您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > RCCP-T007-V2.6
第七章网络安全控制RCCP_T007本章内容ACLARP检查DHCP监听DAI课程议题ACL提供网络安全ACL概述什么是ACLACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具ACL的作用拒绝、允许特定的数据流通过网络设备防止攻击访问控制节省带宽…对特定的数据流、报文、路由条目等进行匹配和标识,以用于其它目的路由过滤QoSRoute-map…ACL的分类根据过滤层次基于IP的ACL(IPACL)基于MAC的ACL(MACACL)专家ACL(ExpertACL)根据过滤字段(元素)标准ACL(标准IPACL)扩展ACL(扩展IPACL、MACACL、专家ACL)根据命名规则编号ACL名称ACLACL的工作机制ACL的工作机制由一组访问控制规则组成(ACL规则)网络设备根据ACL规则检查收到或发送的报文,并采取相应操作ACL规则匹配顺序从上至下当报文匹配某条规则后,将执行操作,跳出匹配过程任何ACL的默认操作是“拒绝所有”ACL的应用定义ACL定义ACL规则将ACL应用到网络设备的接口ACL的应用规则接口的一个方向只能应用一个ACLIn方向:对接口收到的数据进行检查Out方向:对从接口发送出去的数据进行检查ACL不对本地生成的外出的数据进行检查!标准IPACL编号规则1~99和1300~1399过滤元素仅源IP地址信息用于简单的访问控制、路由过滤等配置标准IPACL配置ACL规则access-listaccess-list-number{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}Router(config-if)#in表示应用到接口的入方向,对收到的报文进行检查out表示应用到接口的外出方向,对发送的报文进行检查标准IPACL配置示例要求172.16.1.0网段的主机不可以访问服务器172.17.1.1,其它主机访问服务器172.17.1.1不受限制。扩展IPACL编号规则100~199和2000~2699过滤元素源IP地址、目的IP地址、协议、源端口、目的端口用于高级的、精确的访问控制配置扩展IPACL配置ACL规则access-listaccess-list-number{deny|permit}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}Router(config-if)#扩展IPACL配置示例172.17.1.1为公司的文件服务器,要求网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务,而对服务器的其它服务禁止访问。名称IPACL配置标准名称ACLipaccess-liststandard{name|access-list-number}Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}Router(config-if)#配置ACL规则{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Router(config-std-nacl)#名称IPACL(续)配置扩展名称ACLipaccess-listextended{name|access-list-number}Router(config)#应用名称ACLipaccess-groupname{in|out}Router(config-if)#配置ACL规则{permit|deny}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][time-rangetime-range-name][dscpdscp][fragment]Router(config-ext-nacl)#名称IPACL配置示例基于MAC的ACL标识方式编号:700~799名称过滤元素源MAC地址、目的MAC地址、以太网类型配置MACACL配置MACACLmacaccess-listextended{name|access-list-number}Switch(config)#应用MACACLmacaccess-group{name|access-list-number}{in|out}Switch(config-if)#配置ACL规则{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-name]Switch(config-mac-nacl)#MACACL配置示例只允许财务部的主机(000a-000a-000a)能够访问财务服务器(000d-000d-000d)。MACACL配置示例专家ACL标识方式编号:2700~2899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制配置专家ACL配置专家ACLexpertaccess-listextended{name|access-list-number}Switch(config)#应用MACACLexpertaccess-group{name|access-list-number}{in|out}Switch(config-if)#配置ACL规则{permit|deny}[protocol|ethernet-type][VIDvid][{any|sourcesource-wildcard}]{hostsource-mac-address|any}[operatorport][{any|destinationdestination-wildcard}]{hostdestination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]Switch(config-exp-nacl)#专家ACL配置示例只允许财务部的主机(000a-000a-000a)能够访问财务服务器(000d-000d-000d)的TCP5555端口。专家ACL配置示例基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段(absolute)周期时间段(periodic)混合时间段配置时间段配置时间段time-rangetime-range-nameRouter(config)#配置绝对时间absolute{starttimedate[endtimedate]|endtimedate}Router(config-time-range)#starttimedate:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日月年”endtimedate:表示时间段的结束时间,格式与起始时间相同示例:absolutestart08:001Jan2007end10:001Feb2008配置时间段(续)配置周期时间periodicday-of-the-weekhh:mmto[day-of-the-week]hh:mmperiodic{weekdays|weekend|daily}hh:mmtohh:mmRouter(config-time-range)#day-of-the-week:表示一个星期内的一天或者几天,Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sundayhh:mm:表示时间weekdays:表示周一到周五weekend:表示周六到周日daily:表示一周中的每一天示例:periodicweekdays09:00to18:00配置时间段(续)应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响确保设备的系统时间的正确!基于时间的ACL配置示例在上班时间(9:00~18:00)不允许员工的主机(172.16.1.0/24)访问Internet,下班时间可以访问Internet上的Web服务。ACL的修改和维护传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ipaccess-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则添加和删除ACL规则添加ACL规则sequence-number{permit|deny}……Router(config-ext-nacl)#sequence-number:规则在ACL中的序号,即排序的位置默认根据序号从小到大进行排序删除ACL规则nosequence-numberRouter(config-ext-nacl)#添加ACL规则配置示例删除ACL规则配置示例ACL规则的重编号ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberRouter(config)#starting-sequence-number:ACL规则的起始序号值,默认为10increment-number:ACL规则的递增序号值,默认为10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberexpertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberACL规则重编号配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL配置信息查看ACL配置信息示例查看ACL信息(续)showaccess-group[interfaceinterface]Router#查看所有ACL的应用信息showipaccess-group[interfaceinterface]Router#查看IPACL的应用信息showmacaccess-group[interfaceinterface]Router#查看MACACL的应用信息showexpertaccess-group[interfaceinter
本文标题:RCCP-T007-V2.6
链接地址:https://www.777doc.com/doc-6837944 .html