Document

Download Report

Transcript Document 

第5章 交换机端口安全及认证
• 5.1 交换机端口安全及配置
• 5.2 在三层交换机上配置访问控制列表ACL
• 5.3 交换机端口安全认证简介
1
5.2 在三层交换机上配置访问
控制列表ACL
• 5.2.1 ACL概述
• 5.2.2 ACL的类型
• 5.2.3 ACL配置
2
什么是访问列表
• Access Control List:访问列表或访问控制
列表,简称 ACL
– ACL就是对经过网络设备的数据包根据一定的
规则进行数据包的过滤
√
ISP
访问列表
• 访问控制列表的作用:
– 内网布署安全策略,保证内网安全权限的资源
访问
– 内网访问外网时,进行安全的数据过滤
– 防止常见病毒、木马、攻击对用户的破坏
4
访问列表的组成
• 定义访问列表的步骤
– 第一步,定义规则(哪些数据允许通过,哪些
数据不允许通过)
– 第二步,将规则应用在路由器(或交换机)的
接口上
5
访问列表规则的应用
• 路由器(或交换机)应用访问列表对流经接口的数据包进行控制
– 1.入栈应用(in)
• 经某接口进入设备内部的数据包进行安全规则过滤
– 2.出栈应用(out)
• 设备从某接口向外发送数据时进行安全规则过滤
• 一个接口在一个方向只能应用一组访问控制列表
IN
F1/0
OUT
F1/1
6
访问列表的入栈应用
查找路由表
进行选路转发
是否应用
访问列表
?
Y
N
是否允许 Y
?
N
以ICMP信息通知源发送方
7
访问列表的出栈应用
Y
选择出口
S0
S0
查看访问列表
的陈述
路由表中是
否存在记录
S0
?
N
是否应用 N
访问列表
?
是否允许
?
Y
N
以ICMP信息通知源发送方
Y
ACL的工作原理
• IP ACL执行如下基本准则,执行顺序如下图所示:
–
–
–
–
从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的“允许、拒绝……”
一切未被允许的就是禁止的。
• 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省
封锁所有的信息流,然后对希望提供的服务逐项开放。
– 按规则链来进行匹配
• 使用源地址、目的地址、源端口、目的端口、协议、时间段进行
匹配
– 按规则链来进行匹配
• 使用源地址、目的地址、源端口、目的端口、协议、时间段进行
匹配
9
一个访问列表多条过滤规则
是否匹配
测试条件1
?
Y
Y
N
拒绝
允许
Y
是否匹配
测试条件2
Y
?
拒绝
允许
允许
通过
N
拒绝
是否匹配
最后一个
测试条件
Y
允许
?
N
被系统隐
含拒绝
10
5.2.2 ACL的类型
• 分类:
– 1、IP标准访问控制列表(Standard IP ACL)
– 2、IP扩展访问控制列表(Extended IP ACL)
• 动作:
– 允许(Permit)
– 拒绝(Deny)
• 应用方法:
– 入栈(Out)
– 出栈(In)
11
访问列表规则的定义
• 标准访问列表
– 根据数据包源IP地址进行规则定义
• 扩展访问列表
– 根据数据包中源IP、目的IP、源端口、目的端
口、协议进行规则定义
12
IP标准访问列表
eg.HDLC
IP
TCP/UDP
数据
源地址
1-99 号列表
IP扩展访问列表
eg.HDLC
IP
TCP/UDP
数据
端口号
协议
源地址
100-199 号列表
目的地址
反掩码(通配符)
128
64
32
16
8
4
2
1
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
1
0
0
0
0
1
1
1
1
1
1
1
1
1
1
1
1
0表示检查相应的地址比特
1表示不检查相应的地址比特
IP标准访问列表的配置
1.定义标准ACL
– 命名的标准访问列表
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
2.应用ACL到接口
– Router(config-if)#ip access-group <1-99> { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL
– 编号的扩展ACL
• Router(config)#access-list <100-199> { permit
/deny } 协议 源地址 反掩码 [源端口] 目的地址
反掩码 [ 目的端口 ]
– 命名的扩展ACL
• ip access-list extended {name} { permit /deny }
协议 源地址 反掩码[源端口] 目的地址 反掩码
[ 目的端口 ]
2.应用ACL到接口
– Router(config-if)#ip access-group <100199> { in | out }
基于名称的访问控制列表
• ip access-list [standard|extended] [ACL名称]
其中standard为标准命名ACL,extended为扩
展命名ACL
• deny | permit {source-net source-wildcard | host
source-address | any} 标准命名ACL规则
• deny | permit protocol{source-net sourcewildcard | host source-address| any}[operator
port] {destination-net destination-wildcard |host
destination-address |any}[operator port] 扩展命
名ACL规则
18
5.2.3 ACL配置
•
命名ACL配置
–
命名的标准访问列表
命令格式为:
①定义命名的标准访问列表:
ip access-list standard { name}
deny {source source-wildcard|host source|any}
orpermit {source source-wildcard|host source|any}
②应用ACL到接口
Router(config-if)#ip access-group {name} { in | out }
19
• ③显示ACL信息
• 在特权模式下使用如下命令可以显示ACL配置信息
• Show access-lists [name] //显示所有或指定名称的ACL
配置信息
• Show ip access-lists [name] //显示所有或指定名称的IP
ACL配置信息
• Show ip access-group [interface interface-id] //显示指
定接口上的IP ACL配置信息
• Show running-config //显示正在运行的所有配置信息
20
• (2)扩展的ACL
• 命名的扩展ACL格式:ip access-list
extended {name} { permit /deny } 协议 源
地址 反掩码[源端口] 目的地址 反掩码
[ 目的端口 ]
• 应用ACL到接口:Router(config-if)#ip
access-group {name} { in | out }
21
IP标准访问列表的配置
1.定义标准ACL
– 命名的标准访问列表
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
2.应用ACL到接口
– Router(config-if)#ip access-group <1-99> { in | out }
IP标准访问列表配置实例(一)
172.17.0.0
172.16.3.0
F1/0
S1/2
172.16.4.0
F1/1
• 配置:
– access-list 1 permit 172.16.3.0 0.0.0.255
(access-list 1 deny any)
– interface serial 1/2
– ip access-group 1 out
23
标准访问列表配置实例(二)
• 需求:
– 你是某校园网管,领导要你对网络的数据流量进行控制,要
求校长可以访问财务的主机,但教师机不可以访问。
• 配置:
– ip access-list standard abc
– permit host 192.168.2.8
– deny 192.168.2.0 0.0.0.255
F0/5
F0/6
F0/2
F0/8
F0/1
F0/9
F0/10
财务
192.168.1.0
校长
教师
192.168.2.0
192.168.2.8
24
IP扩展访问列表的配置
1.定义扩展的ACL
– 编号的扩展ACL
• Router(config)#access-list <100-199> { permit
/deny } 协议 源地址 反掩码 [源端口] 目的地址
反掩码 [ 目的端口 ]
– 命名的扩展ACL
• ip access-list extended {name} { permit /deny }
协议 源地址 反掩码[源端口] 目的地址 反掩码
[ 目的端口 ]
2.应用ACL到接口
– Router(config-if)#ip access-group <100199> { in | out }
IP扩展访问列表配置实例(一)
• 如何创建一条扩展ACL
– 该ACL有一条ACE,用于允许指定网络
(192.168.x..x)的所有主机以HTTP访问服务器
172.168.12.3,但拒绝其它所有主机使用网络
• Router (config)# access-list 103 permit tcp 192.168.0.0
0.0.255.255 host 172.168.12.3 eq www
• Router # show access-lists 103
IP扩展访问列表配置实例(二)
access-list 115 deny udp any any eq 69
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593
access-list 115 deny tcp any any eq 4444
access-list 115 permit ip any any
interface <type> <number>
ip access-group 115 in
ip access-group 115 out
利用ACL隔离冲击波病毒
27
访问列表的验证
• 显示全部的访问列表
– Router#show access-lists
• 显示指定的访问列表
– Router#show access-lists <1-199>
• 显示接口的访问列表应用
– Router#show ip interface 接口名称 接口编号
28
IP访问列表配置注意事项
1、一个端口在一个方向上只能应用一组ACL
2、锐捷全系列交换机可针对物理接口和SVI
接口应用ACL
– 针对物理接口,只能配置入栈应用(In)
– 针对SVI(虚拟VLAN)接口,可以配置入栈
(In)和出栈(Out)应用
3、访问列表的缺省规则是:拒绝所有
29
IP ACL
• 注意事项:
– 1、交换机支持命名的ACL,路由器支持编
号的ACL
– 2、删除端口上应用的ACL时需要在端口下
删除
– 3、交换机和交换机相连配Trunk
30