访问列表安全性.ppt

第七章 理解访问列表安全性 1 访问控制列表 是由一系列的匹配语句和相应的动作组成 当一个访问列表有多条语句时 第一条匹配的语句决定对匹配的包采取什么动作判断过程总结如下 A 访问列表的第一个语句与包中各值相比较B 如果匹配就做相关的动作 允许 拒绝 C 如果在第二步中没有匹配的 那将访问列表中的下一语气 并重复执行A BD 如果整个访问列表都不匹配 将执行拒绝动作注 每一个访问列表的结尾有一个隐含的 denyall 所以如果没有匹配项 那将被丢弃 内向Acl 路由逻辑 位桶 内向Acl 允许 允许 拒绝 拒绝 访问控制列表分为 标准的与扩展的A标准的 是基于源地址的控制B扩展的 是基源IP与目标IP 源mac与标mac 源端口及目标端口 协议访问控制列表中放置的三个原则靠近包的来源处先将匹配的包放在列表的前端保证要实现功能 3 标准IP访问列表配置 Access listaccess list number deny permit source source wildcard log 标准编号的的访问列表的全局命令Ipaccess group number name in out 启用访问列表的接口子命令Access classnumber name in out Showipinterface typenumber Showaccess list number name 注 标准IP访问列表的编号是1到99 sam10 1 2 1 em10 1 2 2 eL10 1 3 1 eH10 1 3 2 bug10 1 1 1 da10 1 1 2 A B C s0 s1 s1 s0 s1 s0 案例分析 标准 要求过滤标准 如图1 Grigory可以使用Nova以太网上的主机在Gorno上的其它所有的主机 除Grigory外 不能使用Nova以太网的主机所有其它的通信是允许的 Grigory10 1 2 1 em10 1 2 2 eL10 1 3 1 eH10 1 3 2 bug10 1 1 1 da10 1 1 2 Gorno B Nova s0 s1 s1 s0 s1 s0 图一 Access list43permithost10 1 2 1Access list43deny10 1 2 00 0 0 255Access list43PermitanyanyInterfaces0Ipaccess group43inInterfaces1Ipaccess group43in 请同学思考用以上方式是否会出问题 如果有的话 有没有解决办法 Acces list143permitiphost10 1 2 110 1 3 00 0 0 255Access list143denyip10 1 2 00 0 0 25510 1 3 00 0 0 255Acces list143permitipanyany 3 扩展IP访问列表配置 Access listaccess list number dynamicdynamic name deny permit protocolsource source wildcard destinationdesination wildcard 扩展编号的的访问列表的全局命令Ipaccess group number name in out 启用访问列表的接口子命令Access classnumber name in out Showipinterface typenumber Showaccess list number name 注 扩展IP访问列表的编号是100到199 sam10 1 2 1 em10 1 2 2 eL10 1 3 1 eH10 1 3 2 bug10 1 1 1 A B C s0 s1 s1 s0 s1 s0 bug10 1 1 1 bug210 1 1 2 bug310 1 13 bug410 1 1 28 4 命名IP访问列表 编号IP访问列表和命名IP访问列表的主要区别 A 名字能直接反映出访问列表完成的功能B 命名访问列表突破99个标准和100个扩展列表的限制 能定义更多的访问列表C 命名IP访问列表允许删除个别语句 而编号的列表只能删除整个列表 D 在同一个路由器是 IP命名是唯一的例如 ipaccess listextendedabc sam10 1 2 1 em10 1 2 2 eL10 1 3 1 eH10 1 3 2 bug10 1 1 1 A B C s0 s1 s1 s0 s1 s0 bug10 1 1 1 bug210 1 1 2 bug310 1 13 bug410 1 1 28 案例分析2 如图2 在barmaul以太网上的主机不能和Gorno以太网中的主机通信Grigory和Melissa不能和Nova以太网上的主机通信在Nova以太网和Gorno之间的其它的以太网的主机可以通信所有其它的主机可以通信 请同学写出控制过程 Grigory10 1 2 1 Melissa10 1 2 2 Ivan10 1 3 1 Anna10 1 3 2 sergei10 1 1 1 Tonya10 1 1 2 Gorno Barnaul Nova s0 s1 s1 s0 s1 s0 图2 NAT实例分析 interfaceFastEthernet0 0ipaddress124 74 234 178255 255 255 252noipdirected broadcastipnatoutsideduplexautospeedauto interfaceFastEthernet0 1ipaddress172 16 200 254255 255 255 0noipdirected broadcastipnatinsideduplexautospeedauto ipnatpoolxxx124 74 234 178124 74 234 178netmask255 255 255 252ipnatinsidesourcelist1poolbbboverloadipclasslessiproute0 0 0 00