第4章 访问控制列表ACL

广东技术师范学院计科系第4章访问控制列表ACL1.标准访问控制列表(ACL)；2.扩展访问控制列表(ACL)；3.命名ACL4.基于时间的ACL5.动态ACL6.自反ACL广东技术师范学院计科系网络安全概述网络安全是Internet必须面对的一个实际问题网络安全是一个综合性的技术网络安全具有两层含义：保证内部局域网的安全（不被非法侵入）保护和外部进行数据交换的安全网络安全技术的完善和更新广东技术师范学院计科系网络安全措施常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段，重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识广东技术师范学院计科系防火墙基本概念防火墙是指用于将网络危险和内部网络隔离开来的软硬件设施。具体来说，防火墙的功能就是根据一定的规则决定某些报文可以通过，而某些报文则不允许通过。防火墙的实质就是一种报文过滤技术。防火墙的分类：1)静态配置规则的网络层报文过滤技术，称之为ACL(AccessControlList)2)应用相关的报文过滤技术，称之为ASPF(ApplicationSpecificPacketFilter)广东技术师范学院计科系ACL图示RInternet公司总部内部网络未授权用户办事处广东技术师范学院计科系ACL作用1．限制网络流量、提高网络性能2．提供对通信流量的控制手段3．提供网络访问的基本安全手段4．在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞两种保护策略的准则一切未被允许的就是禁止的。一切未被禁止的就是允许的。广东技术师范学院计科系ACL工作原理(1/2)包过滤：根据规则有选择地让数据包在网络内外进行交换可以在一台路由器上提供对整个网络的保护不识别数据包中的用户信息和文件信息数据包头部信息IP源地址和目标地址协议(TCP、UDP或ICMP包)TCP/UDP源和目标接口ICMP信息类型数据包要到达的端口和要出去的端口(/)广东技术师范学院计科系ACL工作原理(2/2)包过滤判断依据：根据数据包的目的地址根据数据包的源地址根据数据包的传送协议(/)广东技术师范学院计科系ACL如何流程广东技术师范学院计科系ACL条件顺序CiscoIOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。广东技术师范学院计科系配置ACL步骤步骤1，定义访问控制列表access-listaccess-list-number{permit|deny}{test-conditions}步骤2，将访问控制列表应用到某一接口上access-groupaccess-list-number{in|out}广东技术师范学院计科系标准ACL(1/2)标准ACL(StandardACL)-检查源地址-允许或拒绝整个协议族OutgoingPacketfa0/0S0/0IncomingPacketAccessListProcessesPermit?Source广东技术师范学院计科系标准ACL(2/2)access-list[access-list-number]{deny|permit}source[source-wildcard]access-list-number：表号，值为1-99deny：拒绝报文，丢弃permit：运行报文，转发source：报文的源地址，如192.168.1.0(网络)，192.168.1.1(单主机)source-wildcard：通配符掩码，为子网掩码按位取反广东技术师范学院计科系扩展ACL(1/4)OutgoingPacketFa0/0s0/0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol扩展ACL(ExtendedACL)-检查源和目的地址-通常允许或拒绝特定的协议广东技术师范学院计科系扩展ACL(2/4)access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]广东技术师范学院计科系扩展ACL(3/4)广东技术师范学院计科系常见端口号端口号(PortNumber)20文件传输协议（FTP）数据21文件传输协议（FTP）程序23远程登录（Telnet）25简单邮件传输协议（SMTP）69普通文件传送协议（TFTP）80超文本传输协议(HTTP)53域名服务系统（DNS）扩展ACL(4/4)广东技术师范学院计科系ACL表号(access-list-number)广东技术师范学院计科系通配符掩码(WildcardMask)一个32比特位的数字字符串0表示“检查相应的位”,1表示“不检查(忽略)相应的位”为子网掩码各位取反特殊的通配符掩码any0.0.0.0255.255.255.255host172.30.16.290.0.0.0host172.30.16.29广东技术师范学院计科系调试访问控制列表R#showrunning-configR#showaccess-list广东技术师范学院计科系实验拓扑广东技术师范学院计科系R1:设置端口e0/0，s1/0的ip地址，并且打开端口R2设置端口s1/0，s1/1的ip地址，并且打开端口R3设置端口e0/0，s1/1的ip地址，并且打开端口网络基本配置-路由器(1/3)网络基本配置(1/6)广东技术师范学院计科系网络基本配置-路由器(2/3)路由器设置密码，从而可以远程访问telnet服务全局配置模式下：R1(config)#linevty04//运行最多5个telnet连接password123456//telnet时密码login//运行远程telnetexitenablepassword654321//telnet时，从用户模式进入特权模式的密码注：所有路由器，要开启远程telnet服务，都必须做如上操作。网络基本配置(2/6)广东技术师范学院计科系网络基本配置-路由器(3/3)Rip协议配置R1-routerrip-version2-network192.168.12.0-network10.0.0.0-network172.16.0.0-endR2R3网络基本配置(3/6)广东技术师范学院计科系网络基本配置-PC机(1/3)配置由路由器模拟的PC1(因为在本实验中需要PC1扮演服务器角色，具有telnet、http服务器功能)配置PC1的IP地址还有默认网关(PC1使用了e0/0接口)开启PC1的远程telnet还有http服务器-iphttpserver//开启http服务器-linevty04//开启远程telnet服务-password123456-login-exit-enablepassword654321注：在PC5的IE上打入PC1网址，输入用户名：user，密码：654321网络基本配置(4/6)广东技术师范学院计科系配置VPCS模拟器模拟的PC2～PC4(因为本实验中只需要PC2～PC4具有ping功能)PC2IP地址以及网关PC3IP地址以及网关PC4IP地址以及网关网络基本配置-PC机(2/3)网络基本配置(5/6)广东技术师范学院计科系配置本真实电脑模拟的PC5(因为本实验中需要PC5可以有IE上网)把本真实电脑连上Dynamips配置PC5的IP地址和默认网关注：新建虚拟网卡，参考word文档网络基本配置-PC机(3/3)网络基本配置(6/6)广东技术师范学院计科系标准ACL实验目标：拒绝PC1、2、3所在网段(10.1.1.0/24)与外界通信；只允许PC1访问外网只允许PC5访问路由器R1的telnet服务广东技术师范学院计科系标准ACL实验实验命令：access-list1permithost10.1.1.11interfacee0/0ipaccess-group1inaccess-list2permithost172.17.3.15linevty04access-class2inpassword123456login广东技术师范学院计科系标准ACL实验验证结果PC2、PC3ping外网，不通PC1ping外网，通PC1、R3上telnet路由器R1(telnet192.168.12.1)，失败PC5上telnet路由器R1(telnet192.168.12.1)，成功广东技术师范学院计科系扩展ACL实验实验目标只允许服务器PC1的服务为外网访问只允许PC5访问服务器PC1的Telnet服务拒绝PC5所在的网段ping路由器R1广东技术师范学院计科系扩展ACL实验//去除标准ACLnoaccess-list1noaccess-list2//配置扩展ACLaccess-list100permittcpanyhost10.1.1.11eqaccess-list100permittcphost172.17.3.15host10.1.1.11eqtelnetlogints1/0ipaccess-group100inend广东技术师范学院计科系扩展ACL实验验证结果R3上ping、telnetPC1(ping/telnet10.1.1.11)，失败PC5上pingPC1(ping10.1.1.11)，失败PC5上telnetPC1(telnet10.1.1.11)，成功在PC5上访问PC1的http服务(打开IE，输入10.1.1.1)，成功在PC5、R3上pingR1(ping192.168.12.1/10.1.1.1/172.16.1.1)，失败广东技术师范学院计科系作业配置扩展ACL1使得PC1～PC3所在的内网只能访问外网的telnet服务。在PC1上telnet路由器R3，给出结果在PC1～PC3上ping外网ip，给出结果配置扩展ACL2在R1上配置扩展ACL，使得PC1不响应外网的ping命令注：ping命令响应采用的协议为icmp，而icmp-type为echo-reply