項目安全策略與數(shù)據(jù)流量過濾(PPT 43頁).ppt

1、項目十二 安全策略與數(shù)據(jù)流量過濾,1.教學(xué)目標 掌握網(wǎng)絡(luò)安全策略布置原則，掌握IP標準及擴展訪問控制列表配置技能，能夠根據(jù)實際需求準確配置IP訪問控制列表，具體如下： （1）了解IP標準及擴展訪問控制列表的功能及用途 （2）掌握IP標準訪問控制列表配置技能 （3）掌握IP擴展訪問控制列表配置技能,2.工作任務(wù) 根據(jù)客戶工作任務(wù)的具體要求，配置IP標準或擴展訪問控制列表，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。,模塊1 IP標準訪問控制列表的建立及應(yīng)用,. 教學(xué)目標 了解IP標準訪問控制列表的功能及用途 掌握路由器IP標準訪問控制列表配置技能 掌握交換機IP標準訪問控制列表配置技能,2. 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管

2、理員，學(xué)校的財務(wù)處、教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段，三個部門之間通過路由器進行信息傳遞，為了安全起見，學(xué)校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進行控制，實現(xiàn)校辦企業(yè)財務(wù)科的主機可以訪問財務(wù)處的主機，但是教師辦公室主機不能訪問財務(wù)處主機。,3. 相關(guān)實踐知識 首先對兩路由器進行基本配置，實現(xiàn)三個網(wǎng)段可以相互訪問；然后對距離控制目的地址較近的路由器RouterB配置IP標準訪問控制列表，允許網(wǎng)段（校辦企業(yè)財務(wù)科）主機發(fā)出的數(shù)據(jù)包通過，不允許網(wǎng)段（教師辦公室）主機發(fā)出的數(shù)據(jù)包通過，最后將這一策略加到路由器RouterB的Fa 0端口，如圖12.1所示。

3、,圖12.1路由器IP標準訪問控制列表,第1步：基本配置 路由器RouterA： R enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0

4、RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit,RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fa

5、stethernet 2 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 路由器RouterB同理配置,第2步：在路由器RouterB上配置IP標準訪問控制列表 RouterB (config)#access-list 1 deny 55 Router

6、B (config)#access-list 1 permit 55 驗證測試 RouterB #show access-list 1 第3步：應(yīng)用在路由器RouterB的Fa 0接口輸出方向上 RouterB (config)#interface fastethernet 0 RouterB (config-if)#ip access-group 1 out 驗證測試 RouterB #show ip interface fastethernet 0,4. 相關(guān)理論知識 ACL概述 訪問控制列表（ACL）是在交換機或路由器上定義一些規(guī)則，對經(jīng)過網(wǎng)絡(luò)設(shè)備的

7、數(shù)據(jù)包根據(jù)一定規(guī)則進行過濾。 ACL分類 （1）編號訪問控制列表：在路由器配置的訪問控制列表是由編號來命名的，包括IP標準訪問控制列表和IP擴展訪問控制列表。 （2）命名訪問控制列表：在三層交換機配置的訪問控制列表是由字符串名字來命令的，包括IP標準訪問控制列表和IP擴展訪問控制列表。,編號標準訪問控制列表 （1）標準訪問控制列表 在路由器上建立的訪問控制列表，其編號取值范圍為199之間整數(shù)值，只根據(jù)源IP地址過濾流量。 在標準或擴展訪問列表的末尾，總有一個隱含的Deny all。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配，則隱含的Deny all將會禁止該數(shù)據(jù)包通過。 （2）定義訪問控制列

8、表 R (config)#access-list access-list number permit/deny source source mask 其中： access-list number ：訪問列表序號,范圍是1-99； Permit/deny：允許/禁止?jié)M足條件的數(shù)據(jù)包通過； Source ：過濾數(shù)據(jù)包的源IP地址； Source mask： 通配屏蔽碼，1：不檢查位，0：必須匹配位。,【例12.3】定義訪問控制列表1拒絕特定主機的流量，但允許其它的所有主機。 R(config)#access-list 1 deny host R(c

9、onfig)#access-list 1 permit any （3）應(yīng)用訪問控制列表 訪問控制列表需要應(yīng)用到路由器的一個接口上，應(yīng)用到一個接口上可選擇入棧（IN）或出棧（OUT）二個方向。 【例12.5】將訪問控制列表1應(yīng)用到路由器的接口fastethernet 0的入棧方向上。 R#configure terminal R(config)# interface fastethernet 0 R(config-if)#ip access-group 1 in R(config-if)#end,命名標準訪問控制列表 在三層交換機上配置命名標準訪問控制列表，也是采用定義ACL、在接口上應(yīng)用ACL

10、、查看ACL等步驟進行。 第1步：進入Access-list配置模式，用名字來定義一條標準訪問控制列表。 Switch(config)#ip access-list standard name Switch(config-std-nacl)# 第2步：定義訪問控制列表條件 Switch(config-std-nacl)#deny source source-wildcard|host source |any 或permitsource source-wildcard|host source|any。 Switch(config-std-nacl)#exit Switch(config)#,其中

11、：permit允許通過；deny禁止通過； Source 是要被過濾數(shù)據(jù)包的源IP地址； source-wildcard 是通配屏蔽碼，指出該域中哪些位進行匹配，1表示允許這些位不同，0表示這些位必須匹配； Host source代表一臺源主機，其source-wildcard為； any代表任意主機，即source為，source-wildcard為55。 第3步：應(yīng)用訪問控制列表 Switch(config)#interface vlan n 其中：n是指Vlan n，以實現(xiàn)進入SVI模式 Switch(config-if)#ip ac

12、cess-group namein|out 其中：name為訪問控制列表名稱，in或out為控制接口流量方向。 Switch(config-if)#,【例12.7】在交換機上配置訪問控制列表，實現(xiàn)只禁止網(wǎng)段上主機發(fā)出的數(shù)據(jù)，而允許其它任意主機。 Switch#configure terminal Switch(config)# Switch(config)#ip access-list standard deny_2.0 Switch(config-std-nacl)#deny 55 Switch(config-std-nacl)#p

13、ermit any Switch(config-std-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group deny_2.0 in Switch(config-if)#end Switch#show access-lists,模塊2 IP擴展訪問控制列表的建立及應(yīng)用,. 教學(xué)目標 了解IP擴展訪問控制列表功能及用途 掌握路由器IP擴展訪問控制列表配置技能 掌握交換機IP擴展訪問控制列表配置技能,2. 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員，學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web服務(wù)器，其中FTP服務(wù)器供教

14、師專用，學(xué)生不可使用；Web服務(wù)器教師和學(xué)生都可訪問。FTP及Web服務(wù)器、教師辦公室和學(xué)生宿舍分屬不同的3個網(wǎng)段，三個網(wǎng)段之間通過路由器進行信息傳遞，要求你對路由器進行適當(dāng)設(shè)置實現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。,3. 相關(guān)實踐知識 首先對兩路由器進行基本配置，實現(xiàn)三個網(wǎng)段相互訪問；然后對離控制源地址較近的路由器RouterA配置IP擴展訪問控制列表，不允許網(wǎng)段（學(xué)生宿舍）主機發(fā)出的去網(wǎng)段的FTP數(shù)據(jù)包通過，允許網(wǎng)段主機發(fā)出的其它服務(wù)數(shù)據(jù)包通過，最后將這一策略加到路由器RouterA的Fa 0端口 ，如圖12.4所示 。,圖12.4路由器

15、IP擴展訪問控制列表,第1步：基本配置 路由器RouterA： Renable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (co

16、nfig-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit,RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface fastethernet

17、2 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 路由器RouterB同理配置,第2步：在路由器RouterA上配置IP擴展訪問控制列表 拒絕來自 網(wǎng)段去網(wǎng)段的FTP流量通過 RouterA (config)#access-list 101 d

18、eny TCP 55 55 eq FTP 允許其它服務(wù)的流量通過 RouterA (config)#access-list 101 permit IP any any 驗證測試 RouterA #show access-list 101 第3步：把訪問控制列表應(yīng)用在路由器RouterA的Fa 0接口輸入方向上。 RouterA(config)#interface fastethernet 0 RouterA (config-if)#ip access-group 101 in,4. 相關(guān)理論知識 編號擴展訪問控制列表

19、擴展編號訪問控制列表同標準編號訪問控制列表一樣也是在路由器上創(chuàng)建的，其編號范圍為100到199之間。擴展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。 配置編號擴展訪問控制列表 R(config)#access-list listnumber permit | deny protocol source source-wildcard-mask destination destination-wildcard-mask operator operand ,其中： Listnumber：規(guī)則序號，范圍為100-199。 Permit/deny：允許/或禁止?jié)M

20、足該規(guī)則的數(shù)據(jù)包通過 。 protocol ：0-255之間協(xié)議號，也可用協(xié)議名（如IP、TCP和UDP。 operator operand ：用于指定端口范圍，缺省為全部端口號0-65535，只有 TCP 和 UDP 協(xié)議需要指定端口范圍。 【例12.8】 在路由器R上配置訪問控制列表，實現(xiàn)只允許從網(wǎng)段的主機向網(wǎng)段的主機發(fā)送WWW報文，禁止其它報文通過。 R(config)#Access-list 100 permit tcp 55 55 eq www R(config)#

21、interface fastethernet 0 R(config-if )#ip access-group 100 in R#show access-lists, 命名擴展訪問控制列表 第1步：用名字來定義一個命名擴展訪問控制表，并進入擴展訪問控制列表配置模式 Switch(config)#ip access-listextended name witch(config-ext-nacl)# 第2步：定義訪問控制列表條件 Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source |anyop

22、erator port destination destination-wildcard|host destination|anyoperator port。 Switch(config-ext-nacl)#exit Switch(config)#,其中： Deny：禁止通過；Permit：允許通過； Protocol：協(xié)議類型。TCP：tcp；UDP：udp；IP：ip； Source：源IP地址； source-wildcard：源IP地址通配符； Host source：源主機，其source-wildcard為； host destination：目標主機，其destin

23、ation-wildcard為； Any：任意主機，即source或destination為，source-wildcard或destination-wildcard為55； Operator：操作符，只能為eq。 Port：TCP或UDP的端口號，范圍為0-65535。,【例12.9】在交換機上配置訪問控制列表，實現(xiàn)只允許網(wǎng)段上主機訪問IP地址為00的Web服務(wù)器，而禁止其它任意主機使用。 Switch(config)#ip access-list extended allow_2.0 Switc

24、h(config-ext-nacl)#permit tcp 55 host 00 eq www Switch(config-ext-nacl)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip access-group allow_2.0 in Switch(config-if)#end,模塊3 基于時間的訪問列表建立與應(yīng)用,. 教學(xué)目標 了解基于時間訪問控制列表的功能及用途 掌握路由器基本時間訪問控制列表配置技能,2. 工作任務(wù) 你是某公司的網(wǎng)管，為了保證公司上班時間的

25、工作效率，公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松，訪問網(wǎng)絡(luò)不受限制。,3. 相關(guān)實踐知識 在路由器上進行基本配置，然后設(shè)置基于時間的訪問控制列表，把這個訪問控制列表應(yīng)用于路由器的Fa 0接口 ，如圖12.5所示。,圖12.5基于時間的訪問控制列表,第1步：基本配置 路由器RouterA： R enable R#configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#pass

26、word 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0 RouterA (config-if)#ip address RouterA (config-if)#no shutdown,RouterA (config-if)#Exit RouterA (config)#interface fastethernet 1 RouterA (config-if)#ip addre

27、ss RouterA (config-if)#no shutdown RouterA (config-if)#Exit 第2步：配置路由器的時鐘 RouterA#show clock Clock:1987-1-16 5:19:9 重新設(shè)置路由器當(dāng)前時鐘和實際時鐘同步 RouterA(config)#clock set 16:03:40 27 april 2006-4-27 RouterA#show clock Clock:2006-4-27 16:04-9,第3步：定義時間段 RouterA(config)#time-range freeti

28、me 定義絕對時間段 RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010 定義周期性時間段 RouterA(config-time-range)#periodic daily 0:00 to 9:00 RouterA(config-time-range)#periodic daily 17:00 to 23:59 RouterA#show time-range Time-range entry:freetime(inactive) Absolute start 8:00 01 january 2006 end 18:00 30 december 2010 Periodic daily 0:00 to 9:0