xué)生訪問教師網(wǎng)中FTP服務(wù)器?！驹O(shè)備清單】：路由器（2臺）、計算機（>=3臺）、

雙絞線。【工作過程】(省略）11.6命名ACL技術(shù)編號的ACL使用數(shù)字對ACL命名，不能反映這個ACL實際功能，所以還提供命名ACL技術(shù)。在命名ACL中，使用字母或數(shù)字組合字符串，不僅形象描述該ACL功能，還可以方便修改、刪除。11.7標(biāo)準(zhǔn)命名ACL命名ACL同樣包括標(biāo)準(zhǔn)命名ACL和擴展命名ACL兩種，定義過濾的語句的方式及規(guī)則和編號ACL方式相似。以下在三層交換機上配置命名ACL語法。Switch(config)#ipaccess-liststandardtest1

！命名了標(biāo)準(zhǔn)訪問控制列表Switch(config-std-nacl)#deny55！拒絕的網(wǎng)絡(luò)Switch(config-std-nacl)#permitany！允許任何其他網(wǎng)絡(luò)訪問Switch(config-std-nacl)#exit

Switch(config)#int

s1/0！進入S1/0接口Switch(config-if)#ipaccess-grouptest1in！把命名ACL應(yīng)用到接口S1/011.8擴展命名ACL擴展命名ACL配置和編號ACL相似。以下是在三層交換機上，實施擴展命名ACL語法。Switch(config)#ipaccess-listextendedtest2

！定義命名擴展訪問控制列表Switch(config-ext-nacl)#denyicmp5555Switch（config-ext-nacl)#permitipanyany

！允許其他一切訪問

Switch(config)#int

f0/0Switch(config-if)#ipaccess-grouptest2o