第八章访问控制列表与端口安全

2020/4/8,第1页,第八章访问控制列表与端口安全,2020/4/8,第2页,本章课题,8.1 访问控制列表简介 8.2 编号访问控制列表配置 8.3 命名访问控制列表 8.4 基于时间访问的控制列表 8.5 端口安全,2020/4/8,第3页,网络安全隐患,（1）非人为的或自然力造成的故障、事故等。 （2）人为但属于操作人员无意的失误造成的数据丢失或损坏。 （3）来自园区网外部和内部人员的恶意攻击和破坏。,2020/4/8,第4页,,,,现有网络安全 防御体制,,IDS 68,杀毒软件 99,防火墙 98,ACL 71,现有网络安全体制,2020/4/8,第5页,,VPN 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,2020/4/8,第6页,什么是访问列表,,,,,,,ISP,,,,,√,IP Access-listIP访问列表或访问控制列表，简称IP ACL IP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。,2020/4/8,第7页,访问列表的作用,访问控制列表可以限制网络流量、提高网络性能、控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。在路由器或交换机的接口上配置访问控制列表后，可以对进出接口及通过接口中继的数据包进行安全检测。配置访问控制列表的目的主要基于以下两点。 （1）限制路由更新。 （2）限制网络访问。,2020/4/8,第8页,访问控制列表类型,标准IP访问控制列表 编号的标准IP访问控制列表 命名的标准IP访问控制列表 扩展IP访问控制列表 编号的扩展IP访问控制列表 命名的扩展IP访问控制列表,2020/4/8,第9页,ACL的一些相关特性,（1）每一个接口可以在进入（Inbound）和离开（Outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。 （2）ACL语句包括两个动作，一个是拒绝（Deny），一个是允许（Permit）。 （3）在路由器或交换机接口接收到报文时，应用在接口进入方向的ACL（内向ACL）起作用。 （4）在路由选择决定以后，数据准备从某一个接口输出报文时，应用在接口离开方向的ACL（外向ACL）起作用。 （5）每个ACL的结尾有一个隐含的deny all（拒绝的所有数据包）语句。因此，如果包不匹配ACL中的任何语句，将被拒绝。,2020/4/8,第10页,ACL的内向匹配过程,2020/4/8,第11页,ACL的外向匹配过程,2020/4/8,第12页,通配符掩码,2020/4/8,第13页,IP地址与通配符掩码的作用规则,IP地址与通配符掩码的作用规则是32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配，例如， IP地址 192.168.1.0 （相应的二进制为11000000 10101000 00000001 00000000） 通配符掩码 0.0.0.255 （相应的二进制为00000000 00000000 00000000 11111111） 该通配符掩码的前24位为0，对应的IP地址位必须匹配，即必须保持原数不变，该通配符掩码的后8位为1，对应的IP地址位不必匹配，即IP地址的后8位可以为任意值。也就是说IP地址192.168.1.0和通配符掩码0.0.0.255匹配的结果是192.168.1.0这个网段内的所有主机。,2020/4/8,第14页,两个特殊的关键字,Host表示一种精确匹配，是通配符掩码0.0.0.0的简写形式。例如，只检查IP地址为192.168.1.10的数据包，可使用以下两种ACL语句。 access-list 10 permit 192.168.1.10 0.0.0.0 或 access-list 10 permit host 192.168.1.10 Any表示全部不进行匹配，是通配符掩码255.255.255.255的简写形式。例如，允许所有的IP地址的数据都通过，可使用以下两种ACL语句。 access-list 10 permit 192.168.1.10 255.255.255.255或 access-list 10 permit any,2020/4/8,第15页,配置访问控制列表的步骤,第一步是配置访问控制列表语句 第二步是把配置好的访问控制列表应用到某个端口上。,2020/4/8,第16页,访问控制列表配置的注意事项,（1）注意访问控制列表中语句的次序，尽量把作用范围小的语句放在前面。 （2）新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问控制列表，然后创建一个新访问控制列表，将新访问控制列表用到相应的接口上。 （3）标准的IP访问控制列表只匹配源地址，一般都使用扩展的IP访问控制列表以达到精确的要求。 （4）标准的访问控制列表尽量靠近目的，扩展的访问控制列表尽量靠近过滤源的位置，以免访问控制列表影响其他接口上的数据流。 （5）在应用访问控制列表时，要特别注意过滤的方向。 （6）在编号ACL中所有未被允许的都是被拒绝的，所以允许的内容一定要写全面。,2020/4/8,第17页,配置标准IP访问控制列表,access-list access-list-number denylpermit source-address source-wildcard- mask access-list-number的范围是199 访问控制列表的动作 denylpermit,2020/4/8,第18页,应用访问控制列表到接口,Ip access-group access-list-number in|out 访问控制列表只有被应用到某个接口才能达到报文过滤的目的。 接口上通过的报文有两个方向，一个是通过接口进入路由器的报文，即in方向的报文，一个是通过接口离开路由器的报文，即out方向的报文，out也是访问控制列表的默认方向。,2020/4/8,第19页,显示访问控制列表配置,Show access-list [access-list-number] 其中，access-list-number是可选参数，如果指定则显示指定编号的访问控制列表配置细节，如果不指定则显示所有访问控制列表的配置细节。,2020/4/8,第20页,例8-1,请在如图8-3所示的路由器上配置ACL，实现PC1不能访问172.16.10.0网段，而PC2能访问（假设各路由器各接口已配置好，并全网已连通）。,2020/4/8,第21页,扩展IP访问控制列表的配置,access-list access-list-number permit|deny protocol source-address source- wildcard-mask source-port destination-address destination-wildcard-mask destination- port log options 扩展IP访问控制列表的编号范围为100～199 访问控制列表的动作 permit或deny 协议 IP、TCP、UDP、ICMP、EIGRP、GRE等。 源端口号端口号的范围是065535,2020/4/8,第22页,端口范围运算符,2020/4/8,第23页,命名访问控制列表的引入,不管是标准IP访问控制列表，还是扩展的IP访问控制列表，其编号的范围都不超过100个，这样，就可能出现编号不够用的情况；还有就是仅用编号区分的访问控制列表不便于网络管理员对访问控制列表作用的识别 。 命名IP访问控制列表是通过一个名称而不是一个编号来引用的。命名的访问控制列表可用于标准的和扩展的访问表中。名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，名称的最大长度为100个字符。,2020/4/8,第24页,编号IP访问控制列表和命名IP访问控制列表的主要区别,（1）名字能更直观地反映出访问控制列表完成的功能。 （2）命名访问控制列表突破了99个标准访问控制列表和100个扩展访问控制列表的数目限制，能够定义更多的访问控制列表。 （3）单个路由器上命名访问控制列表的名称在所有协议和类型的命名访问控制列表中必须是唯一的，而不同路由器上的命名访问控制列表名称可以相同。 （4）命名访问控制列表是一个全局命令，它将使用者进入到命名IP列表的子模式，在该子模式下建立匹配和允许／拒绝动作的相关语句。 （5）命名IP访问控制列表允许删除个别语句，当一个命名访问控制列表中的语句要被删除时，只需将该语句删除即可，而编号访问控制列表中则需要将访问控制列表中的所有语句删除后再重新输入。 （6）命名访问控制列表的命令为ip access-list，在命令中用standard和extended来区别标准访问控制列表和扩展访问控制列表，而编号访问控制列表的配置命令为access-list，并用编号来区别标准和扩展。,2020/4/8,第25页,创建标准命名IP ACL的步骤,（1）configure terminal 进入全局配置模式。 （2）ip access-list standard {name}用数字或名字来定义一条Standard IP ACL并进入access-list配置模式。 （3）deny {source source-wildcard|host source|any}或permit {source source-wildcard|host source|any}在access-list 配置模式声明一个或多个的允许通过（permit）或丢弃（deny）的条件以用于决定报文是转发或还是丢弃。host source代表一台源主机，any 代表任意主机。 （4）end 退回到特权模式。 （5）show access-lists [name]显示该接入控制列表，如果不指定access-list及name参数，则显示所有接入控制列表。,2020/4/8,第26页,例8-3,在三层交换机上进行ACL设置，以实现VLAN10的主机不能与VLAN30内的主机进行通信，能与VLAN20内的主机进行通信，而VLAN20可以和VLAN30的主机进行通信。,2020/4/8,第27页,命名扩展IP访问控制列表配置,（1）configure terminal进入全局配置模式。 （2）ip access-list extended { name}用数字或名字来定义一条Extended IP ACL 并进入access-list配置模式。 （3）{deny|permit} protocol {source source-wildcard|host source|any} [operatorport] {destination destination-wildcard|host destination|any} [operator port] 在access-list配置模式，声明一个或多个的允许通过（permit）或丢弃（deny）的条件以用于决定匹配条件的报文是转发或还是丢弃。以如下方式定义TCP或UDP的目的或源端口。 操作符（operator）只能为eq。如果操作符在source source-wildcard 之后，则报文的源端口匹配指定值条件生效。如果操作符在destination destination-wildcard之后，则报文的目的端口匹配指定值条件生效。 port为十进制值，它代表TCP或UDP的端口号，值范围为0～65535。protocol可以为IP、TCP、UDP、IGMP、ICMP等协议。 （4）end退回到特权模式。 （5）show access-lists [name]显示该接入访问控制列表，如果不指定name参数，则显示所有接入访问控制列表。,2020/4/8,第28页,基于时间的访问控制列表,