路由器安全管理課程_第1頁(yè)
路由器安全管理課程_第2頁(yè)
路由器安全管理課程_第3頁(yè)
路由器安全管理課程_第4頁(yè)
路由器安全管理課程_第5頁(yè)
已閱讀5頁(yè),還剩33頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第7章 路由器安全管理4.1 Telnet會(huì)話(huà)管理4.1.1 呼出Telnet會(huì)話(huà)管理 圖4-1 遠(yuǎn)程登錄使用主機(jī)名直接遠(yuǎn)程登錄 當(dāng)?shù)顷懙侥繕?biāo)主機(jī)后,可使用以下命令斷開(kāi)當(dāng)前Telnet回話(huà):l exit,回到本地設(shè)備;l 不退出當(dāng)前回話(huà)連接而暫時(shí)回到原設(shè)備:Ctrl+Shift+6+x;顯示呼出Telnet會(huì)話(huà) 斷開(kāi)呼出Telnet會(huì)話(huà) 此斷開(kāi)回話(huà)是從本地?cái)嚅_(kāi)到目標(biāo)本機(jī)的此斷開(kāi)回話(huà)是從本地?cái)嚅_(kāi)到目標(biāo)本機(jī)的telnet回話(huà)?;卦?huà)。 disconnect命令同時(shí)發(fā)起多個(gè)Telnet會(huì)話(huà) 返回某次Telnet會(huì)話(huà)過(guò)程 斷開(kāi)指定Telnet連接 4.1 Telnet會(huì)話(huà)管理4.1.2 呼入Telnet

2、會(huì)話(huà)管理 采用相對(duì)線(xiàn)號(hào)斷開(kāi)遠(yuǎn)程Telnet連接 用絕對(duì)線(xiàn)號(hào)斷開(kāi)遠(yuǎn)程Telnet連接 4.2 訪問(wèn)控制列表ACL 4.2.1 訪問(wèn)控制列表概述 1訪問(wèn)控制列表訪問(wèn)控制列表是控制流入、流出路由器數(shù)據(jù)包的一種方法。訪問(wèn)控制列表是控制流入、流出路由器數(shù)據(jù)包的一種方法。它通過(guò)在數(shù)據(jù)流入或流出路由器時(shí)進(jìn)行檢查、過(guò)濾達(dá)到流它通過(guò)在數(shù)據(jù)流入或流出路由器時(shí)進(jìn)行檢查、過(guò)濾達(dá)到流量管理的目的,而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備和服量管理的目的,而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備和服務(wù)器的關(guān)鍵作用。務(wù)器的關(guān)鍵作用。是一個(gè)有序的語(yǔ)句集合,它通過(guò)匹配報(bào)文信息與訪問(wèn)列表是一個(gè)有序的語(yǔ)句集合,它通過(guò)匹配報(bào)文信息與訪問(wèn)列表參數(shù)來(lái)允

3、許報(bào)文或拒接報(bào)文通過(guò)某個(gè)接口。參數(shù)來(lái)允許報(bào)文或拒接報(bào)文通過(guò)某個(gè)接口。2配置訪問(wèn)控制列表步驟:Step1:定義允許或禁止報(bào)文的描述語(yǔ)句(訪問(wèn)列表);:定義允許或禁止報(bào)文的描述語(yǔ)句(訪問(wèn)列表);Step2:將訪問(wèn)列表應(yīng)用到路由器的具體接口(應(yīng)用訪問(wèn)組)。:將訪問(wèn)列表應(yīng)用到路由器的具體接口(應(yīng)用訪問(wèn)組)。表4-1 通過(guò)編號(hào)指定的訪問(wèn)列表所支持的協(xié)議 協(xié)議協(xié)議范圍范圍標(biāo)準(zhǔn)IP協(xié)議199擴(kuò)展IP協(xié)議100199Ethernet類(lèi)型碼200299DECnet300399XNS400499擴(kuò)展XNS500599AppleTalk600699Ethernet地址700799IPX800899擴(kuò)展IPX9009

4、99IPX SAP10001099MAC11001199IPX匯總地址12001299標(biāo)準(zhǔn)IP協(xié)議:13001999(IOS v12.0 and later)擴(kuò)展IP協(xié)議:20002699(IOS v12.0 and later)IP訪問(wèn)控制列表:標(biāo)準(zhǔn)IP訪問(wèn)控制列表:僅依據(jù)IP數(shù)據(jù)包的源地址決定是否過(guò)濾數(shù)據(jù)包;擴(kuò)展IP訪問(wèn)控制列表:不但可以檢查源地址、目標(biāo)地址,而且可以檢查源和目標(biāo)的端口號(hào)等字段。4.2 訪問(wèn)控制ACL 4.2.2 標(biāo)準(zhǔn)ACL配置方法 1標(biāo)準(zhǔn)IP訪問(wèn)控制列表語(yǔ)句ACCESS-LIST access-list-number DENY|PERMIT|REMARK SOURCE s

5、ource-wildcard|ANY access-list-number 列表號(hào)碼,范圍199之間DENY|PERMIT 指出該訪問(wèn)控制列表是允許還是拒絕數(shù)據(jù)包SOURCE source-wildcard|ANY 主機(jī)或網(wǎng)絡(luò)的源地址,或者是任何主機(jī)注意:要匹配某個(gè)主機(jī)則需要輸入該主機(jī)的IP地址;若要匹配某個(gè)網(wǎng)絡(luò),則需要輸入網(wǎng)絡(luò)號(hào),后面跟上通配符掩碼。通配符掩碼為“1”,表示IP地址的對(duì)應(yīng)位可以是1也可以是0,若通配符掩碼為“0”,則表示IP地址對(duì)應(yīng)位必須被精確匹配。例如: 55 表示前三位域必須是210.31.10,最后一個(gè)位域什么值都可以(1255)2I

6、P訪問(wèn)控制組語(yǔ)句(首先進(jìn)入路由器的某個(gè)接口) IP ACCESS-GROUP access-list-number IN|OUT access-list-number 列表號(hào)碼,范圍199之間IN|OUT 表示對(duì)流入海是流出路由器的數(shù)據(jù)包進(jìn)行檢查4.2 訪問(wèn)控制ACL 標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置實(shí)例1 標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置Ra#conf tRa(config)#access-list 1 permit host 0Ra(config)#access-list 1 deny anyRa(config)#interface ethernet0Ra(config-if)#ip

7、 access-group 1 in標(biāo)準(zhǔn)IP訪問(wèn)控制列表配置實(shí)例2 Ra#conf tRa(config)#access-list 1 permit host 55Ra(config)#access-list 1 deny anyRa(config)#interface serial 0Ra(config-if)#ip access-group 1 out4.2 訪問(wèn)控制ACL 4.2.3 擴(kuò)展ACL配置方法 1擴(kuò)展IP訪問(wèn)控制列表語(yǔ)句ACCESS-LIST access-list-number DENY|PERMIT|REMARK protocol so

8、urce source-wildcard destination destination-wildcard option access-list-number 列表號(hào)碼,范圍100199之間Protocol 指明要匹配使用的協(xié)議2IP訪問(wèn)控制組語(yǔ)句 IP ACCESS-GROUP access-list-number IN|OUT 擴(kuò)展IP訪問(wèn)控制列表配置實(shí)例Rb#conf tRb(config)#access-list 101 permit tcp 55 host 1 eq telent(23)Rb(config)#access

9、-list 101 permit tcp 55 host 1 eq www(80)Rb(config)# access-list 101 permit icmp 55 anyRb(config)# access-list 101 deny ip any anyRb(config)#interface serial 0Rb(config-if)#ip access-group 101 out需要注意的問(wèn)題在訪問(wèn)控制列表中除了可以用eq關(guān)鍵字指出單一的端口號(hào)外,也可以規(guī)定端口號(hào)范圍。 例如:gt 1

10、024表示端口號(hào)大于1024;用lt 1024表示端口號(hào)小于1024;range 100 200則表示端口號(hào)介于100和200之間。在每個(gè)訪問(wèn)控制列表的底端都可以有一個(gè)默認(rèn)的DENY ANY。所以,建議在每個(gè)訪問(wèn)控制列表的最后一條語(yǔ)句明確地指出對(duì)其余通信量的出來(lái)方式。4.2 訪問(wèn)控制ACL 4.2.4 命名訪問(wèn)控制列表 1標(biāo)準(zhǔn)命名訪問(wèn)控制列表 ip access-list standard aclname ip access-group aclname in|out2擴(kuò)展命名訪問(wèn)控制列表ip access-list extended aclname ip access-group aclname in|out3命名訪問(wèn)控制列表的修改4.2.5ACL日志 ACL語(yǔ)句中的關(guān)鍵字“l(fā)og” 及其作用 4.3 路由器的安全管理 4.3.1 本地登錄認(rèn)證圖4-23 配置本地登錄認(rèn)證 4.3 路由器的安全管理 4.3.1 本地登錄認(rèn)證圖4-24 本地登錄認(rèn)證 4.3.2 訪問(wèn)類(lèi)語(yǔ)句 圖4-25 限制對(duì)路由器的管理性訪問(wèn) 4.3.2 訪問(wèn)類(lèi)語(yǔ)句 圖4-26 進(jìn)行VTY訪問(wèn)控制 4.3.3 HTTP/HTTPS 1HTTP管理方式 圖4-29 HTTP訪問(wèn)本地認(rèn)證配置 圖4-31 限制HTT

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論