訪問控制列表與端口安全課件

1、第八章訪問控制列表與端口安全 第1頁，共49頁。7/29/20221本章課題8.1 訪問控制列表簡介8.2 編號訪問控制列表配置8.3 命名訪問控制列表8.4 基于時(shí)間訪問的控制列表8.5 端口安全第2頁，共49頁。7/29/20222網(wǎng)絡(luò)安全隱患 （1）非人為的或自然力造成的故障、事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。第3頁，共49頁。7/29/20223現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制第4頁，共49頁。7/29/20224VPN 虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢

2、測第5頁，共49頁。7/29/20225什么是訪問列表ISPIP Access-list：IP訪問列表或訪問控制列表，簡稱IP ACLIP ACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾。第6頁，共49頁。7/29/20226訪問列表的作用訪問控制列表可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、控制網(wǎng)絡(luò)通信流量等，同時(shí)ACL也是網(wǎng)絡(luò)訪問控制的基本安全手段。在路由器或交換機(jī)的接口上配置訪問控制列表后，可以對進(jìn)出接口及通過接口中繼的數(shù)據(jù)包進(jìn)行安全檢測。配置訪問控制列表的目的主要基于以下兩點(diǎn)。（1）限制路由更新。（2）限制網(wǎng)絡(luò)訪問。第7頁，共49頁。7/29/20227訪問控制列表類型 標(biāo)準(zhǔn)IP

3、訪問控制列表編號的標(biāo)準(zhǔn)IP訪問控制列表命名的標(biāo)準(zhǔn)IP訪問控制列表擴(kuò)展IP訪問控制列表 編號的擴(kuò)展IP訪問控制列表命名的擴(kuò)展IP訪問控制列表第8頁，共49頁。7/29/20228ACL的一些相關(guān)特性 （1）每一個(gè)接口可以在進(jìn)入（Inbound）和離開（Outbound）兩個(gè)方向上分別應(yīng)用一個(gè)ACL，且每個(gè)方向上只能應(yīng)用一個(gè)ACL。（2）ACL語句包括兩個(gè)動(dòng)作，一個(gè)是拒絕（Deny），一個(gè)是允許（Permit）。（3）在路由器或交換機(jī)接口接收到報(bào)文時(shí)，應(yīng)用在接口進(jìn)入方向的ACL（內(nèi)向ACL）起作用。（4）在路由選擇決定以后，數(shù)據(jù)準(zhǔn)備從某一個(gè)接口輸出報(bào)文時(shí)，應(yīng)用在接口離開方向的ACL（外向ACL）起

4、作用。（5）每個(gè)ACL的結(jié)尾有一個(gè)隱含的deny all（拒絕的所有數(shù)據(jù)包）語句。因此，如果包不匹配ACL中的任何語句，將被拒絕。 第9頁，共49頁。7/29/20229ACL的內(nèi)向匹配過程 路由器取出內(nèi)向ACL的數(shù)據(jù)包進(jìn)入路由器數(shù)據(jù)包進(jìn)入路由器路由器取出內(nèi)向ACL的第一條語句允許還是拒絕？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較是否匹配匹配項(xiàng)與數(shù)據(jù)包是否匹配？允許還是拒絕？取出內(nèi)向ACL下一條語句最后一條？允許進(jìn)行路由選擇拒絕決定轉(zhuǎn)發(fā)接口丟棄結(jié)束第10頁，共49頁。7/29/202210ACL的外向匹配過程 路由器取出外向ACL的第一條語句選擇離開接口是否匹配？匹配項(xiàng)與數(shù)據(jù)包中的各項(xiàng)進(jìn)行比較取出外向A

5、CL下一條語句最后一條？允許還是拒絕？允許數(shù)據(jù)包從離開接口送出結(jié)束丟棄拒絕第11頁，共49頁。7/29/202211通配符掩碼 通配符掩碼掩碼的二進(jìn)制形式描 述00000000.00000000.00000000.00000000整個(gè)lP地址必須匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.111111

6、11全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配第12頁，共49頁。7/29/202212IP地址與通配符掩碼的作用規(guī)則 IP地址與通配符掩碼的作用規(guī)則是：32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對應(yīng)位必須匹配，通配符掩碼為1的位所對應(yīng)的IP地址位不必匹配，例如，IP地址（相應(yīng)的二進(jìn)制為11000000 10101000 00000001 00000000）通配符掩碼55（相應(yīng)的二進(jìn)制為00000

7、000 00000000 00000000 11111111）該通配符掩碼的前24位為0，對應(yīng)的IP地址位必須匹配，即必須保持原數(shù)不變，該通配符掩碼的后8位為1，對應(yīng)的IP地址位不必匹配，即IP地址的后8位可以為任意值。也就是說IP地址和通配符掩碼55匹配的結(jié)果是這個(gè)網(wǎng)段內(nèi)的所有主機(jī)。第13頁，共49頁。7/29/202213兩個(gè)特殊的關(guān)鍵字 Host：表示一種精確匹配，是通配符掩碼的簡寫形式。例如，只檢查IP地址為0的數(shù)據(jù)包，可使用以下兩種ACL語句。access-list 10 permit 0 或access-list 10 permit host 0Any：表示全部不進(jìn)行匹配，是通配符

8、掩碼55的簡寫形式。例如，允許所有的IP地址的數(shù)據(jù)都通過，可使用以下兩種ACL語句。access-list 10 permit 0 55或access-list 10 permit any第14頁，共49頁。7/29/202214配置訪問控制列表的步驟第一步是配置訪問控制列表語句第二步是把配置好的訪問控制列表應(yīng)用到某個(gè)端口上。第15頁，共49頁。7/29/202215訪問控制列表配置的注意事項(xiàng) （1）注意訪問控制列表中語句的次序，盡量把作用范圍小的語句放在前面。（2）新的表項(xiàng)只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問控制列表，然后創(chuàng)建一

9、個(gè)新訪問控制列表，將新訪問控制列表用到相應(yīng)的接口上。（3）標(biāo)準(zhǔn)的IP訪問控制列表只匹配源地址，一般都使用擴(kuò)展的IP訪問控制列表以達(dá)到精確的要求。（4）標(biāo)準(zhǔn)的訪問控制列表盡量靠近目的，擴(kuò)展的訪問控制列表盡量靠近過濾源的位置，以免訪問控制列表影響其他接口上的數(shù)據(jù)流。（5）在應(yīng)用訪問控制列表時(shí)，要特別注意過濾的方向。（6）在編號ACL中所有未被允許的都是被拒絕的，所以允許的內(nèi)容一定要寫全面。第16頁，共49頁。7/29/202216配置標(biāo)準(zhǔn)IP訪問控制列表 access-list access-list-number denylpermit source-address source-wildcar

10、d- maskaccess-list-number的范圍是199 訪問控制列表的動(dòng)作 ： denylpermit第17頁，共49頁。7/29/202217應(yīng)用訪問控制列表到接口 Ip access-group access-list-number in|out訪問控制列表只有被應(yīng)用到某個(gè)接口才能達(dá)到報(bào)文過濾的目的。接口上通過的報(bào)文有兩個(gè)方向，一個(gè)是通過接口進(jìn)入路由器的報(bào)文，即in方向的報(bào)文，一個(gè)是通過接口離開路由器的報(bào)文，即out方向的報(bào)文，out也是訪問控制列表的默認(rèn)方向。第18頁，共49頁。7/29/202218顯示訪問控制列表配置Show access-list access-list-

11、number其中，access-list-number是可選參數(shù)，如果指定則顯示指定編號的訪問控制列表配置細(xì)節(jié)，如果不指定則顯示所有訪問控制列表的配置細(xì)節(jié)。第19頁，共49頁。7/29/202219例8-1 請?jiān)谌鐖D8-3所示的路由器上配置ACL，實(shí)現(xiàn)PC1不能訪問網(wǎng)段，而PC2能訪問（假設(shè)各路由器各接口已配置好，并全網(wǎng)已連通）。 第20頁，共49頁。7/29/202220擴(kuò)展IP訪問控制列表的配置 access-list access-list-number permit|deny protocol source-address source- wildcard-mask source-po

12、rt destination-address destination-wildcard-mask destination- port log options擴(kuò)展IP訪問控制列表的編號范圍為100199 訪問控制列表的動(dòng)作： permit或deny 協(xié)議 ：IP、TCP、UDP、ICMP、EIGRP、GRE等。源端口號：端口號的范圍是065535 第21頁，共49頁。7/29/202221端口范圍運(yùn)算符 運(yùn)算符及其語法描 述例eq portnumber等于，用于指定單個(gè)的端口eq 21或eq ftpgt portnumber大于，用于指定大于某個(gè)端口的一個(gè)端口范圍gt 1024lt portnu

13、mber小于，用于指定小于某個(gè)端口的一個(gè)端口范圍lt 1024neq portnumber不等于，用于指定除了某個(gè)端口以外的所有端口neq 21range portnumber1 portnumber2指位于兩個(gè)端口號間的一個(gè)端口范圍range 135 145第22頁，共49頁。7/29/202222命名訪問控制列表的引入 不管是標(biāo)準(zhǔn)IP訪問控制列表，還是擴(kuò)展的IP訪問控制列表，其編號的范圍都不超過100個(gè)，這樣，就可能出現(xiàn)編號不夠用的情況；還有就是僅用編號區(qū)分的訪問控制列表不便于網(wǎng)絡(luò)管理員對訪問控制列表作用的識別 。命名IP訪問控制列表是通過一個(gè)名稱而不是一個(gè)編號來引用的。命名的訪問控制列表

14、可用于標(biāo)準(zhǔn)的和擴(kuò)展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，名稱的最大長度為100個(gè)字符。 第23頁，共49頁。7/29/202223編號IP訪問控制列表和命名IP訪問控制列表的主要區(qū)別 （1）名字能更直觀地反映出訪問控制列表完成的功能。（2）命名訪問控制列表突破了99個(gè)標(biāo)準(zhǔn)訪問控制列表和100個(gè)擴(kuò)展訪問控制列表的數(shù)目限制，能夠定義更多的訪問控制列表。（3）單個(gè)路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。（4）命名訪問控制列表是一個(gè)全局命令，它將使用

15、者進(jìn)入到命名IP列表的子模式，在該子模式下建立匹配和允許拒絕動(dòng)作的相關(guān)語句。（5）命名IP訪問控制列表允許刪除個(gè)別語句，當(dāng)一個(gè)命名訪問控制列表中的語句要被刪除時(shí)，只需將該語句刪除即可，而編號訪問控制列表中則需要將訪問控制列表中的所有語句刪除后再重新輸入。（6）命名訪問控制列表的命令為ip access-list，在命令中用standard和extended來區(qū)別標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表，而編號訪問控制列表的配置命令為access-list，并用編號來區(qū)別標(biāo)準(zhǔn)和擴(kuò)展。第24頁，共49頁。7/29/202224創(chuàng)建標(biāo)準(zhǔn)命名IP ACL的步驟（1）configure terminal 進(jìn)入

16、全局配置模式。 （2）ip access-list standard name用數(shù)字或名字來定義一條Standard IP ACL并進(jìn)入access-list配置模式。（3）deny source source-wildcard|host source|any或permit source source-wildcard|host source|any在access-list 配置模式聲明一個(gè)或多個(gè)的允許通過（permit）或丟棄（deny）的條件以用于決定報(bào)文是轉(zhuǎn)發(fā)或還是丟棄。host source代表一臺源主機(jī)，any 代表任意主機(jī)。（4）end 退回到特權(quán)模式。 （5）show acces

17、s-lists name顯示該接入控制列表，如果不指定access-list及name參數(shù)，則顯示所有接入控制列表。第25頁，共49頁。7/29/202225例8-3 在三層交換機(jī)上進(jìn)行ACL設(shè)置，以實(shí)現(xiàn)VLAN10的主機(jī)不能與VLAN30內(nèi)的主機(jī)進(jìn)行通信，能與VLAN20內(nèi)的主機(jī)進(jìn)行通信，而VLAN20可以和VLAN30的主機(jī)進(jìn)行通信。第26頁，共49頁。7/29/202226命名擴(kuò)展IP訪問控制列表配置 （1）configure terminal進(jìn)入全局配置模式。（2）ip access-list extended name用數(shù)字或名字來定義一條Extended IP ACL 并進(jìn)入acc

18、ess-list配置模式。（3）deny|permit protocol source source-wildcard|host source|any operatorport destination destination-wildcard|host destination|any operator port 在access-list配置模式，聲明一個(gè)或多個(gè)的允許通過（permit）或丟棄（deny）的條件以用于決定匹配條件的報(bào)文是轉(zhuǎn)發(fā)或還是丟棄。以如下方式定義TCP或UDP的目的或源端口。操作符（operator）只能為eq。如果操作符在source source-wildcard 之后，

19、則報(bào)文的源端口匹配指定值條件生效。如果操作符在destination destination-wildcard之后，則報(bào)文的目的端口匹配指定值條件生效。port為十進(jìn)制值，它代表TCP或UDP的端口號，值范圍為065535。protocol可以為IP、TCP、UDP、IGMP、ICMP等協(xié)議。（4）end退回到特權(quán)模式。（5）show access-lists name顯示該接入訪問控制列表，如果不指定name參數(shù)，則顯示所有接入訪問控制列表。第27頁，共49頁。7/29/202227基于時(shí)間的訪問控制列表 基于時(shí)間的訪問控制列表能夠應(yīng)用于編號訪問控制列表和命名訪問控制列表。為了實(shí)現(xiàn)基于時(shí)間的

20、ACL功能，首先應(yīng)定義一個(gè)Time-range接口來指明日期時(shí)間范圍，與其他接口一樣，Time-range接口通過名稱來標(biāo)識。然后，將Time-range接口與對應(yīng)的ACL關(guān)聯(lián)起來，這是通過在ACL中用Time-range引用時(shí)間范圍實(shí)現(xiàn)的。第28頁，共49頁。7/29/202228路由器時(shí)鐘設(shè)置 路由器時(shí)鐘設(shè)置在特權(quán)模式下進(jìn)行，分為兩步：首先設(shè)置系統(tǒng)日期時(shí)間，然后用當(dāng)前系統(tǒng)時(shí)鐘更新路由器實(shí)時(shí)時(shí)鐘。配置命令為：Clock set hh:mm:ss day month year /設(shè)置系統(tǒng)日期時(shí)間Clock update-calender/更新路由器實(shí)時(shí)時(shí)鐘第29頁，共49頁。7/29/2022

21、29定義Time-range接口 time-range time-range-name此命令的作用是定義Time-range接口的名稱，參數(shù)time-range-name為Time-range接口的名稱，接口名稱長度為132個(gè)字符，中間不能有空格。Time-range接口命名后，就進(jìn)入了時(shí)間定義模式，在此模式中還要使用absolute和periodic兩個(gè)命令定義具體的時(shí)間范圍。值得注意的是，一個(gè)時(shí)間范圍只能包括一個(gè)absolute絕對時(shí)間范圍和多個(gè)周期時(shí)間范圍。第30頁，共49頁。7/29/202230定義絕對時(shí)間范圍 Absolute start start-ttme start-date

22、 end end-time end-datestar-time、end-time分別用于指定開始和結(jié)束時(shí)間，使用24小時(shí)表示，其格式為“小時(shí)：分鐘”，start-date和end-date分別用于指定開始的日期和結(jié)束的日期，使用日/月/年的時(shí)間格式，而不是通常采用的月/日/年格式，這一點(diǎn)必須注意。命令中的start和end關(guān)鍵字都是可選的。當(dāng)省略start及其后面的時(shí)間、日期時(shí)，表示與之相聯(lián)系的ACL語句立即生效，并一直作用到end處的時(shí)間、日期為止；當(dāng)省略end及其后面的時(shí)間，表示與之相聯(lián)系的ACL語句在start處表示的時(shí)間、日期開始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問控制列表刪除了的話就不

23、會(huì)起作用了。 第31頁，共49頁。7/29/202231常用的時(shí)間定義形式 時(shí) 間 定 義描 述Absolute start 17:00Absolute start 17:00 1 decemdber 2000Absolute end 17:00Absolute end 17:00 l decemdber 2000Absolute start 8:00 end 20:00Absolute start 17:00 1 decemdber 2000 end 5:00 31 decemdber 2000從配置的當(dāng)天17:00開始直到永遠(yuǎn)從2000年12月1日17:00開始直到永遠(yuǎn)從配置時(shí)開始直到當(dāng)天

24、的17:00結(jié)束從配置時(shí)開始直到2000年12月1日17:00結(jié)束從8點(diǎn)開始到20點(diǎn)結(jié)束從2000年12月1日17:00開始直到2000年12月31日5:00結(jié)束第32頁，共49頁。7/29/202232定義周期、重復(fù)使用的時(shí)間范圍 Periodic days-of-the-week hh:mm to days-of-the-week hh:mmperiodic是以星期為參數(shù)來定義時(shí)間范圍的一個(gè)命令。它可以使用大量的參數(shù)，其范圍可以是一個(gè)星期中的某一天、某幾天的組合，或者使用關(guān)鍵字daily、weekdays、weekend等。 第33頁，共49頁。7/29/202233periodic中的參

25、數(shù) 參 數(shù)描 述Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Staturday，SundayDailyWeekdayWeekend某一天或某幾天的結(jié)合每天從星期一到星期五星期六和星期日第34頁，共49頁。7/29/202234常用的時(shí)間范圍定義形式 時(shí)間范圍定義描 述Periodic weekend 7:00 to 19:00Periodic weekday 8:00 to 17:00Periodic daily 7:00 to 17:00Periodic staturday 17:00 to Monday 7:00Periodic Monday Frid

26、ay 7:00 to 20:00星期六早上7:00到星期日晚上7:00星期一早上8:00到星期五下午5:00每天的早上7:00到下午5:00星期六下午5:00到星期一早上7:00星期一和星期五的早上7:00到晚上8:00第35頁，共49頁。7/29/202235應(yīng)用時(shí)間訪問控制列表的注意事項(xiàng) 由于使用帶時(shí)間范圍的訪問控制列表依賴于路由器的系統(tǒng)時(shí)鐘，所以要保證路由器時(shí)鐘設(shè)置的準(zhǔn)確性。在time-range范圍命令中同時(shí)使用absolute和periodic語句 第36頁，共49頁。7/29/202236例8-5 要求從2019年1月1日起在每周工作時(shí)間段8:00到18:00內(nèi)禁止網(wǎng)段的主機(jī)訪問H

27、TTP的數(shù)據(jù)流。 第37頁，共49頁。7/29/202237交換機(jī)端口安全利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定第38頁，共49頁。7/29/202238交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后;如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。 當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不

28、是該端口的安全地址中的任何一個(gè)）的包。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。第39頁，共49頁。7/29/202239配置安全端口 端口安全最大連接數(shù)配置switchport port-security打開該接口的端口安全功能switchport port-security maximum value設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1128，缺省值為128。switchport port-security violationprotect| restrict | shutdown設(shè)置處理違例的方式注

29、：1、端口安全功能只能在access端口上進(jìn)行配置。 2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使 用命令errdisable recovery 來將接口從錯(cuò)誤狀態(tài) 中恢復(fù)過來。第40頁，共49頁。7/29/202240配置安全端口端口的安全地址綁定switchport port-security 打開該接口的端口安全功能switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。注：1、端口安全功能只能在access端口上進(jìn)行配置。 2、端口的安全地址綁定方式有:單MAC、單IP、M

30、AC+IP第41頁，共49頁。7/29/202241端口安全的限制 （1）一個(gè)安全端口不能是一個(gè)Aggregate Port。（2）一個(gè)安全端口只能是一個(gè)Access Port。（3）在端口上聲明的安全地址的數(shù)量限制。一個(gè)靜態(tài)模塊上的百兆端口（Fast Ethernet，固定在交換機(jī)上）上最多支持20個(gè)同時(shí)聲明IP地址和MAC地址的安全地址，一個(gè)動(dòng)態(tài)模塊（可插拔模塊）上的端口最多支持110個(gè)同時(shí)聲明IP地址和MAC地址的安全地址。另外，由于這種同時(shí)聲明IP地址和MAC地址的安全地址占用的硬件資源與ACLs所占用的系統(tǒng)硬件資源共享，因此在某一個(gè)端口上應(yīng)用了ACLs，則相應(yīng)地該端口上所能設(shè)置的聲明IP地址的安全地址個(gè)數(shù)將會(huì)減少。（4）一個(gè)安全端口上的安全地址的格式保持一致，即一個(gè)端口上的安全地址要么全是綁定了IP地址的安全地址，要么都是綁定MAC地址的安全地址。 第42頁，共49頁。7/29/202242例8-6 在一個(gè)交換機(jī)上的端口fastethernet 0/3上應(yīng)用端口安全功能，設(shè)