交換機(jī)路由器配置管理第二十二章訪問控制列表_第1頁
交換機(jī)路由器配置管理第二十二章訪問控制列表_第2頁
交換機(jī)路由器配置管理第二十二章訪問控制列表_第3頁
交換機(jī)路由器配置管理第二十二章訪問控制列表_第4頁
交換機(jī)路由器配置管理第二十二章訪問控制列表_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

2023/12/7可編輯1第22章訪問控制列表主講:張平安教授2023/12/7可編輯2學(xué)習(xí)目標(biāo)知識目標(biāo)掌握路由器的標(biāo)準(zhǔn)訪問控制列表的基本原理掌握路由器的擴(kuò)展訪問控制列表的基本原理技能目標(biāo)熟練掌握標(biāo)準(zhǔn)訪問控制列表的配置方法與技巧熟練掌握擴(kuò)展訪問控制列表的配置方法與技巧素養(yǎng)目標(biāo)培養(yǎng)初步的網(wǎng)絡(luò)訪問權(quán)限的設(shè)計能力培養(yǎng)自覺的信息安全意識每課一屏了解網(wǎng)絡(luò)安全形勢2023/12/7可編輯3路由器安全功能2023/12/7可編輯4路由器主要功能是發(fā)現(xiàn)達(dá)到目標(biāo)網(wǎng)絡(luò)的路徑又是硬件防火墻配置訪問列表實現(xiàn)包過濾網(wǎng)絡(luò)地址轉(zhuǎn)換訪問列表2023/12/7可編輯5路由器配置訪問列表可以控制網(wǎng)絡(luò)流量,按規(guī)則過濾數(shù)據(jù)報文,提高網(wǎng)絡(luò)的安全性。訪問控制列表分類2023/12/7可編輯6包過濾規(guī)則稱為訪問列表。對于IP,IPX或AppleTalk網(wǎng)絡(luò),其過濾規(guī)則有差異,IP網(wǎng)絡(luò)的稱為IP訪問列表(AccessList)標(biāo)準(zhǔn)IP訪問列表該種包過濾規(guī)則只對數(shù)據(jù)包中的源地址進(jìn)行檢查擴(kuò)展IP訪問列表該種包過濾規(guī)則對數(shù)據(jù)包中的源地址、目的地址、協(xié)議(如TCP,UDP,ICMP,Telnet,F(xiàn)TP等)或者端口號進(jìn)行檢查認(rèn)識協(xié)議與端口號2023/12/7可編輯7牢記ACL編號規(guī)則2023/12/7可編輯8如何判斷符合匹配規(guī)則2023/12/7可編輯9標(biāo)準(zhǔn)和擴(kuò)展的IPACL都允許用戶指定一個特定的IP地址或者一個IP地址范圍。如果數(shù)據(jù)包的地址屬于所配置的地址范圍之內(nèi),那么數(shù)據(jù)包就符合匹配規(guī)則ACL的通配符掩碼定義了數(shù)據(jù)包地址中的哪部分需要匹配ACL中已列出的地址,以及哪些部分不需要匹配。特殊匹配地址2023/12/7可編輯10訪問列表表項匹配規(guī)則用同一標(biāo)識號碼定義一系列access-list語句從最先定義的條件開始依次檢查,如數(shù)據(jù)包滿足某個語句的條件,則執(zhí)行該語句所定義的“允許”或者“拒絕”動作,并且列表中的后續(xù)語句就不再處理。如果數(shù)據(jù)包不滿足規(guī)則中的所有條件,Cisco路由器默認(rèn)禁止該數(shù)據(jù)包通過,即丟掉該數(shù)據(jù)包。路由器在訪問列表最后默認(rèn)一條禁止所有數(shù)據(jù)包通過的語句。語句之間的排列順序很重要,因為第一次匹配后,剩下的語句就不再處理。2023/12/7可編輯11思科兩個重要的ACL設(shè)計建議如何排列ACL陳述的順序?qū)⒈容^精確的陳述放在前面比較概括的陳述放在后面在網(wǎng)絡(luò)中的什么位置放置ACL有關(guān)對于標(biāo)準(zhǔn)ACL,Cisco建議將ACL盡可能的靠近目的主機(jī)對于擴(kuò)展ACL,應(yīng)盡可能地靠近源主機(jī)2023/12/7可編輯12常用命令2023/12/7可編輯13關(guān)于入站與出站2023/12/7可編輯14入站表示流量從外源進(jìn)入接口。對于入站ACL,在IOS將分組轉(zhuǎn)發(fā)到其他接口之前,ISO將分組和接口的ACL進(jìn)行比較。出站表示在流量出接口之前。對于出站ACL,在接口上接收分組,然后將分組轉(zhuǎn)發(fā)到出站接口,此時,IOS才將分組和ACL進(jìn)行比較。2023/12/7可編輯15標(biāo)準(zhǔn)訪問控制列表學(xué)習(xí)情景2023/12/7可編輯16擴(kuò)展訪問控制列表學(xué)習(xí)情境2023/12/7可編輯17任務(wù)與設(shè)計詳見標(biāo)準(zhǔn)訪問控制列表網(wǎng)絡(luò)系統(tǒng)參數(shù)設(shè)計擴(kuò)展訪問控制列表網(wǎng)絡(luò)系統(tǒng)參數(shù)設(shè)計訪問控制列表配置步驟確定訪問控制列表號設(shè)計訪問控制列表規(guī)則全局模式下配置訪問控制列表接口模式下綁定訪問控制列表2023/12/7可編輯182023/12/7可編輯19訪問控制列表任務(wù)實施相關(guān)準(zhǔn)備工作配置交換機(jī)VLAN配置路由器的IP配置路由器的路由配置ACL驗證拓展學(xué)習(xí)訪問控制列表除了上述介紹的標(biāo)準(zhǔn)ACL和擴(kuò)展ACL外,思科路由器產(chǎn)品還提供了命名ACL和基于時間的ACL,動態(tài)ACL和自反ACL。2023/12/7可編輯202023/12/7

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論