《計(jì)算機(jī)網(wǎng)絡(luò)安全與管理實(shí)踐》課件-第2章

第2章網(wǎng)絡(luò)訪問控制技術(shù)任務(wù)1企業(yè)網(wǎng)基本訪問控制任務(wù)2企業(yè)網(wǎng)高級訪問控制

任務(wù)1企業(yè)網(wǎng)基本訪問控制

一、任務(wù)描述某公司有兩個(gè)部門：市場部和產(chǎn)品部。該公司在網(wǎng)絡(luò)中構(gòu)建了一臺FTP服務(wù)器，該FTP服務(wù)器上存儲了大量的市場相關(guān)信息，非常重要，只允許該公司的市場部員工訪問，而產(chǎn)品部員工不能訪問，并要求兩個(gè)部門之間能相互通信，請你規(guī)劃并實(shí)施網(wǎng)絡(luò)。該公司組織結(jié)構(gòu)如圖2-1所示。圖2-1公司組織結(jié)構(gòu)

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

針對該公司的網(wǎng)絡(luò)需求，進(jìn)行基本的網(wǎng)絡(luò)訪問控制，實(shí)現(xiàn)對網(wǎng)絡(luò)資源的訪問控制。

2.任務(wù)目的

通過本任務(wù)進(jìn)行路由器的基本配置、基本訪問控制列表(ACL，AccessControlLists)配置，以幫助讀者深入了解路由器的配置方法、基本ACL配置方法，具備靈活運(yùn)用基本ACL技術(shù)提高網(wǎng)絡(luò)安全的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

該公司辦公區(qū)共有2個(gè)部門：市場部和產(chǎn)品部。每個(gè)部門配置不同數(shù)量的計(jì)算機(jī)。網(wǎng)絡(luò)需滿足幾個(gè)需求：采用當(dāng)前主流技術(shù)構(gòu)建網(wǎng)絡(luò)，部門內(nèi)部能實(shí)現(xiàn)相互通信，要求網(wǎng)絡(luò)具

有較高的可管理性、安全性；部門之間都能實(shí)現(xiàn)相互訪問；并要求只有市場部員工能訪問FTP服務(wù)器，而產(chǎn)品部員工不能訪問FTP服務(wù)器。部門計(jì)算機(jī)的具體分布如表2-1所示。

2.需求分析

需求1：采用當(dāng)前主流技術(shù)構(gòu)建網(wǎng)絡(luò)，部門內(nèi)部能實(shí)現(xiàn)相互通信，具有較高的可管理性、安全性。

分析1：采用交換式以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)，利用VLAN技術(shù)將相同部門劃入相同

VLAN，不同部門劃分為不同VLAN。

需求2：不同部門之間能相互通信。

分析2：利用路由器單臂路由技術(shù)實(shí)現(xiàn)部門之間的相互通信。

需求3：市場部能夠訪問文件服務(wù)器，產(chǎn)品部不能訪問文件服務(wù)器FTP。

分析3：利用基本訪問控制技術(shù)拒絕產(chǎn)品部員工訪問文件服務(wù)器FTP。

根據(jù)任務(wù)需求和需求分析，組建公司辦公區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)如圖2-2所示，每部門用一臺計(jì)算機(jī)表示。

圖2-2公司辦公區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.交換技術(shù)

局域網(wǎng)交換技術(shù)是在傳統(tǒng)以太網(wǎng)技術(shù)的基礎(chǔ)上發(fā)展而來的，隨著局域網(wǎng)范圍的擴(kuò)大和網(wǎng)絡(luò)通信技術(shù)的發(fā)展，目前在企業(yè)網(wǎng)絡(luò)中以太網(wǎng)交換技術(shù)是網(wǎng)絡(luò)發(fā)展中非常活躍的部分，

交換技術(shù)在局域網(wǎng)中處于非常重要的地位。

2.虛擬局域網(wǎng)(VLAN)

VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)，這些網(wǎng)段內(nèi)的機(jī)器有著共同的需求而與物理位置無關(guān)，如圖2-3所示。圖2-3VLAN結(jié)構(gòu)示意圖

1)基于端口的VLAN

顧名思義，基于端口的VLAN就是明確指定各端口屬于哪個(gè)VLAN的設(shè)定方法。基于端口的VLAN的劃分簡單、有效，但其缺點(diǎn)是當(dāng)用戶從一個(gè)端口移動(dòng)到另一個(gè)端口時(shí)，網(wǎng)絡(luò)管理員必須對VLAN成員進(jìn)行重新配置。這是最常應(yīng)用的一種VLAN劃分方法，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置和劃分方法，如圖2-4所示。圖2-4基于端口的VLAN

2)基于MAC的VLAN

這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分的，即對每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，

VLAN交換機(jī)跟蹤屬于VLANMAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份，如圖2-5所示。圖2-5基于MAC的VLAN

3)基于子網(wǎng)的VLAN

根據(jù)主機(jī)所屬的IP子網(wǎng)來劃分VLAN，即對每個(gè)IP子網(wǎng)的主機(jī)都配置屬于哪個(gè)組，無論結(jié)點(diǎn)處于哪一個(gè)物理網(wǎng)段，都可以以它們的IP地址為基礎(chǔ)或根據(jù)報(bào)文協(xié)議的不同來劃

分子網(wǎng)，如圖2-6所示，這使得網(wǎng)絡(luò)管理和應(yīng)用變得更加方便。圖2-6基于子網(wǎng)的VLAN

4)基于協(xié)議的VLAN

按網(wǎng)絡(luò)層協(xié)議來劃分，VLAN可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，也不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的。

3.單臂路由

單臂路由(Router-On-a-Stick)是指在路由器的一個(gè)接口上通過配置子接口(或“邏輯接口”并不存在真正物理接口)的方式，實(shí)現(xiàn)原來相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通。

單臂路由的優(yōu)點(diǎn)是：實(shí)現(xiàn)不同VLAN之間的通信，有助于理解、學(xué)習(xí)VLAN原理和子接口概念。其缺點(diǎn)是：容易成為網(wǎng)絡(luò)單點(diǎn)故障，配置稍有復(fù)雜，只適合小型企業(yè)網(wǎng)絡(luò)。

4.訪問控制列表(ACL)技術(shù)

1)訪問控制列表的基本概念

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全重要的核心策略之一。

ACL是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等特定指示條件來決定。訪問控制列表從概念上來講并不復(fù)雜，復(fù)雜的是對它的配置和使用。

2)訪問控制列表的分類

訪問控制列表的類型主要有以下幾種。

(1)標(biāo)準(zhǔn)IP訪問控制列表。

(2)擴(kuò)展IP訪問控制列表。

(3)命名的IP訪問控制列表。

H3C網(wǎng)絡(luò)設(shè)備對于訪問控制列表的分類，如表2-2所示。

3)訪問控制列表的原理

訪問控制列表由一系列規(guī)則構(gòu)成，通過規(guī)則對進(jìn)出的數(shù)據(jù)包逐個(gè)過濾。ACL部署應(yīng)用實(shí)例如圖2-7所示。圖2-7ACL部署應(yīng)用實(shí)例

通過ACL過濾的數(shù)據(jù)包將交由路由器去處理：或丟棄，或允許通過。ACL必須應(yīng)用于接口上，可以在每個(gè)接口的出入雙向分別過濾(Inbound、Outbound)，僅當(dāng)數(shù)據(jù)包經(jīng)過一

個(gè)接口時(shí)，才能被此接口的此方向的ACL過濾，通過的數(shù)據(jù)包交給路由轉(zhuǎn)發(fā)進(jìn)程進(jìn)行轉(zhuǎn)發(fā)。ACL入站包過濾工作流程如圖2-8所示。圖2-8ACL入站包過濾工作流程

ACL出站包過濾工作流程如圖2-9所示。圖2-9ACL出站包過濾工作流程

4)基本訪問控制列表的原理

基本ACL只能根據(jù)IP數(shù)據(jù)包里的源IP地址對數(shù)據(jù)實(shí)施過濾?；続CL工作原理如圖2-10所示。圖2-10基本ACL工作原理

5)ACL部署原則

(1)每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向只允許配置一個(gè)訪問列表。這意味著如果創(chuàng)建了IP訪問列表，每個(gè)接口只能有一個(gè)入口訪問列表和一個(gè)出口訪問列表。

(2)組織好訪問列表，要將更嚴(yán)格的測試陳述放在訪問列表的最前面。

(3)任何時(shí)候訪問列表添加新條目時(shí)，路由器將把新添加的條目放置在列表的最末尾。強(qiáng)烈推薦用文本編輯器先編輯好訪問列表然后再復(fù)制訪問列表到命令行。

(4)不能從訪問列表中刪除一行，如果這樣做，將刪除整個(gè)列表。使用命名訪問列表時(shí)例外。

(5)除非在訪問列表末尾有permitany命令，否則所有和列表測試條件都不符合的數(shù)據(jù)包將被丟棄。

(6)先創(chuàng)建訪問列表，然后將列表應(yīng)用到某個(gè)接口。

(7)將標(biāo)準(zhǔn)訪問列表盡可能地放置在靠近目的地址的位置。

(8)將擴(kuò)展訪問列表盡可能地放置在靠近源地址的位置。

(9)訪問列表設(shè)計(jì)為過濾通過路由器的流量，但不過濾路由器產(chǎn)生的流量。

5.配置命令

路由器的基本管理方式和配置模式與交換機(jī)類似，請參照第3章交換機(jī)的配置模式和配置命令。H3C系列和Cisco系列路由器上配置單臂路由和基本ACL協(xié)議的相關(guān)命令，如表2-3所示。

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖2-11所示圖2-11實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表2-4所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表2-5所示。

VLAN規(guī)劃

根據(jù)需求分析，本任務(wù)的VLAN規(guī)劃如表2-6所示。

2.實(shí)施步驟

(1)根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PC1、PC2、PC3的IP

地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等相關(guān)參數(shù)。

(2)使用計(jì)算機(jī)Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機(jī)的配置界面，其中，超級終端串口的屬性設(shè)置還原為默認(rèn)值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗(yàn)無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進(jìn)行任務(wù)的相關(guān)配置。

(4)Sw1主要配置清單如下：

(5)R1主要配置清單如下：

(6)FTP服務(wù)器搭建。

FTP服務(wù)器的搭建請參考其他相關(guān)資料，此處略。

六、任務(wù)驗(yàn)收

1.設(shè)備驗(yàn)收

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖檢查、驗(yàn)收路由器、計(jì)算機(jī)的線纜連接，檢查PC1、PC2、FTP服務(wù)器的IP地址。

2.配置驗(yàn)收

3.功能驗(yàn)收

(1)在PC1上通過瀏覽器輸入，可以正常訪問，如圖2-12所示。圖2-12市場部能正常訪問FTP服務(wù)器

(2)在PC2上通過瀏覽器輸入，則不能訪問，如圖2-13所示。圖2-13產(chǎn)品部無法訪問FTP服務(wù)器

七、任務(wù)總結(jié)

針對某公司辦公區(qū)網(wǎng)絡(luò)改造任務(wù)的內(nèi)容和目標(biāo)，根據(jù)需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施，本任務(wù)進(jìn)行了路由器基本訪問控制列表ACL的配置實(shí)訓(xùn)。

任務(wù)2企業(yè)網(wǎng)高級訪問控制

一、任務(wù)描述某公司有兩個(gè)部門：市場部和產(chǎn)品部。該公司購買了一臺服務(wù)器，在網(wǎng)絡(luò)中部署兩個(gè)應(yīng)用服務(wù)：WWW服務(wù)和FTP服務(wù)。從安全和可管理角度考慮，要求市場部能夠訪問FTP服務(wù)器，不能夠訪問WWW服務(wù)器；產(chǎn)品部能夠訪問WWW服務(wù)器，不能訪問FTP服務(wù)器，并要求兩個(gè)部門之間能相互通信。請你規(guī)劃并實(shí)施網(wǎng)絡(luò)。該公司組織結(jié)構(gòu)如圖2-14所示。圖2-14公司組織結(jié)構(gòu)

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

針對該公司網(wǎng)絡(luò)需求，進(jìn)行高級網(wǎng)絡(luò)訪問控制，實(shí)現(xiàn)對網(wǎng)絡(luò)資源更精細(xì)的訪問控制。

2.任務(wù)目的

通過本任務(wù)進(jìn)行路由器的基本配置、高級訪問控制列表(ACL)配置，以幫助讀者深入了解路由器的配置方法、高級ACL配置方法，具備靈活運(yùn)用高級ACL技術(shù)對網(wǎng)絡(luò)進(jìn)行更

精細(xì)化的控制，以提高網(wǎng)絡(luò)安全的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

該公司辦公區(qū)共有2個(gè)部門：市場部和產(chǎn)品部。每個(gè)部門配置不同數(shù)量的計(jì)算機(jī)。網(wǎng)絡(luò)需滿足幾個(gè)需求：采用當(dāng)前主流技術(shù)構(gòu)建網(wǎng)絡(luò)，部門內(nèi)部能實(shí)現(xiàn)相互通信，要求網(wǎng)絡(luò)具

有較高的可管理性、安全性；部門之間都能實(shí)現(xiàn)相互訪問；網(wǎng)絡(luò)中部署WWW、FTP兩種網(wǎng)絡(luò)應(yīng)用服務(wù)；要求市場部能夠訪問FTP服務(wù)器，不能夠訪問WWW服務(wù)器；產(chǎn)品部能夠訪問WWW服務(wù)器，不能訪問FTP服務(wù)器。部門具體計(jì)算機(jī)分布如表2-7所示。

2.需求分析

需求1：采用當(dāng)前主流技術(shù)構(gòu)建網(wǎng)絡(luò)，部門內(nèi)部能實(shí)現(xiàn)相互通信，具有較高的可管理性、安全性。

分析1：采用交換式以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)，利用VLAN技術(shù)將相同部門劃入相同VLAN，不同部門劃分為不同VLAN。

需求2：不同部門之間能相互通信。

分析2：利用路由器單臂路由技術(shù)實(shí)現(xiàn)部門之間的相互通信。

需求3：市場部能夠訪問FTP服務(wù)器，不能訪問WWW服務(wù)器；產(chǎn)品部能夠訪問WWW服務(wù)器，不能訪問FTP服務(wù)器。

分析3：利用高級訪問控制列表技術(shù)對網(wǎng)絡(luò)資源進(jìn)行精細(xì)化的訪問控制。

根據(jù)任務(wù)需求和需求分析，組建公司辦公區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)，如圖2-15所示，每部門以一臺計(jì)算機(jī)表示。

圖2-15公司辦公區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.高級訪問控制列表(ACL)技術(shù)

1)控制列表的基本概念

訪問控制列表由一系列有順序的規(guī)則組成。

訪問控制列表技術(shù)一般的應(yīng)用場合如下：

(1)包過濾防火墻功能：用于實(shí)現(xiàn)對訪問的限制。

(2)NAT技術(shù)：用于制定規(guī)則，確定哪些數(shù)據(jù)包需要轉(zhuǎn)換，哪些不需要。

(3)QoS技術(shù)：用于實(shí)現(xiàn)對數(shù)據(jù)分類，不同類型的數(shù)據(jù)提供不同的優(yōu)先級服務(wù)。

(4)路由策略和過濾：利用ACL規(guī)則來匹配路由信息中的相關(guān)參數(shù)，以實(shí)現(xiàn)路由過濾。

(5)按需撥號：利用ACL對數(shù)據(jù)進(jìn)行分類，只有相應(yīng)種類的數(shù)據(jù)能觸發(fā)路由器進(jìn)行PSTN/ISDN的撥號連接。

2)高級訪問控制列表的原理

高級訪問控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。高級訪問控制列表實(shí)現(xiàn)原理如圖2-16所示。

圖2-16高級訪問控制列表實(shí)現(xiàn)原理

2.配置命令

路由器的基本管理方式和配置模式與交換機(jī)類似，請參照第3章交換機(jī)的配置模式和配置命令。H3C系列和Cisco系列路由器上高級ACL協(xié)議的相關(guān)命令，如表2-8所示。

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)參數(shù)如圖2-17所示，以PC1、PC2、Server分別模擬公司的市場部、產(chǎn)品部、FTP和WWW服務(wù)器。圖2-17實(shí)訓(xùn)任務(wù)拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表2-9所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表2-10所示。

VLAN規(guī)劃

根據(jù)需求分析，本任務(wù)的VLAN規(guī)劃如表2-11所示。

2.實(shí)施步驟

(