SwitchRouter第11课ACL.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,路由器交换机安装与调试技术提高课程,网络工程系网络技术教研室,第3章 访问控制列表,教学目标,通过本章学习使学生能够：,掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,常见的网络攻击：,网络攻击手段多种多样，以上是最常见的几种,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂，但攻击却变得越来越简单易操作,额外的不安全因素,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部/组织,内部个体,内部/组织,什么是访问列表,IP Access-list：IP访问列表或访问控制列表，简称IP ACL,ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,为什么要使用访问列表,RG-S2126,RG-S3512G/RG-S4009,RG-NBR1000,Internet,RG-S2126,不同部门所属VLAN不同,1,2,2,2,1,1,1,2,技术部,VLAN20,财务部,VLAN10,隔离病毒源,隔离外网病毒,访问列表,访问控制列表的作用：,内网布署安全策略，保证内网安全权限的资源访问,内网访问外网时，进行安全的数据过滤,防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤,第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）,第二步，将规则应用在路由器（或交换机）的接口上,访问控制列表规则的分类：,1、标准访问控制列表,2、扩展访问控制列表,标准,检查源地址,通常允许、拒绝的是完整的协议,扩展,检查源地址和目的地址,通常允许、拒绝的是某个特定的协议,进方向和出方向,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制,1.入栈应用（in）,经某接口进入设备内部的数据包进行安全规则过滤,2.出栈应用（out）,设备从某接口向外发送数据时进行安全规则过滤,一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,访问列表的入栈应用,N,Y,是否允许?,Y,是否应用访问列表?,N,查找路由表,进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口S0,路由表中是,否存在记录,?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,访问列表的出栈应用,IP ACL的基本准则,一切未被允许的就是禁止的,定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过,按规则链来进行匹配,使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配,规则匹配原则,从头到尾，至顶向下的匹配方式,匹配成功马上停止,立刻使用该规则的“允许/拒绝”,Y,拒绝,Y,是否匹配规则条件1,?,允许,N,拒绝,允许,是否匹配规则条件2,?,拒绝,是否匹配最后一个条件?,Y,Y,N,Y,Y,允许,隐含拒绝,N,一个访问列表多条过滤规则,访问列表规则的定义,标准访问列表,根据数据包源IP地址进行规则定义,扩展访问列表,根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99,号列表,IP标准访问列表,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,100-199,号列表,0 表示检查与之对应的地址位的值,1表示忽略与之对应的地址位的值,反掩码（通配符掩码）,do not check address(ignore bits in octet),=,0,0,1,1,1,1,1,1,128,64,32,16,8,4,2,1,=,0,0,0,0,0,0,0,0,=,0,0,0,0,1,1,1,1,=,1,1,1,1,1,1,0,0,=,1,1,1,1,1,1,1,1,Octet bit position and,address value for bit,ignore last 6 address bits,check all address bits,(match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符掩码指明特定的主机,例如,172.30.16.29 0.0.0.0,检查所有的地址位,可以简写为,host,(host 172.30.16.29),Test conditions:Check all the address bits(match all),172.30.16.29,0.0.0.0,(checks all bits),An IP host address,for example:,Wildcard mask:,通配符掩码指明所有主机,所有主机:,0.0.0.0 255.255.255.255,可以用,any,简写,Test conditions:Ignore all the address bits(match any),0.0.0.0,255.255.255.255,(ignore all),Any IP address,Wildcard mask:,通配符掩码和IP子网的对应,Check for IP subnets 172.30.,16,.0/24 to 172.30.,31,.0/24,Network,.host,172.30.16,.0,0,0,0,1,0,0,0,0,Wildcard mask:0 0 0 0 1 1 1 1,|,0 0 0 1,0 0 0 0 =16,0 0 0 1,0 0 0 1 =17,0 0 0 1,0 0 1 0 =18,:,0 0 0 1,1 1 1 1 =31,Address and wildcard mask:,172.30.16.0 0.0.15.255,IP标准访问列表的配置,1.定义标准ACL,编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码,命名的标准访问列表,switch(config)#ip access-list standard,switch(config-std-nacl)#permit|deny 源地址 反掩码,2.应用ACL到接口,Router(config-if)#ip access-group in|out,172.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,172.17.0.0,IP标准访问列表配置实例(一),配置：,access-list 1 permit 172.16.3.0 0.0.0.255,(access-list 1 deny any),interface serial 1/2,ip access-group 1 out,标准访问列表配置实例(二),需求：,你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。,配置：,ip access-list extended abc,permit host 192.168.2.8,deny 192.168.2.0 0.0.0.255,财务,192.168.1.0,教师,192.168.2.0,192.168.2.8,F0/1,F0/2,F0/5,F0/6,F0/8,F0/9,F0/10,校长,IP扩展访问列表的配置,1.定义扩展的ACL,编号的扩展ACL,Router(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口,命名的扩展ACL,ip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口,2.应用ACL到接口,Router(config-if)#ip access-group in|out,IP扩展访问列表配置实例(一),如何创建一条扩展ACL,用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络,Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www,Router#show access-lists 103,access-list 115 deny udp any any eq 69,access-list 115 deny tcp any any eq 135,access-list 115 deny udp any any eq 135,access-list 115 deny udp any any eq 137,access-list 115 deny udp any any eq 138,access-list 115 deny tcp any any eq 139,access-list 115 deny udp any any eq 139,access-list 115 deny tcp any any eq 445,access-list 115 deny tcp any any eq 593,access-list 115 deny tcp any any eq 4444,access-list 115 permit ip any any,interface ,ip access-group 115 in,ip access-group 115 out,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,封杀QQ,通过路由器的ACL和封杀QQ上网,基本上默认的QQ设置是上了了，除了代理！,Conf t,Ip access-list ext stop qq,deny udp any any eq 8000,deny udp any any eq 8001,deny udp any any eq 4000,deny udp any any eq 4001,deny udp any host 61.144.238.145,deny udp any host 61.144.238.146,deny udp any host 202.104.129.251,deny udp any host 202.104.129.252,deny udp any host 202.104.129.253,deny udp any host 202.104.129.254,deny udp any host 218.18.95.236,deny ip any host 218.17.209.23,deny ip any host 218.17.209.42,deny ip any host 218.18.95.220,deny ip any host 219.133.38.5,deny ip any host 219.133.38.132,deny ip any host 219.133.38.178,deny ip any host 219.133.38.230,deny ip any host 219.133.49.5,deny ip any host 219.133.49.6,permit ip any any,int fa0/1#ISP进口,ip access-group 100 out,访问列表的验证,显示全部的访问列表,Router#show access-lists,显示指定的访问列表,Router#show access-lists,显示接口的访问列表应用,Router#show ip interface 接口名称 接口编号,使用ACL时应该注意,因为ACL中包含了一条隐含语句拒绝所有，因此使用ACL要小心，至少ACL中要有一条允许语句，否则所有数据包都会被ACL拒绝。,ACL命令的放置顺序是很重要的。当路由器在决定是否转发或者阻止数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检查数据包是否满足某一个指令条件。所以应该氢限制最严格的语句放在ACL的顶端，这样可以提高性能。,当检测到某个命令条件满足的时候，就不会再检测后面的指令条件。,应该先创建ACL，再将其绑定到入口或者是出口。,ACL只能过滤通过路由器的数据流量，不能过滤路由器本身产生的数据流量。,一个端口在一个方向上只能应用一组ACL,ACL的局限性,由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。,A公司的某位可怜的网管目前面临了一堆问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了5个VLAN。分别是内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。,自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。,课程回顾,IP访问控制列表,