學(xué)習(xí)情境企業(yè)內(nèi)網(wǎng)安全控制

企業(yè)內(nèi)網(wǎng)安全控制學(xué)習(xí)情境2復(fù)雜程度Internet飛速增長(zhǎng)InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲(chóng)+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲(chóng)DDoS破壞有效負(fù)載的病毒和蠕蟲(chóng)波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響目標(biāo)1980s1990s今天未來(lái)安全事件對(duì)我們的威脅越來(lái)越快網(wǎng)絡(luò)安全的演化VLAN北京總部廣州分公司上海分公司VLANVLANVLANVLANVLANVLAN情景二：構(gòu)建企業(yè)交換式局域網(wǎng)情景三：企業(yè)內(nèi)部路由配置情景四：企業(yè)內(nèi)網(wǎng)安全控制情景五：企業(yè)廣域網(wǎng)接入配置課程綜合項(xiàng)目：Center公司網(wǎng)絡(luò)改造項(xiàng)目Internet情景一：網(wǎng)絡(luò)設(shè)備選型課程項(xiàng)目進(jìn)度本章目標(biāo)了解網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)掌握網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制保護(hù)措施掌握交換機(jī)端口的安全知識(shí)學(xué)習(xí)訪問(wèn)控制列表技術(shù)區(qū)別不同的訪問(wèn)控制列表技術(shù)任務(wù)分解配置交換機(jī)端口安全1配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)安全技術(shù)23配置擴(kuò)展訪問(wèn)控制列表訪問(wèn)安全技術(shù)任務(wù)進(jìn)度配置交換機(jī)端口安全12.1網(wǎng)絡(luò)安全概述手段多樣的網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊的防防御技術(shù)身份認(rèn)證技術(shù)術(shù)加解密技術(shù)邊界防護(hù)技術(shù)術(shù)訪問(wèn)控制技術(shù)術(shù)主機(jī)加固技術(shù)術(shù)安全審計(jì)技術(shù)術(shù)檢測(cè)監(jiān)控技術(shù)術(shù)2.2管理設(shè)備控制制臺(tái)安全對(duì)于大多數(shù)企企業(yè)內(nèi)部網(wǎng)來(lái)來(lái)說(shuō)，連接網(wǎng)網(wǎng)絡(luò)中各個(gè)節(jié)節(jié)點(diǎn)的互聯(lián)設(shè)設(shè)備，是整個(gè)個(gè)網(wǎng)絡(luò)規(guī)劃中中最需要重要要保護(hù)的對(duì)象象。大多數(shù)網(wǎng)網(wǎng)絡(luò)都有一、、二個(gè)主要的的接入點(diǎn)，對(duì)對(duì)這個(gè)接入點(diǎn)點(diǎn)的破壞，直直接造成整個(gè)個(gè)網(wǎng)絡(luò)癱瘓。。如果網(wǎng)絡(luò)互互相設(shè)備沒(méi)有有很好的安全全防護(hù)措施，，來(lái)自網(wǎng)絡(luò)內(nèi)內(nèi)部的攻擊或或者惡作劇式式的破壞，將將對(duì)網(wǎng)絡(luò)的打打擊是最致命命的。因此設(shè)設(shè)置恰當(dāng)?shù)木W(wǎng)網(wǎng)絡(luò)設(shè)備防護(hù)護(hù)措施是保護(hù)護(hù)網(wǎng)絡(luò)安全的的重要手段之之一。據(jù)國(guó)外調(diào)查顯顯示，80%的安全破壞事事件都是由薄薄弱的口令引引起的，因此此為網(wǎng)絡(luò)互聯(lián)聯(lián)設(shè)備，配置置一個(gè)恰當(dāng)口口令，是保護(hù)護(hù)網(wǎng)絡(luò)不受侵侵犯最根本保保護(hù)保護(hù)設(shè)備控制制臺(tái)的安全措措施通過(guò)一根配置置線纜連接到到交換機(jī)的配配置端口（Console），另一端連連接到配置計(jì)計(jì)算機(jī)的串口口。通過(guò)如下下命令，配置置登入交換機(jī)機(jī)控制臺(tái)特權(quán)權(quán)密碼Switch>Switch#configureterminalSwitch(config)#enablesecretmypassword！配置特權(quán)密密文密碼Switch(config)#login！配置登陸時(shí)時(shí)需要驗(yàn)證密密碼配置線纜仿真終端RJ45口F0/1Console口Com1口配置線測(cè)試機(jī)配置交換機(jī)的的連接模式配置線纜配置交換機(jī)遠(yuǎn)遠(yuǎn)程登錄的安安全措施除通過(guò)Console端口與設(shè)備直直接相連管理理設(shè)備之外，，用戶還可以以通過(guò)Telnet程序和交換機(jī)機(jī)RJ45口建立遠(yuǎn)程連連接，以方便便管理員對(duì)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行行遠(yuǎn)程管理。。配置交換機(jī)遠(yuǎn)遠(yuǎn)程登錄密碼碼過(guò)程如下（（路由器遠(yuǎn)程程登錄密碼的的配置與之相相同）。Switch>Switch#configureterminalSwitch(config)#linevty04！開(kāi)啟Telnet線路Switch(config-line)#passwordmypassword！配置Telnet登錄密碼Switch(config-line)#login！配置登陸時(shí)時(shí)需要驗(yàn)證密密碼2.3交換機(jī)端口安安全端口安全概述述大部分網(wǎng)絡(luò)攻攻擊行為都采采用欺騙源IP或源MAC地址的方法，，對(duì)網(wǎng)絡(luò)的核核心設(shè)備進(jìn)行行連續(xù)的數(shù)據(jù)據(jù)包攻擊，如如典型的ARP攻擊、MAC攻擊和DHCP攻擊等。這些些針對(duì)交換機(jī)機(jī)端口產(chǎn)生的的攻擊行為，，可以通過(guò)啟啟用交換機(jī)端端口安全功能能特性加以防防范。FF.FF.FF.FF.FF.FF廣播MAC地址00.d0.f8.00.07.3c前3個(gè)字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)設(shè)備制造廠商商的后3個(gè)字節(jié)：網(wǎng)絡(luò)絡(luò)設(shè)備制造廠廠商自行分配配的，不重復(fù)復(fù)，生產(chǎn)時(shí)寫(xiě)寫(xiě)入設(shè)備MAC地址：鏈路層層唯一標(biāo)識(shí)接入交換機(jī)MACPortA1B2C3MAC地址表：空間間有限MAC攻擊攻擊：MAC地址表空間是是有限，MAC攻擊會(huì)占滿交交換機(jī)地址表表;使得單播包在在交換機(jī)內(nèi)部部也變成廣播播包,向所有端口轉(zhuǎn)轉(zhuǎn)發(fā)，每個(gè)連連在端口上客客戶端都可以以收到該報(bào)文文;交換機(jī)變成了了一個(gè)Hub，用戶的信息息傳輸也沒(méi)有有安全保障了了MAC攻擊端口安全配置置方式配置安全地址址：當(dāng)開(kāi)啟交交換機(jī)端口安安全功能并為為交換機(jī)端口口配置安全MAC地址，則這個(gè)個(gè)端口將不轉(zhuǎn)轉(zhuǎn)發(fā)除安全源源MAC地址外的其他他任何數(shù)據(jù)幀幀。配置安全地址址數(shù)：交換機(jī)機(jī)安全端口不不僅可以配置置安全MAC地址，也可以以設(shè)置安全地地址數(shù)目，也也就是說(shuō)，一一個(gè)安全端口口可以配置多多個(gè)安全MAC地址。配置安全違例例處理方式：：當(dāng)發(fā)生安全全違規(guī)事件時(shí)時(shí)，可以指定定不同的處理理方式。配置老化時(shí)間間和處理方式式：可以為安安全端口設(shè)置置老化時(shí)間和和處理方式，，可以清除長(zhǎng)長(zhǎng)時(shí)間不活動(dòng)動(dòng)的安全MAC地址。將IP地址綁定到MAC地址：可以在在交換機(jī)上將將IP地址綁定到MAC地址，以實(shí)現(xiàn)現(xiàn)在特定端口口上允許特定定的IP終端接入。端口安全的配配置和維護(hù)配置安全端口口的過(guò)程包括括啟用端口安安全，設(shè)置安安全MAC地址的最大數(shù)數(shù)量、配置安安全地址、設(shè)設(shè)置違例發(fā)生生后的處理方方式、配置老老化時(shí)間和將將MAC地址與IP地址綁定等。。對(duì)于Cisco交換機(jī)，需要要注意的是：：Cisco系列交換機(jī)可可以做基于2層的端口安全全，即MAC地址與端口進(jìn)進(jìn)行綁定。Cisco3550以上交換機(jī)均均可做基于2層和3層的端口安全全，即MAC地址與端口綁綁定以及MAC地址與IP地址綁定。交換機(jī)端口安安全功能交換機(jī)的端口口安全功能，，防止網(wǎng)內(nèi)部部攻擊,如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等。交換機(jī)端口安安全的基本功功能1、端口安全地地址綁定,解決網(wǎng)中IP地址沖突、ARP欺騙例：在學(xué)校宿宿舍網(wǎng)內(nèi)端口口地址綁定，，可以解決學(xué)學(xué)生隨意更改改IP地址，造成IP地址沖突，或或者學(xué)生利用用黑客工具，，進(jìn)行ARP地址欺騙。2、限制端口最最大連接數(shù)，，控制惡意擴(kuò)擴(kuò)展接入例：學(xué)校宿宿舍網(wǎng)可以以防止學(xué)生生隨意購(gòu)買(mǎi)買(mǎi)小型交換換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，，對(duì)網(wǎng)絡(luò)造造成破壞。。配置端口安安全MAC地址下面以以Cisco交換機(jī)為例例，來(lái)介紹紹端口安全全地址綁定定。MAC地址與端口口綁定可以以實(shí)現(xiàn)兩種種應(yīng)用：（1）設(shè)定一端端口只接受受第一次連連接該端口口的計(jì)算機(jī)機(jī)MAC地址，當(dāng)該該端口第一一次獲得某某計(jì)算機(jī)MAC地址后，其其他計(jì)算機(jī)機(jī)接入到此此端口所發(fā)發(fā)送的數(shù)據(jù)據(jù)幀則認(rèn)為為非法，做做丟棄處理理。Switch#configterminalSwitch(config)#interfaceinterface-id！進(jìn)入端口口Switch(config-if)#switchportmodeaccess！配置端口口為交換模模式Switch(config-if)#switchportport-security！打開(kāi)端口口安全模式式Switch(config-if)#switchportport-securityviolationprotect！設(shè)置違例例處理配置端口安安全MAC地址（2）設(shè)定一端端口只接受受某一特定定計(jì)算機(jī)MAC地址，其他他計(jì)算機(jī)均均無(wú)法接入入到此端口口。Switch#configterminalSwitch(config)#interfaceinterface-idSwitch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolationprotect//以上步驟與與第一種應(yīng)應(yīng)用相同Switch(config-if)#switchportport-securitymac-addressmac-address//將端口綁定定到特定的的MAC地址設(shè)置安全端端口最大連連接數(shù)可以通過(guò)MAC地址來(lái)限制制端口流量量。以下配配置允許一一接口最多多通過(guò)100個(gè)MAC地址，超過(guò)過(guò)100時(shí)，來(lái)自新新主機(jī)的數(shù)數(shù)據(jù)幀將丟丟失。具體體配置如下下：Switch#configterminalSwitch(config)#interfacefastEthernet0/1Switch(config)#SwitchportmodeaccessSwitch(config-if)#switchportport-securitymaximum100//允許通過(guò)的的最大MAC地址數(shù)目為為100Switch(config-if)#switchportport-securityviolationprotect//當(dāng)主機(jī)MAC地址數(shù)超過(guò)過(guò)100時(shí)，交換機(jī)機(jī)繼續(xù)工作作，但來(lái)自自新主機(jī)的的數(shù)據(jù)幀將將丟失配置安全違違例當(dāng)交換機(jī)端端口配制成成安全端口口后，以下下情況發(fā)生生時(shí)就產(chǎn)生生了一個(gè)安安全違例事事件：端口安全地地址數(shù)已達(dá)達(dá)最大安全全數(shù)目，這這時(shí)，如果果有一個(gè)安安全MAC地址表外的的MAC地址試圖訪訪問(wèn)這個(gè)端端口。如果一個(gè)站站點(diǎn)試圖訪訪問(wèn)這個(gè)端端口，而這這個(gè)站點(diǎn)的的源MAC地址已被配配置為其他他的端口的的安全地址址。配置安全違違例當(dāng)安全違例例產(chǎn)生時(shí)，，可以選擇擇多種方式式來(lái)處理違違例：protect：當(dāng)MAC地址的數(shù)量量達(dá)到了這這個(gè)端口所所最大允許許的數(shù)目，，帶有未知知的源地址址的數(shù)據(jù)幀幀就會(huì)被丟丟棄，直到到刪除了足足夠數(shù)量的的MAC地址為止。。restrict：當(dāng)安全違違例發(fā)生時(shí)時(shí)，產(chǎn)生一一個(gè)Trap消息并將““安全違規(guī)規(guī)”計(jì)數(shù)器器增加1。shutdown：一旦違例例發(fā)生，馬馬上關(guān)閉該該端口，并并且發(fā)送Trap消息。安全全端口由于于違例被關(guān)關(guān)閉后處在在error-disable狀態(tài)。如要要恢復(fù)該端端口，必須須敲入全局局命令errdisablerecoverycausepsecure-violation，或者手動(dòng)動(dòng)的shutdown然后再noshutdown恢復(fù)該端口口。這個(gè)是是Cisco交換機(jī)端口口安全違例例的默認(rèn)處處理方式。。配置安全端端口與IP地址綁定MAC地址與IP地址綁定基基本原理是是：在交換換機(jī)內(nèi)建立立MAC地址和IP地址映射的的ARP表。端口獲獲得的IP和MAC地址將匹配配該表，不不符合則丟丟棄該端口口發(fā)送的數(shù)數(shù)據(jù)幀。具具體實(shí)現(xiàn)方方法如下：：Switch#configureterminalSwitch(config)#arpip地址mac地址arpa如下命令建建立ip地址和mac地址0001.0001.1111綁定：Switch(config)#arp0001.0001.1111arpa注意：需要將網(wǎng)段段內(nèi)所有IP都建立MAC地址映射，，沒(méi)有使用用的IP地址可以與與0000.0000.0000建立映射。。否則該綁綁定對(duì)于網(wǎng)網(wǎng)段內(nèi)沒(méi)有有建立映射射的IP地址無(wú)效。。配置端口安安全老化當(dāng)為端口指指定最大安安全MAC地址數(shù)時(shí)，，交換機(jī)可可以不斷學(xué)學(xué)習(xí)到新MAC地址，并將將它添加到到該端口的的安全MAC地址表中。。這時(shí)，安安全MAC地址表中可可能會(huì)有一一些MAC地址長(zhǎng)期處處于不活動(dòng)動(dòng)狀態(tài)。為為了保障此此端口能夠夠得以充分分利用，可可以采用設(shè)設(shè)置端口安安全老化時(shí)時(shí)間和模式式的方式，，使系統(tǒng)能能夠自動(dòng)刪刪除長(zhǎng)時(shí)間間不活動(dòng)的的MAC地址，從而而減少網(wǎng)絡(luò)絡(luò)維護(hù)的工工作量。配配置端口安安全老化的的過(guò)程如下下：Switch(config)#interfaceinterface_id！指定欲配配置端口安安全老化的的接口Switch(config-if)#switchportport-securityagingtimeaging_time//為安全端口口配置老化化時(shí)間Switch(config-if)#switchportport-securityagingtype{absolute|inactivity}//為安全端口口設(shè)置老化化類型查看端口安安全設(shè)置在完成端口口安全相關(guān)關(guān)設(shè)置后，，可用下列列命令查看看端口安全全配置：Switch#showport-security！查看哪些些接口啟用用了端口安安全Switch#showport-securityaddress！查看安全全端口mac地址綁定關(guān)關(guān)系Switch#showport-securityinterfacef0/x配置交換機(jī)機(jī)端口安全全某公司拓?fù)鋼淙鐖D所示示，為了防防止局域網(wǎng)網(wǎng)內(nèi)部用戶戶的IP地址沖突，，防范內(nèi)部部網(wǎng)絡(luò)攻擊擊行為，公公司要求網(wǎng)網(wǎng)絡(luò)中心管管理員為財(cái)財(cái)務(wù)部中每每一臺(tái)計(jì)算算機(jī)配置固固定IP地址，并限限制只允許許局域網(wǎng)內(nèi)內(nèi)部員工的的電腦才可可以使用網(wǎng)網(wǎng)絡(luò)，不得得隨意連接接其他主機(jī)機(jī)。此外，，公司還需需限制業(yè)務(wù)務(wù)部的最大大連接數(shù)目目為2。財(cái)務(wù)部業(yè)務(wù)部PC1

PC2

PC3

F0/1F0/2F0/1F0/2F0/3階段總結(jié)網(wǎng)絡(luò)安全概概述安全威脅、、網(wǎng)絡(luò)攻攻擊方法、、網(wǎng)絡(luò)攻攻擊的防御御技術(shù)管理設(shè)備控控制臺(tái)安全全保護(hù)設(shè)備控控制臺(tái)的安安全措施、、配置交交換機(jī)遠(yuǎn)程程登錄的安安全措施交換機(jī)端口口安全端口安全概概述、端端口安全的的配置和維維護(hù)任務(wù)進(jìn)度配置交換機(jī)端口安全1配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)安全技術(shù)2√ISP1、什么是訪訪問(wèn)列表ACL對(duì)經(jīng)過(guò)設(shè)備備的數(shù)據(jù)包包，根據(jù)一一定的規(guī)則則，進(jìn)行數(shù)數(shù)據(jù)包的過(guò)過(guò)濾?！蘁TPRG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部門(mén)所所屬VLAN不同12221112技術(shù)部VLAN20財(cái)務(wù)部VLAN10隔離病毒源源隔離外網(wǎng)病病毒2、為什么要要使用訪問(wèn)問(wèn)列表ACL的功能通過(guò)靈活地地應(yīng)用訪問(wèn)問(wèn)控制列表表，可以把把ACL作為一種網(wǎng)網(wǎng)絡(luò)控制的的有力工具具，用來(lái)實(shí)實(shí)現(xiàn)以下功功能：提供對(duì)通訊訊流量的控控制手段。。提供網(wǎng)絡(luò)訪訪問(wèn)的基本本安全手段段。在路由器接接口處，決決定哪種類類型的通訊訊流量被轉(zhuǎn)轉(zhuǎn)發(fā)，哪種種類型的流流量被丟棄棄。ACL檢查數(shù)據(jù)包包幀報(bào)頭數(shù)據(jù)包段數(shù)據(jù)源地址目的地址協(xié)議端口號(hào)拒絕允許使用ACL規(guī)則來(lái)檢驗(yàn)數(shù)據(jù)包交換機(jī)支持持的訪問(wèn)控控制列表交換機(jī)支持持三種訪問(wèn)問(wèn)控制列表表的應(yīng)用過(guò)過(guò)濾傳輸：：端口訪問(wèn)控控制列表：：也稱MAC訪問(wèn)控制列列表。對(duì)進(jìn)進(jìn)入二層接接口的通信信實(shí)施訪問(wèn)問(wèn)控制。交交換機(jī)不支支持外出訪訪問(wèn)的訪問(wèn)問(wèn)控制列表表。在三層層接口可以以應(yīng)用IP訪問(wèn)控制列列表和端口口訪問(wèn)控制制列表。路由訪問(wèn)控控制列表：：對(duì)VLAN之間以及三三層接口之之間通信實(shí)實(shí)施訪問(wèn)控控制。并且且可以控制制進(jìn)、出雙雙向通信。。VLAN訪問(wèn)控制列列表：也稱稱VLAN映射，對(duì)所所有包實(shí)現(xiàn)現(xiàn)訪問(wèn)控制制。在同一一VLAN的設(shè)備之間間，可以采采用VLANACL實(shí)施訪問(wèn)控控制。VLAN訪問(wèn)控制列列表的配置置與訪問(wèn)控控制均基于于IP地址，不支支持基于MAC地址的訪問(wèn)問(wèn)控制。訪問(wèn)控制列列表的類型型訪問(wèn)問(wèn)控控制制列列表表的的分分類類：：1、標(biāo)標(biāo)準(zhǔn)準(zhǔn)ＡＡＣＣＬＬ2、擴(kuò)擴(kuò)展展ＡＡＣＣＬＬ3、命命名名ＡＡＣＣＬＬ（（標(biāo)標(biāo)準(zhǔn)準(zhǔn)／／擴(kuò)擴(kuò)展展））訪問(wèn)問(wèn)控控制制列列表表工工作作過(guò)過(guò)程程可路由嗎？N路由表選擇入口？接口配置ACL？規(guī)則允許？丟棄數(shù)據(jù)通知發(fā)送端入站

數(shù)據(jù)包選擇接口出站出站NYNYYYN配置置標(biāo)標(biāo)準(zhǔn)準(zhǔn)訪訪問(wèn)問(wèn)控控制制列列表表標(biāo)準(zhǔn)準(zhǔn)ACL的工工作作過(guò)過(guò)程程標(biāo)準(zhǔn)準(zhǔn)ACL只檢檢查查可可以以被被路路由由的的數(shù)數(shù)據(jù)據(jù)包包的的源源地地址址，，從從而而允允許許或或拒拒絕絕基基于于網(wǎng)網(wǎng)絡(luò)絡(luò)、、子子網(wǎng)網(wǎng)或或主主機(jī)機(jī)IP地址址的的所所有有流流量量通通過(guò)過(guò)路路由由器器。。從路路由由器器某某一一接接口口進(jìn)進(jìn)來(lái)來(lái)的的數(shù)數(shù)據(jù)據(jù)包包經(jīng)經(jīng)過(guò)過(guò)檢檢查查其其源源地地址址和和協(xié)協(xié)議議類類型型，，并并且且與與ACL條件件判判斷斷語(yǔ)語(yǔ)句句相相匹匹配配，，如如果果匹匹配配，，則則執(zhí)執(zhí)行行允允許許或或拒拒絕絕。。如如果果該該數(shù)數(shù)據(jù)據(jù)包包被被允允許許通通過(guò)過(guò)，，就就從從路路由由器器的的出出口口轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)出出去去；；如如果果該該數(shù)數(shù)據(jù)據(jù)包包被被拒拒絕絕通通過(guò)過(guò)，，就就丟丟棄棄它它。。當(dāng)當(dāng)網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理員員要要允允許許或或阻阻止止來(lái)來(lái)自自某某一一網(wǎng)網(wǎng)絡(luò)絡(luò)的的所所有有通通信信流流量量，，可可以以使使用用標(biāo)標(biāo)準(zhǔn)準(zhǔn)ACL來(lái)實(shí)實(shí)現(xiàn)現(xiàn)這這一一目目標(biāo)標(biāo)。。標(biāo)準(zhǔn)準(zhǔn)訪訪問(wèn)問(wèn)列列表表只根根據(jù)據(jù)源源IP地址址，，進(jìn)進(jìn)行行數(shù)數(shù)據(jù)據(jù)包包的的過(guò)過(guò)濾濾。。學(xué)生生網(wǎng)網(wǎng)段段校領(lǐng)領(lǐng)導(dǎo)導(dǎo)網(wǎng)網(wǎng)段段教研研網(wǎng)網(wǎng)段段標(biāo)準(zhǔn)準(zhǔn)列列表表規(guī)規(guī)則則定定義義源地地址址TCP/UDP數(shù)據(jù)據(jù)IPeg.HDLC1-99號(hào)列列表表IP標(biāo)準(zhǔn)準(zhǔn)訪訪問(wèn)問(wèn)列列表表1、定定義義標(biāo)標(biāo)準(zhǔn)準(zhǔn)ACLRouter(config)#access-list<1-99>{permit|deny}源地地址址[反掩掩碼碼]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地地址址[反掩掩碼碼]2、應(yīng)應(yīng)用用ACL到接接口口Router(config-if)#ipaccess-group<1-99>|{name}{in|out}0表示示檢檢查查相相應(yīng)應(yīng)的的地地址址比比特特1表示示不不檢檢查查相相應(yīng)應(yīng)的的地地址址比比特特00111111128643216842100000000000011111111110011111111反掩掩碼碼（（通通配配符符））通配配符符掩掩碼碼是是一一個(gè)個(gè)32比特特位位。。其其中中0表示示““檢檢查查相相應(yīng)應(yīng)的的位位””，，1表示示““不不檢檢查查相相應(yīng)應(yīng)的的位位””。。在IP子網(wǎng)網(wǎng)掩掩碼碼中中，，數(shù)數(shù)字字1和0用來(lái)來(lái)決決定定是是網(wǎng)網(wǎng)絡(luò)絡(luò)，，還還是是主主機(jī)機(jī)的的IP地址址。。通配配符符掩掩碼碼與與子子網(wǎng)網(wǎng)掩掩碼碼工工作作原原理理是是不不同同的的。。如如表表示示這個(gè)個(gè)網(wǎng)網(wǎng)段段，，使使用用通通配配符符掩掩碼碼應(yīng)應(yīng)為為55。在通配配符掩掩碼用用55表示所所有IP地址，，全為為1說(shuō)明所所有32位都不不檢查查，這這是可可以用用any來(lái)取代代。的通配配符掩掩碼則則表示示所有有32位都要要進(jìn)行行匹配配，這這樣只只表示示一個(gè)個(gè)IP地址，，可以以用host表示。。access-list1permit55(access-list1deny55)interfaceserial0ipaccess-group1outF0S0F1InternetIP標(biāo)準(zhǔn)訪訪問(wèn)列列表配配置只允許許網(wǎng)絡(luò)中中的計(jì)計(jì)算機(jī)機(jī)訪問(wèn)問(wèn)互聯(lián)聯(lián)網(wǎng)絡(luò)絡(luò)IP標(biāo)準(zhǔn)訪訪問(wèn)列列表配配置技技術(shù)阻止5主機(jī)通通過(guò)E0訪問(wèn)網(wǎng)網(wǎng)絡(luò)，，而允允許其其他的的機(jī)器器訪問(wèn)問(wèn)Router（config）#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in配置標(biāo)標(biāo)準(zhǔn)訪訪問(wèn)控控制列列表拓?fù)淙缛鐖D所所示，，要實(shí)實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)一一和網(wǎng)網(wǎng)絡(luò)二二隔離離，可可以在在路由由器R2上做標(biāo)標(biāo)準(zhǔn)ACL技術(shù)控控制，，以實(shí)實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)之之間的的隔離離。網(wǎng)絡(luò)三/24網(wǎng)絡(luò)一/24網(wǎng)絡(luò)二/24PC1：PC2：F0/0R2F0/0S2/0S2/0R1訪問(wèn)控控制列列表概概述訪問(wèn)表表（accesslist）是一一個(gè)有有序的的語(yǔ)句句集，，它通通過(guò)匹匹配報(bào)報(bào)文中中信息息與訪訪問(wèn)表表參數(shù)數(shù)，來(lái)來(lái)允許許報(bào)文文通過(guò)過(guò)或拒拒絕報(bào)報(bào)文通通過(guò)某某個(gè)接接口。。訪問(wèn)控控制列列表概概述訪問(wèn)控控制列列表總總的說(shuō)說(shuō)起來(lái)來(lái)有下下面三三個(gè)作作用:安全控控制流量過(guò)過(guò)濾數(shù)據(jù)流流量標(biāo)標(biāo)識(shí)ACL工作原原理及及規(guī)則則ACL語(yǔ)句有有兩個(gè)個(gè)組件件：一一個(gè)是是條件件，一一個(gè)是是操作作條件：：一個(gè)個(gè)組的的規(guī)則則操作：：當(dāng)ACL語(yǔ)句條條件與與比較較的數(shù)數(shù)據(jù)包包內(nèi)容容匹配配時(shí)，，可以以采取取允許許和拒拒絕兩兩個(gè)操操作。。ACL工作原原理及及規(guī)則則入站ACLACL工作原原理及及規(guī)則則出站ACLACL工作原原理及及規(guī)則則基本規(guī)規(guī)則、、準(zhǔn)則則和限限制ACL語(yǔ)句按按名稱稱或編編號(hào)分分組；；每條ACL語(yǔ)句都都只有有一組組條件件和操操作，，如果果需要要多個(gè)個(gè)條件件或多多個(gè)行行動(dòng)，，則必必須生生成多多個(gè)ACL語(yǔ)句；；如果一一條語(yǔ)語(yǔ)句的的條件件中沒(méi)沒(méi)有找找到匹匹配，，則處處理列列表中中的下下一條條語(yǔ)句句；如果在在ACL組的一一條語(yǔ)語(yǔ)句中中找到到匹配配，則則不再再處理理后面面的語(yǔ)語(yǔ)句；；如果處處理了了列表表中的的所有有語(yǔ)句句而沒(méi)沒(méi)有指指定匹匹配，，不可可見(jiàn)到到的隱隱式拒拒絕語(yǔ)語(yǔ)句拒拒絕該該數(shù)據(jù)據(jù)包；；由于在在ACL語(yǔ)句組組的最最后隱隱式拒拒絕，，所以以至少少要有有一個(gè)個(gè)允許許操作作，否否則，，所有有數(shù)據(jù)據(jù)包都都會(huì)被被拒絕絕；語(yǔ)句的的順序序很重重要，，約束束性最最強(qiáng)的的語(yǔ)句句應(yīng)該該放在在列表表的頂頂部，，約束束性最最弱的的語(yǔ)句句應(yīng)該該放在在列表表的底底部；；ACL工作原原理及及規(guī)則則基本規(guī)規(guī)則、、準(zhǔn)則則和限限制一個(gè)空空的ACL組允許許所有有數(shù)據(jù)據(jù)包，，空的的ACL組已經(jīng)經(jīng)在路路由器器上被被激活活，但但不包包含語(yǔ)語(yǔ)句的的ACL，要使使隱式式拒絕絕語(yǔ)句句起作作用，，則在在ACL中至少少要有有一條條允許許或拒拒絕語(yǔ)語(yǔ)句；；只能在在每個(gè)個(gè)接口口、每每個(gè)協(xié)協(xié)議、、每個(gè)個(gè)方向向上應(yīng)應(yīng)用一一個(gè)ACL；在數(shù)據(jù)據(jù)包被被路由由到其其它接接口之之前，，處理理入站站ACL；在數(shù)據(jù)據(jù)包被被路由由到接接口之之后，，而在在數(shù)據(jù)據(jù)包離離開(kāi)接接口之之前，，處理理出站站ACL；當(dāng)ACL應(yīng)用到到一個(gè)個(gè)接口口時(shí)，，這會(huì)會(huì)影響響通過(guò)過(guò)接口口的流流量，，但ACL不會(huì)過(guò)過(guò)濾路路由器器本身身產(chǎn)生生的流流量。。ACL工作原理理及規(guī)則則ACL放置在什什么位置置:只過(guò)濾數(shù)數(shù)據(jù)包源源地址的的ACL應(yīng)該放置置在離目目的地盡盡可能近近的地方方；過(guò)濾數(shù)據(jù)據(jù)包的源源地址和和目的地地址以及及其他信信息的ACL，則應(yīng)該該放在離離源地址址盡可能能近的地地方；只過(guò)濾數(shù)數(shù)據(jù)包中中的源地地址的ACL有兩個(gè)局局限性：：即使ACL應(yīng)用到路路由器C的E0，任何用用戶A來(lái)的流量量都將被被禁止訪訪問(wèn)該網(wǎng)網(wǎng)段的任任何資源源，包括括數(shù)據(jù)庫(kù)庫(kù)服務(wù)器器。流量要經(jīng)經(jīng)過(guò)所有有到達(dá)目目的地的的途徑，，它在即即將到達(dá)達(dá)目的地地時(shí)被丟丟棄，這這是對(duì)帶帶寬的浪浪費(fèi)。ACL的種類兩種基本本的ACL：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)IPACL只能過(guò)濾濾IP數(shù)據(jù)包頭頭中的源源IP地址擴(kuò)展IPACL可以過(guò)濾濾源IP地址、目目的IP地址、協(xié)協(xié)議（TCP/IP）、協(xié)議議信息（（端口號(hào)號(hào)、標(biāo)志志代碼））等，訪問(wèn)控制制列表標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過(guò)濾濾IP數(shù)據(jù)包頭頭中的源源IP地址標(biāo)準(zhǔn)ACL通常用在在路由器器配置以以下功能能：限制通過(guò)過(guò)VTY線路對(duì)路路由器的的訪問(wèn)（（telnet、SSH）；限制通過(guò)過(guò)HTTP或HTTPS對(duì)路由器器的訪問(wèn)問(wèn)；過(guò)濾路由由更新。。標(biāo)準(zhǔn)ACL通過(guò)兩種種方式創(chuàng)創(chuàng)建標(biāo)準(zhǔn)準(zhǔn)ACL：編號(hào)或或名稱使用編號(hào)號(hào)使用編號(hào)號(hào)創(chuàng)建ACL在接口上上應(yīng)用In：當(dāng)流量量從網(wǎng)絡(luò)絡(luò)網(wǎng)段進(jìn)進(jìn)入路由由器接口口時(shí)Out：當(dāng)流量量離開(kāi)接接口到網(wǎng)網(wǎng)絡(luò)網(wǎng)段段時(shí)Router(config)#access-listlistnumber{permit|deny}address[wildcard–mask]Router(config-if)#ipaccess-group{id|name}{in|out}允許/拒絕標(biāo)準(zhǔn)ACL使用命名名定義ACL名稱定義規(guī)則則在接口上上應(yīng)用Router(config)#ipaccess-liststandardnameRouter(config-std-nacl)#{deny|permit[sourcewildcardany]}Router(config-if)#ipaccess-group{id|name}{in|out}配置標(biāo)準(zhǔn)準(zhǔn)ACL示例5454訪問(wèn)控制制列表實(shí)習(xí)項(xiàng)目目：配置置標(biāo)準(zhǔn)訪訪問(wèn)列表表控制網(wǎng)網(wǎng)絡(luò)流量量【工作任務(wù)務(wù)】如圖所示示的網(wǎng)絡(luò)絡(luò)拓?fù)涫鞘悄炒髮W(xué)學(xué)計(jì)算機(jī)機(jī)科學(xué)技技術(shù)學(xué)院院學(xué)院學(xué)學(xué)生網(wǎng)和和行政辦辦公網(wǎng)網(wǎng)網(wǎng)絡(luò)工作作場(chǎng)景，，要實(shí)現(xiàn)現(xiàn)學(xué)生網(wǎng)網(wǎng)（）和行政政辦公網(wǎng)網(wǎng)（）的隔離離，可以以在其中中R1路由器上上做標(biāo)準(zhǔn)準(zhǔn)ACL技術(shù)控制制，以實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)絡(luò)之間的的隔離【項(xiàng)目設(shè)備備】路由器（（2臺(tái)）；網(wǎng)網(wǎng)線（若若干）；；測(cè)試PC（2臺(tái)）；【實(shí)施過(guò)程程】……………階段總結(jié)結(jié)ACL簡(jiǎn)介訪問(wèn)列表表功能、、交換換機(jī)支持持的訪問(wèn)問(wèn)控制列列表、、訪問(wèn)控控制列表表的類型型、訪問(wèn)問(wèn)控制列列表工作作過(guò)程配置標(biāo)準(zhǔn)準(zhǔn)訪問(wèn)控控制列表表標(biāo)準(zhǔn)ACL的工作過(guò)過(guò)程、、配置標(biāo)標(biāo)準(zhǔn)ACL任務(wù)進(jìn)度度配置交換機(jī)端口安全1配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)安全技術(shù)23配置擴(kuò)展展訪問(wèn)控控制列表表訪問(wèn)安安全技術(shù)術(shù)√√擴(kuò)展型訪訪問(wèn)控制制列表擴(kuò)展型訪訪問(wèn)控制制列表（（ExtendedIPACL）在在數(shù)據(jù)包包的過(guò)濾濾和控制制方面，，增加了了更多的的精細(xì)度度和靈活活性，具具有比標(biāo)標(biāo)準(zhǔn)的ACL更更強(qiáng)大數(shù)數(shù)據(jù)包檢檢查功能能。擴(kuò)展ACL不僅僅檢查數(shù)數(shù)據(jù)包源源IP地地址，還還檢查數(shù)數(shù)據(jù)包中中目的IP地址址，源端端口，目目的端口口、建立立連接和和IP優(yōu)優(yōu)先級(jí)等等特征信信息。利利用這些些選項(xiàng)對(duì)對(duì)數(shù)據(jù)包包特征信信息進(jìn)行行匹配。。ACL分類-擴(kuò)展訪問(wèn)問(wèn)列表擴(kuò)展ACL可以根據(jù)據(jù)數(shù)據(jù)包包內(nèi)的源源、目的的地址，，應(yīng)用服服務(wù)進(jìn)行行過(guò)濾。。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段郵件serverWEBserver目的地址址源地址協(xié)議端口號(hào)100-199號(hào)列表TCP/UDP數(shù)據(jù)IPeg.HDLCIP擴(kuò)展訪問(wèn)問(wèn)列表（（1）擴(kuò)展訪問(wèn)問(wèn)控制列列表可以通過(guò)過(guò)兩種方方式為擴(kuò)擴(kuò)展ACL語(yǔ)句分組組：通過(guò)過(guò)編號(hào)或或名稱編號(hào)的擴(kuò)擴(kuò)展ACL創(chuàng)建擴(kuò)展展ACL接口上應(yīng)應(yīng)用Router(config)#access-listlistnumber{permit|deny}protocolsourcesource-wildcard––maskdestinationdestination-wildcard–mask[operatoroperand]Router(config-if)#ipaccess-group{id|name}{in|out}擴(kuò)展訪問(wèn)問(wèn)控制列列表命名的標(biāo)標(biāo)準(zhǔn)ACL定義擴(kuò)展展ACL名稱定義規(guī)則則在接口上上應(yīng)用Router(config)#ipacess-listextendednameRouter(config-if)#ipaccess-group{id|name}{in|out}Router(conig-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]驗(yàn)證ACL配置顯示所有協(xié)議議的所有ACL查看接口應(yīng)用用的ACL情況Router#showaccess-listsRouter#showipaccess-group沖擊波（MSBlaster）病毒－－蠕蟲(chóng)病毒毒，大量ICMP掃描，導(dǎo)致網(wǎng)網(wǎng)絡(luò)阻塞利用ACL關(guān)閉ICMP服務(wù)，以及相相應(yīng)端口。益處：抑制蠕蠕蟲(chóng)攻擊，控控制蠕蟲(chóng)蔓延延，保證網(wǎng)絡(luò)絡(luò)帶寬。配置示例：access-list

101denytcpany

any

eq135阻止感染病毒毒的PC向其它正常PC的135端口發(fā)布攻擊擊代碼。access-list

101denyudpany

any

eqtftp限制目標(biāo)主機(jī)機(jī)通過(guò)tftp下載病毒。access-list

101denyicmpanyany阻斷感染病毒毒的PC向外發(fā)送大量量的ICMP報(bào)文，防止其其堵塞網(wǎng)絡(luò)。。接入交換機(jī)RG-S2126G防病毒配置RG-2126G-2(config)#ipaccess-listextendeddeny_wormsRG-2126G-2(config-ext-nacl)#denytcpanyanyeq135RG-2126G-2(config-ext-nacl)#denytcpanyanyeq136RG-2126G-2(config-ext-nacl)#denytcpanyanyeq137RG-2126G-2(config-ext-nacl)#denytcpanyanyeq138RG-2126G-2(config-ext-nacl)#denytcpanyanyeq139RG-2126G-2(config-ext-nacl)#denytcpanyanyeq445RG-2126G-2(config-ext-nacl)#denyudpanyanyeq135RG-2126G-2(config-ext-nacl)#denyudpanyanyeq136RG-2126G-2(config-ext-nacl)#denyudpanyanyeqnetbios-nsRG-2126G-2(config-ext-nacl)#denyudpanyanyeqnetbios-dgmRG-2126G-2(config-ext-nacl)#denyudpanyanyeqnetbios-ssRG-2126G-2(config-ext-nacl)#denyudpanyanyeq445RG-2126G-2(config-ext-nacl)#permitipanyanyRG-2126G-2(config-ext-nacl)#exitRG-2126G-2(config)#interfacerangefa0/1-24RG-2126G-2(config-if-range)#ipaccess-groupdeny_wormsin配置擴(kuò)展ACL示例配置擴(kuò)展ACL示例項(xiàng)目：配置擴(kuò)擴(kuò)展訪問(wèn)列表表保護(hù)服務(wù)器器安全【工作任務(wù)】如圖所示網(wǎng)絡(luò)絡(luò)拓?fù)涫侵斜北贝髮W(xué)計(jì)算機(jī)機(jī)科學(xué)技術(shù)學(xué)學(xué)院學(xué)院學(xué)生生網(wǎng)和行政辦辦公網(wǎng)網(wǎng)絡(luò)工工作場(chǎng)景，要要實(shí)現(xiàn)教師網(wǎng)網(wǎng)（）和學(xué)生網(wǎng)（（）之間的互相相連通，但不不允許學(xué)生網(wǎng)網(wǎng)訪問(wèn)教師網(wǎng)網(wǎng)中的FTP服務(wù)器，可以以在路由器R2上做擴(kuò)展ACL技術(shù)控制，以以實(shí)現(xiàn)網(wǎng)絡(luò)之之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（（若干）；測(cè)測(cè)試PC（2臺(tái)）；【實(shí)施過(guò)程】…………配置擴(kuò)展訪問(wèn)問(wèn)控制列表擴(kuò)展ACL的工作過(guò)程接口是否有ACL？N丟棄數(shù)據(jù)Y是否匹配源地址？匹配目的地址？匹配協(xié)議端口？允許或拒絕？通知發(fā)送端將數(shù)據(jù)包轉(zhuǎn)發(fā)出去最后一條規(guī)則？至下一條規(guī)則YYYNNNNY拒絕允許擴(kuò)展型訪問(wèn)控控制列表擴(kuò)展型訪問(wèn)控控制列表（ExtendedIPACL）在數(shù)據(jù)包的的過(guò)濾和控制制方面，增加加了更多的精精細(xì)度和靈活活性，具有比比標(biāo)準(zhǔn)的ACL更強(qiáng)大數(shù)據(jù)包包檢查功能。。擴(kuò)展ACL不僅檢查數(shù)據(jù)據(jù)包源IP地址，還檢查查數(shù)據(jù)包中目目的IP地址，源端口口，目的端口口、建立連接接和IP優(yōu)先級(jí)等特征征信息。利用用這些選項(xiàng)對(duì)對(duì)數(shù)據(jù)包特征征信息進(jìn)行匹匹配。擴(kuò)展訪問(wèn)列表表擴(kuò)展ACL可以根據(jù)數(shù)據(jù)據(jù)包內(nèi)的源、、目的地址，，應(yīng)用服務(wù)進(jìn)進(jìn)行過(guò)濾。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段郵件serverWEBserver目的地址源地址協(xié)議端口號(hào)100-199號(hào)列表TCP/UDP數(shù)據(jù)IPeg.HDLCIP擴(kuò)展訪問(wèn)列表表IP擴(kuò)展訪問(wèn)列表表的配置1、定義擴(kuò)展的的ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩掩碼[源端口]目的地址反反掩碼[目的端口]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>|{name}{in|out}實(shí)例2.3配置擴(kuò)展訪問(wèn)問(wèn)控制列表拓?fù)淙鐖D所示示，某公司銷銷售部的網(wǎng)絡(luò)絡(luò)和財(cái)務(wù)部的的網(wǎng)絡(luò)通過(guò)路路由器R1和R2相連，對(duì)整個(gè)個(gè)網(wǎng)絡(luò)配置RIPv2動(dòng)態(tài)路由協(xié)議議，保證網(wǎng)絡(luò)絡(luò)正常通信。。網(wǎng)絡(luò)三/24銷售部/24財(cái)務(wù)部/24PC1：F0/0R2F0/0S2/0S2/0R1FTP服務(wù)器：WEB服務(wù)器：命名訪問(wèn)控制制列表命名ACL不使用編號(hào)而而使用字符串串來(lái)定義規(guī)則則。在網(wǎng)絡(luò)管管理過(guò)程中，，隨時(shí)根據(jù)網(wǎng)網(wǎng)絡(luò)變化修改改某一條規(guī)則則，調(diào)整用戶戶訪問(wèn)權(quán)限。。通過(guò)字符串組組成的名字直直觀地表示特特定ACL；不受編號(hào)ACL中100條限制；可以方便的對(duì)對(duì)ACL進(jìn)行修改，無(wú)無(wú)需刪除重新新配置命名訪問(wèn)控制制列表1、定義命名的的ACLipaccess-list{standard|extented}namepermit|deny{source{source-wilcard}｜any}2、應(yīng)用ACL到接口Router(config-if)#ipaccess-groupname{in|out}情境分解項(xiàng)目目配置企業(yè)業(yè)內(nèi)網(wǎng)安全拓?fù)淙鐖D所示示，Center公司北京總部部四個(gè)部門(mén)通通過(guò)交換機(jī)統(tǒng)統(tǒng)一連接到核核心交換機(jī)上上，總部設(shè)有有財(cái)務(wù)、研發(fā)發(fā)、高管、信信息中心四個(gè)個(gè)部門(mén)，每個(gè)個(gè)部門(mén)屬于一一個(gè)VLAN。為了防止止企業(yè)網(wǎng)出現(xiàn)現(xiàn)ARP攻擊，我們需需要在二層交交換機(jī)上配置置端口安全。。為了保證財(cái)財(cái)務(wù)部的敏感感數(shù)據(jù)的安全全性，我們需需要在在三層層交換機(jī)上配配置安全策略略，只允許高高管部可以訪訪問(wèn)財(cái)務(wù)部。。為了防止連連接外網(wǎng)的出出口路由器出出現(xiàn)DoS拒絕服務(wù)攻擊擊，我們需要要在出口路由由器上配置擴(kuò)擴(kuò)展ACL，不允許外網(wǎng)網(wǎng)用戶ping出口路由器。。情境分解項(xiàng)目目拓?fù)鋱DPC1/24GW:VLAN10財(cái)務(wù)部BJ-RS-1BJ-RS-2BJ-R-1SH-R-1BJ-S-4BJ-S-3F0/15F0/15E0/0E0/1E0/2E0/2F0/6F0/6F0/6F0/6E0/0InternetF0/3F0/4/24/24/24/24/24/24F0/3F0/4PC2/24GW:VLAN20研發(fā)部PC3/24GW:VLAN20高管部Web服務(wù)器/24GW:VLAN127信息中心PC5/24GW:/24階段總結(jié)配置擴(kuò)展訪問(wèn)問(wèn)控制列表擴(kuò)展ACL的工作過(guò)程、配置擴(kuò)展ACL命名訪問(wèn)控制制列表任務(wù)進(jìn)度配置交換機(jī)端口安全1配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)安全技術(shù)23配置擴(kuò)展訪問(wèn)問(wèn)控制列表訪訪問(wèn)安全技術(shù)術(shù)√√√管理設(shè)備控制制臺(tái)安全本章結(jié)構(gòu)企業(yè)內(nèi)網(wǎng)安全全控制網(wǎng)絡(luò)安全概述述訪問(wèn)控制列表表技術(shù)交換機(jī)端口安安全標(biāo)準(zhǔn)訪問(wèn)控制制列表擴(kuò)展訪問(wèn)控制制列表命名訪問(wèn)控制制列表端口安全概述述端口安全配置置與維護(hù)9、靜夜四無(wú)無(wú)鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹(shù)樹(shù)，，燈燈下下白白頭頭人人。。。。12:29:3312:29:3312:2912/29/202212:29:33PM11、以我我獨(dú)沈沈久，，愧君君相見(jiàn)見(jiàn)頻。。。12月月-2212:29:3312:29Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。12:29:3312:29:3312:29Thursday,December29,202213、乍見(jiàn)翻疑夢(mèng)夢(mèng)，相悲各問(wèn)問(wèn)年。。12月-2212月-2212:29:3312:29:33December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國(guó)國(guó)見(jiàn)見(jiàn)青青山山