《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)一 ACL配置

項(xiàng)目二任務(wù)一：訪問控制列表一、任務(wù)介紹二、訪問控制列表基礎(chǔ)三、標(biāo)準(zhǔn)訪問控制列表配置命令四、擴(kuò)展訪問控制列表配置命令五、任務(wù)配置六、數(shù)據(jù)流分析一、任務(wù)介紹

根據(jù)任務(wù)網(wǎng)絡(luò)拓?fù)浼霸L問控制要求，應(yīng)用標(biāo)準(zhǔn)IPV4ACL、擴(kuò)展IPV4ACL的實(shí)現(xiàn)任務(wù)要求，掌握IPV4ACL數(shù)據(jù)過濾、匹配過程，理解數(shù)據(jù)過濾規(guī)則相關(guān)參數(shù)含義，學(xué)會應(yīng)用IPV4ACL為企業(yè)構(gòu)建安全的訪問控制規(guī)則。二、訪問控制列表基本訪問控制列表（AccessControllist,ACL）主要應(yīng)用于包過濾器、路由器和防火墻等邊緣設(shè)備上，負(fù)責(zé)對于通過的IP數(shù)據(jù)包進(jìn)行過濾，阻止一些不想接收的外來數(shù)據(jù)、入侵和攻擊,現(xiàn)在也可應(yīng)用于交換機(jī)。二層接口三層接口（路由器接口、VLAN接口）四層端口Windows:cacls(ntfs)Linux:iptables/filters二、訪問控制列表基本二、訪問控制列表基本二、訪問控制列表基本二層封裝：源MAC地址目的MAC地址三層封裝:源IP地址目的IP地址協(xié)議號四層封裝：源端口號目的端口號二、訪問控制列表基本三層封裝詳解：服務(wù)類型（TOS）(8bit)TOS字段包括一個(gè)3bit的優(yōu)先權(quán)子字段、4bit的TOS子字段和1bit未用位；3bit的優(yōu)先權(quán)子字段取值可以從000-111所有值；4bit的TOS分別代表：最小時(shí)延、最大吞吐量、最高可靠性和最小費(fèi)用，4bit中只能置其中1bit，如果所有4bit均為0，那么就意味著是一般服務(wù)；未用位置0。協(xié)議號(8bits)

協(xié)議字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)是使用何種協(xié)議，以便使目的主機(jī)的IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個(gè)處理過程。協(xié)議字段告訴IP層應(yīng)當(dāng)如何交付數(shù)據(jù)。二、訪問控制列表基本二、訪問控制列表基本四層封裝詳解：序號（16bits）序號用來標(biāo)識從TCP發(fā)端向TCP收端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個(gè)報(bào)文段中的的第一個(gè)數(shù)據(jù)字節(jié)。標(biāo)識（6bits）URG緊急指針（urgentpointer）有效ACK確認(rèn)序號有效PSH接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層RST重建連接SYN同步序號用來發(fā)起一個(gè)連接FIN發(fā)端完成發(fā)送任務(wù)窗口（16bits）TCP的流量控制通過窗口機(jī)制實(shí)現(xiàn)，窗口大小為字節(jié)數(shù)，起始于確認(rèn)序號字段指明的值，這個(gè)值是接收端正期望接收的字節(jié)。二、訪問控制列表基本二、訪問控制列表基本ACL規(guī)則：提取各自頭部信息與規(guī)則匹配動作：允許：H3C默認(rèn)允許拒絕：CISCO默認(rèn)拒絕方向進(jìn)入輸出備注：VLANACL配置不指定方向二、訪問控制列表基本1、最小特權(quán)原則只給受控對象完成任務(wù)所必須的最小的權(quán)限，因?yàn)榭傄?guī)則是各個(gè)規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。

2、最靠近受控對象原則

檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。

3、默認(rèn)丟棄原則二、訪問控制列表基本注意事項(xiàng)在位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（例如Internet）交界處的防火墻路由器上使用ACL。在位于網(wǎng)絡(luò)兩個(gè)部分交界處的路由器上使用ACL，以控制進(jìn)出內(nèi)部網(wǎng)絡(luò)特定部分的流量。在位于網(wǎng)絡(luò)邊界的邊界路由器上配置ACL。這樣可以在內(nèi)外部網(wǎng)絡(luò)之間，或網(wǎng)絡(luò)中受控度較低的區(qū)域與敏感區(qū)域之間起到基本的緩沖作用。為邊界路由器接口上配置的每種網(wǎng)絡(luò)協(xié)議配置ACL。您可以在接口上配置ACL來過濾入站流量、出站流量或兩者。二、訪問控制列表基本一個(gè)ACL可以包含多個(gè)規(guī)則；ACL只過濾通過當(dāng)前設(shè)備的數(shù)據(jù)流，而不能過濾當(dāng)前設(shè)備發(fā)送的數(shù)據(jù)流；思科設(shè)備任何ACL都須至少包含一條允許語句，H3C設(shè)備ACL須至少包含一條拒絕語句；同一個(gè)ACL可被用于多個(gè)接口，在接口每個(gè)方向上只有一個(gè)ACL,且針對每種協(xié)議的規(guī)則只能有一個(gè)；具體條件放在一般條件之前。二、訪問控制列表基本3P原則每種協(xié)議(perprotocol)、每個(gè)方向(perdirection)、每個(gè)接口(perinterface)配置一個(gè)ACL：每種協(xié)議一個(gè)ACL要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL。每個(gè)方向一個(gè)ACL只能控制接口上一個(gè)方向的流量。要控制入站流量和出站流量，必須分別定義兩個(gè)ACL。每個(gè)接口一個(gè)ACL只能控制一個(gè)接口（例如快速以太網(wǎng)0/0）上的流量三、訪問控制列表配置命令思科設(shè)備兩種創(chuàng)建方式：基于列表號基于列表名稱H3C設(shè)備創(chuàng)建一種方式三、訪問控制列表配置命令思科設(shè)備基于列表號創(chuàng)建三、訪問控制列表配置命令三、訪問控制列表配置命令基于列表號的標(biāo)準(zhǔn)IPV4ACL創(chuàng)建Router(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]標(biāo)準(zhǔn)IPV4ACL僅匹配數(shù)據(jù)包的源IP地址信息，access-list-number范圍1~99或1300~1999Source:可以一個(gè)網(wǎng)絡(luò)或一臺主機(jī)，關(guān)鍵有host、any等三、訪問控制列表配置命令基于列表號的擴(kuò)展IPV4ACL創(chuàng)建Router(config)#access-listaccess-list-number[dynamicdynamic-name[timeout]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedence][tos][log][time-range][fragment]擴(kuò)展IPV4ACL匹配數(shù)據(jù)包的源IP地址、目的IP地址、源端口、目的端口、優(yōu)先級(precedence)、服務(wù)質(zhì)量類別(TOS)、應(yīng)用時(shí)間范圍(time-range)、分片等信息(fragment)，access-list-number范圍100~199或2000~2699protocol:用來確定需要過濾的數(shù)據(jù)包協(xié)議類型，包括IP、TCP、UDP、ICMP、GRE等。三、訪問控制列表配置命令基于列表號的擴(kuò)展IPV4ACL創(chuàng)建Precedence:Tos高三位（可選）三、訪問控制列表配置命令基于列表號的擴(kuò)展IPV4ACL創(chuàng)建服務(wù)類型:Tos中間四位（可選）三、訪問控制列表配置命令基于列表號的擴(kuò)展IPV4ACL創(chuàng)建log:匹配情況記錄（可選）Time-range:應(yīng)用時(shí)間范圍（可選）Fragments:應(yīng)用于分片包，不選用于原始包（可選）三、訪問控制列表配置命令基于名稱的擴(kuò)展IPV4ACL創(chuàng)建標(biāo)準(zhǔn)Router(config)#ipaccess-liststandardnameRouter(config)#{deny|permit}source[source-wildcard][log]擴(kuò)展Router(config)#ipaccess-listextendednameRouter(config)#{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedence][tos][established][log][time-range]三、訪問控制列表配置命令MACACL、VLANACL創(chuàng)建建議采用基于名稱的方式MACACL(例)Switch(config)#macaccess-listextendedmac1Switch(config-ext-mac1)#denyanyanynetbiosSwitch(config-ext-mac1)#permitanyanySwitch(config)#interfacefa0/0Switch(config)#macaccess-groupmac1inVLANACL(例)Switch(config)#ipaccess-listextendedip1Switch(config-ext-ip1)#permitanyanySwitch(config)#vlanaccess-mapmap_110#10遞增Switch(config-access-map)#mapipaddressip1Switch(config-access-map)#actiondropSwitch(config)#vlanfilterthorvlan-li