项目十二安全策略与数据流量过滤
Download
Report
Transcript 项目十二安全策略与数据流量过滤
项目十二
安全策略与数据流量过滤
1.教学目标
□ 掌握网络安全策略布置原则,掌握IP标准及扩
展访问控制列表配置技能,能够根据实际需求准确
配置IP访问控制列表,具体如下:
(1)了解IP标准及扩展访问控制列表的功能及用
途
(2)掌握IP标准访问控制列表配置技能
(3)掌握IP扩展访问控制列表配置技能
2.工作任务
□ 根据客户工作任务的具体要求,配置IP标准或扩
展访问控制列表,实现网络数据流量控制。
模块1
IP标准访问控制列表的建立及应用
1. 教学目标
□ 了解IP标准访问控制列表的功能及用途
□掌握路由器IP标准访问控制列表配置技能
□掌握交换机IP标准访问控制列表配置技能
2. 工作任务
你是学校网络管理员,学校的财务处、教师办
公室和校办企业财务科分属不同的3个网段,三个部
门之间通过路由器进行信息传递,为了安全起见,
学校领导要求你对网络的数据流量进行控制,实现
校办企业财务科的主机可以访问财务处的主机,但
是教师办公室主机不能访问财务处主机。
3. 相关实践知识
□首先对两路由器进行基本配置,实现三个网
段可以相互访问;然后对距离控制目的地址较近的
路由器RouterB配置IP标准访问控制列表,允许
192.168.1.0网段(校办企业财务科)主机发出的数
据包通过,不允许192.168.2.0网段(教师办公室)
主机发出的数据包通过,最后将这一策略加到路由
器RouterB的Fa 0端口,如图12.1所示。
校企财务科
192
. 16
PC1
8.1
.0/
1.10
1.1
Fa0
教师办公室
PC2
24
Fa2
2.1
192.168.3.0/24
192.168.12.0/24
Fa0
RouterA
Fa1
12.1
Fa1
12.2
2.10
. 16
2
9
1
8
0/
.2.
财务处
RouterB 3.1
24
图12.1 路由器IP标准访问控制列表
PC3
3.10
第1步:基本配置
路由器RouterA:
R >enable
R #configure terminal
R(config)#hostname RouterA
RouterA (config)# line vty 0 4
RouterA (config-line)#login
RouterA (config-line)#password 100
RouterA (config-line)#exit
RouterA (config)# enable password 100
RouterA (config)#interface fastethernet 0
RouterA (config-if)#ip address 192.168.1.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#interface fastethernet 1
RouterA (config-if)#ip address 192.168.12.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#interface fastethernet 2
RouterA (config-if)#ip address 192.168.2.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#ip route 192.168.3.0 255.255.255.0
192.166.12.2
路由器RouterB同理配置
第2步:在路由器RouterB上配置IP标准访问控制列表
RouterB (config)#access-list 1 deny 192.168.2.0
0.0.0.255
RouterB (config)#access-list 1 permit 192.168.1.0
0.0.0.255
验证测试
RouterB #show access-list 1
第3步:应用在路由器RouterB的Fa 0接口输出方向上
RouterB (config)#interface fastethernet 0
RouterB (config-if)#ip access-group 1 out
验证测试
RouterB #show ip interface fastethernet 0
4. 相关理论知识
□ACL概述
访问控制列表(ACL)是在交换机或路由器上定义
一些规则,对经过网络设备的数据包根据一定规则进
行过滤。
□ACL分类
(1)编号访问控制列表:在路由器配置的访问控制列
表是由编号来命名的,包括IP标准访问控制列表和IP扩
展访问控制列表。
(2)命名访问控制列表:在三层交换机配置的访问控
制列表是由字符串名字来命令的,包括IP标准访问控制
列表和IP扩展访问控制列表。
□编号标准访问控制列表
(1)标准访问控制列表
在路由器上建立的访问控制列表,其编号取值范围
为1-99之间整数值,只根据源IP地址过滤流量。
在标准或扩展访问列表的末尾,总有一个隐含的
Deny all。这意味着如果数据包源地址与任何允许语句
不匹配,则隐含的Deny all将会禁止该数据包通过。
(2)定义访问控制列表
R (config)#access-list access-list number
{permit/deny} source {source mask}
其中:
access-list number :访问列表序号,范围是1-99;
Permit/deny:允许/禁止满足条件的数据包通过;
Source :过滤数据包的源IP地址;
Source mask: 通配屏蔽码,1:不检查位,0:必
须匹配位。
【例12.3】定义访问控制列表1拒绝特定主机
192.168.10.1的流量,但允许其它的所有主机。
R(config)#access-list 1 deny host 192.168.10.1
R(config)#access-list 1 permit any
(3)应用访问控制列表
访问控制列表需要应用到路由器的一个接口上,应
用到一个接口上可选择入栈(IN)或出栈(OUT)二
个方向。
【例12.5】将访问控制列表1应用到路由器的接口
fastethernet 0的入栈方向上。
R#configure terminal
R(config)# interface fastethernet 0
R(config-if)#ip access-group 1 in
R(config-if)#end
□命名标准访问控制列表
在三层交换机上配置命名标准访问控制列表,也是采
用定义ACL、在接口上应用ACL、查看ACL等步骤进行。
第1步:进入Access-list配置模式,用名字来定义一条
标准访问控制列表。
Switch(config)#ip access-list standard {name}
Switch(config-std-nacl)#
第2步:定义访问控制列表条件
Switch(config-std-nacl)#deny {source sourcewildcard|host source |any}
或permit{source source-wildcard|host source|any}。
Switch(config-std-nacl)#exit
Switch(config)#
其中:permit允许通过;deny 禁止通过;
Source 是要被过滤数据包的源IP地址;
source-wildcard 是通配屏蔽码,指出该域中哪些位进行匹配,1表
示允许这些位不同,0表示这些位必须匹配;
Host source代表一台源主机,其source-wildcard为0.0.0.0;
any代表任意主机,即source为0.0.0.0,source-wildcard为
255.255.255.255。
第3步:应用访问控制列表
Switch(config)#interface vlan n
其中:n是指Vlan n,以实现进入SVI模式
Switch(config-if)#ip access-group [name][in|out]
其中:name为访问控制列表名称,in或out为控制接口流量方向。
Switch(config-if)#
【例12.7】在交换机上配置访问控制列表,实现只禁止
192.168.2.0网段上主机发出的数据,而允许其它任意
主机。
Switch#configure terminal
Switch(config)#
Switch(config)#ip access-list standard deny_2.0
Switch(config-std-nacl)#deny 192.168.2.0 0.0.0.255
Switch(config-std-nacl)#permit any
Switch(config-std-nacl)#exit
Switch(config)#interface vlan 2
Switch(config-if)#ip access-group deny_2.0 in
Switch(config-if)#end
Switch#show access-lists
模块2
IP扩展访问控制列表的建立及应用
1. 教学目标
□ 了解IP扩展访问控制列表功能及用途
□ 掌握路由器IP扩展访问控制列表配置技能
□ 掌握交换机IP扩展访问控制列表配置技能
2. 工作任务
你是学校网络管理员,学校的网管中心分别架
设FTP、Web服务器,其中FTP服务器供教师专用,
学生不可使用;Web服务器教师和学生都可访问。
FTP及Web服务器、教师办公室和学生宿舍分属不同
的3个网段,三个网段之间通过路由器进行信息传递,
要求你对路由器进行适当设置实现网络的数据流量
控制。
3. 相关实践知识
□ 首先对两路由器进行基本配置,实现三个网
段相互访问;然后对离控制源地址较近的路由器
RouterA配置IP扩展访问控制列表,不允许
192.168.1.0网段(学生宿舍)主机发出的去
192.168.3.0网段的FTP数据包通过,允许192.168.1.0
网段主机发出的其它服务数据包通过,最后将这一策
略加到路由器RouterA的Fa 0端口 ,如图12.4所示 。
学生宿舍
192
. 16
PC1
8.1
1.10
.0/
24
1.1
Fa0
教师办公室
PC2
192.168.3.0/24
Fa2
2.1
3.10
192.168.12.0/24
Fa0
RouterA
Fa1
12.1
Fa1
12.2
8
网管中心
RouterB 3.1
2.10
. 16
2
9
1
FTP
/ 24
0
.
.2
图12.4 路由器IP扩展访问控制列表
3.11
WEB
第1步:基本配置
路由器RouterA:
R>enable
R#configure terminal
R(config)#hostname RouterA
RouterA (config)# line vty 0 4
RouterA (config-line)#login
RouterA (config-line)#password 100
RouterA (config-line)#exit
RouterA (config)# enable password 100
RouterA (config)#interface fastethernet 0
RouterA (config-if)#ip address 192.168.1.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#interface fastethernet 1
RouterA (config-if)#ip address 192.168.12.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#interface fastethernet 2
RouterA (config-if)#ip address 192.168.2.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#ip route 192.168.3.0
255.255.255.0 192.166.12.2
路由器RouterB同理配置
第2步:在路由器RouterA上配置IP扩展访问控制列表
拒绝来自192.168.1.0 网段去192.168.3.0网段的FTP
流量通过
RouterA (config)#access-list 101 deny TCP
192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP
允许其它服务的流量通过
RouterA (config)#access-list 101 permit IP any any
验证测试
RouterA #show access-list 101
第3步:把访问控制列表应用在路由器RouterA的Fa 0
接口输入方向上。
RouterA(config)#interface fastethernet 0
RouterA (config-if)#ip access-group 101 in
4. 相关理论知识
□编号扩展访问控制列表
扩展编号访问控制列表同标准编号访问控制列表一样
也是在路由器上创建的,其编号范围为100到199之间。
扩展IP访问控制列表可以基于数据包源IP地址、目的IP地
址、协议及端口号等信息来过滤流量。
□配置编号扩展访问控制列表
R(config)#access-list listnumber { permit | deny }
protocol source source-wildcard-mask destination
destination-wildcard-mask [ operator operand ]
其中:
Listnumber:规则序号,范围为100-199。
Permit/deny:允许/或禁止满足该规则的数据包通过 。
protocol :0-255之间协议号,也可用协议名(如IP、TCP
和UDP。
operator operand :用于指定端口范围,缺省为全部端口
号0-65535,只有 TCP 和 UDP 协议需要指定端口范围。
【例12.8】 在路由器R上配置访问控制列表,实现只允许
从129.8.0.0网段的主机向202.39.160.0网段的主机发送
WWW报文,禁止其它报文通过。
R(config)#Access-list 100 permit tcp 129.8.0.0
0.0.255.255 202.39.160.0 0.0.0.255 eq www
R(config)#interface fastethernet 0
R(config-if )#ip access-group 100 in
R#show access-lists
□ 命名扩展访问控制列表
第1步:用名字来定义一个命名扩展访问控制表,并进入
扩展访问控制列表配置模式
Switch(config)#ip access-list extended {name}
witch(config-ext-nacl)#
第2步:定义访问控制列表条件
Switch(config-ext-nacl)#{deny|permit} protocol
{source source-wildcard|host source |any}[operator port]
{destination destination-wildcard|host
destination|any}[operator port]。
Switch(config-ext-nacl)#exit
Switch(config)#
其中:
Deny:禁止通过;Permit:允许通过;
Protocol:协议类型。TCP:tcp;UDP:udp;IP:ip;
Source:源IP地址;
source-wildcard:源IP地址通配符;
Host source:源主机,其source-wildcard为0.0.0.0;
host destination:目标主机,其destination-wildcard为
0.0.0.0;
Any:任意主机,即source或destination为0.0.0.0,
source-wildcard或destination-wildcard为
255.255.255.255;
Operator:操作符,只能为eq。
Port:TCP或UDP的端口号,范围为0-65535。
【例12.9】在交换机上配置访问控制列表,实现只允许
192.168.2.0网段上主机访问IP地址为172.16.1.100的Web
服务器,而禁止其它任意主机使用。
Switch(config)#ip access-list extended allow_2.0
Switch(config-ext-nacl)#permit tcp 192.168.2.0
0.0.0.255 host 172.16.1.100 eq www
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 2
Switch(config-if)#ip access-group allow_2.0 in
Switch(config-if)#end
模块3
基于时间的访问列表建立与应用
1. 教学目标
□ 了解基于时间访问控制列表的功能及用途
□ 掌握路由器基本时间访问控制列表配置技能
2. 工作任务
你是某公司的网管,为了保证公司上班时间的
工作效率,公司要求上班时间只可以访问公司的内
部网站。下班后员工可以随意放松,访问网络不受
限制。
3. 相关实践知识
□ 在路由器上进行基本配置,然后设置基于
时间的访问控制列表,把这个访问控制列表应用于
路由器的Fa 0接口 ,如图12.5所示。
192.168.1.0/24
1.10
192.168.2.0/24
2.1
1.1
2.10
RouterA
Fa0
Fa1
PC1
WEB
图12.5 基于时间的访问控制列表
第1步:基本配置
路由器RouterA:
R >enable
R#configure terminal
R(config)#hostname RouterA
RouterA (config)# line vty 0 4
RouterA (config-line)#login
RouterA (config-line)#password 100
RouterA (config-line)#exit
RouterA (config)# enable password 100
RouterA (config)#interface fastethernet 0
RouterA (config-if)#ip address 192.168.1.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
RouterA (config)#interface fastethernet 1
RouterA (config-if)#ip address 192.168.2.1
255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
第2步:配置路由器的时钟
RouterA#show clock
Clock:1987-1-16 5:19:9
重新设置路由器当前时钟和实际时钟同步
RouterA(config)#clock set 16:03:40 27 april
2006-4-27
RouterA#show clock
Clock:2006-4-27 16:04-9
第3步:定义时间段
RouterA(config)#time-range freetime
定义绝对时间段
RouterA(config-time-range)#absolute start 8:00 1
jan 2006 end 18:00 30 dec 2010
定义周期性时间段
RouterA(config-time-range)#periodic daily 0:00
to 9:00
RouterA(config-time-range)#periodic daily 17:00
to 23:59
RouterA#show time-range
Time-range entry:freetime(inactive)
Absolute start 8:00 01 january 2006 end 18:00
30 december 2010
Periodic daily 0:00 to 9:00
Periodic daily 17:00 to 23:59
第4步:定义访问控制列表
任务时间允许访问服务器192.168.2.10
RouterA (config)#access-list 102 permit ip any host
192.168.2.10
允许在规定时间段内访问任何网络
RouterA (config)#access-list 102 permit ip any any
time-range freetime
查看访问控制列表配置
RouterA #show access-lists
第5步:访问控制列表应用在路由器RouterAFa 0接口输
入方向上
RouterA (config)#interface fastethernet 0
RouterA (config-if)#ip access-group 102 in
查看Fa 0接口上应用的规则
RouterA #show ip interface fastethernet 0
4. 相关理论知识
□基于时间的访问列表
基于时间的ACL功能使管理员可以依据时间来控
制用户对网络资源的访问,即可以根据时间来禁止/
允许用户访问网络资源。
□创建并定义Time-range接口
Router(config)# time-range time-range-name
Router(config-time-range)# absolute [start time
date] [end time date] and/or periodic days-of-theweek hh:mm to [days-of-the- week] hh:mm
其中: time-range-name为定义的接口名
□关联Time-range接口与ACL
只允许扩展访问控制列表ACL关联Time- range接
口。
□创建并定义Time-range接口
Router(config)# access-list number {deny |
permit} protocol source src-wildcard destination
desti-wildcard [time-range time-range- name]
项目结束