高职大赛培训07-网络安全控制

网络安全控制本章内容ACLARP检查DHCP监听DAI课程议题ACL提供网络安全ACL概述什么是ACLACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具ACL的作用拒绝、允许特定的数据流通过网络设备防止攻击访问控制节省带宽…对特定的数据流、报文、路由条目等进行匹配和标识，以用于其它目的路由过滤QoSRoute-map…ACL的分类根据过滤层次基于IP的ACL（IPACL）基于MAC的ACL（MACACL）专家ACL（ExpertACL）根据过滤字段（元素）标准ACL（标准IPACL）扩展ACL（扩展IPACL、MACACL、专家ACL）根据命名规则编号ACL名称ACLACL的工作机制ACL的工作机制由一组访问控制规则组成（ACL规则）网络设备根据ACL规则检查收到或发送的报文，并采取相应操作ACL规则匹配顺序从上至下当报文匹配某条规则后，将执行操作，跳出匹配过程任何ACL的默认操作是“拒绝所有”ACL的应用定义ACL定义ACL规则将ACL应用到网络设备的接口ACL的应用规则接口的一个方向只能应用一个ACLIn方向：对接口收到的数据进行检查Out方向：对从接口发送出去的数据进行检查ACL不对本地生成的外出的数据进行检查！标准IPACL编号规则1~99和1300~1399过滤元素仅源IP地址信息用于简单的访问控制、路由过滤等配置标准IPACL配置ACL规则access-listaccess-list-number{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}Router(config-if)#in表示应用到接口的入方向，对收到的报文进行检查out表示应用到接口的外出方向，对发送的报文进行检查标准IPACL配置示例要求172.16.1.0网段的主机不可以访问服务器172.17.1.1，其它主机访问服务器172.17.1.1不受限制。扩展IPACL编号规则100~199和2000~2699过滤元素源IP地址、目的IP地址、协议、源端口、目的端口用于高级的、精确的访问控制配置扩展IPACL配置ACL规则access-listaccess-list-number{deny|permit}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}Router(config-if)#扩展IPACL配置示例172.17.1.1为公司的文件服务器，要求网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。名称IPACL配置标准名称ACLipaccess-liststandard{name|access-list-number}Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}Router(config-if)#配置ACL规则{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Router(config-std-nacl)#名称IPACL（续）配置扩展名称ACLipaccess-listextended{name|access-list-number}Router(config)#应用名称ACLipaccess-groupname{in|out}Router(config-if)#配置ACL规则{permit|deny}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][time-rangetime-range-name][dscpdscp][fragment]Router(config-ext-nacl)#名称IPACL配置示例基于MAC的ACL标识方式编号：700~799名称过滤元素源MAC地址、目的MAC地址、以太网类型配置MACACL配置MACACLmacaccess-listextended{name|access-list-number}Switch(config)#应用MACACLmacaccess-group{name|access-list-number}{in|out}Switch(config-if)#配置ACL规则{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-name]Switch(config-mac-nacl)#MACACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）。MACACL配置示例专家ACL标识方式编号：2700~2899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制配置专家ACL配置专家ACLexpertaccess-listextended{name|access-list-number}Switch(config)#应用MACACLexpertaccess-group{name|access-list-number}{in|out}Switch(config-if)#配置ACL规则{permit|deny}[protocol|ethernet-type][VIDvid][{any|sourcesource-wildcard}]{hostsource-mac-address|any}[operatorport][{any|destinationdestination-wildcard}]{hostdestination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]Switch(config-exp-nacl)#专家ACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP5555端口。专家ACL配置示例基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段配置时间段配置时间段time-rangetime-range-nameRouter(config)#配置绝对时间absolute{starttimedate[endtimedate]|endtimedate}Router(config-time-range)#starttimedate：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日月年”endtimedate：表示时间段的结束时间，格式与起始时间相同示例：absolutestart08:001Jan2007end10:001Feb2008配置时间段（续）配置周期时间periodicday-of-the-weekhh:mmto[day-of-the-week]hh:mmperiodic{weekdays|weekend|daily}hh:mmtohh:mmRouter(config-time-range)#day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00配置时间段（续）应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！基于时间的ACL配置示例在上班时间（9：00~18：00）不允许员工的主机（172.16.1.0/24）访问Internet，下班时间可以访问Internet上的Web服务。ACL的修改和维护传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ipaccess-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则添加和删除ACL规则添加ACL规则sequence-number{permit|deny}……Router(config-ext-nacl)#sequence-number：规则在ACL中的序号，即排序的位置默认根据序号从小到大进行排序删除ACL规则nosequence-numberRouter(config-ext-nacl)#添加ACL规则配置示例删除ACL规则配置示例ACL规则的重编号ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberRouter(config)#starting-sequence-number：ACL规则的起始序号值，默认为10increment-number：ACL规则的递增序号值，默认为10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberexpertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-numberACL规则重编号配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL配置信息查看ACL配置信息示例查看ACL信息（续）showaccess-group[interfaceinterface]Router#查看所有ACL的应用信息showipaccess-group[interfaceinterface]Router#查看IPACL的应用信息showmacaccess-group[interfaceinterface]Router#查看MACACL的应用信息showexpertaccess-group[interfaceinterface]Router#