路由器安全管理.ppt

第7章路由器安全管理 4 1Telnet会话管理 4 1 1呼出Telnet会话管理图4 1远程登录 使用主机名直接远程登录 当登陆到目标主机后 可使用以下命令断开当前Telnet回话 exit 回到本地设备 不退出当前回话连接而暂时回到原设备 Ctrl Shift 6 x 显示呼出Telnet会话 断开呼出Telnet会话 此断开回话是从本地断开到目标本机的telnet回话 disconnect命令 同时发起多个Telnet会话 返回某次Telnet会话过程 断开指定Telnet连接 4 1Telnet会话管理 4 1 2呼入Telnet会话管理 采用相对线号断开远程Telnet连接 用绝对线号断开远程Telnet连接 4 2访问控制列表 ACL 4 2 1访问控制列表概述1 访问控制列表访问控制列表是控制流入 流出路由器数据包的一种方法 它通过在数据流入或流出路由器时进行检查 过滤达到流量管理的目的 而且在很大程度上起到保护网络设备和服务器的关键作用 是一个有序的语句集合 它通过匹配报文信息与访问列表参数来允许报文或拒接报文通过某个接口 2 配置访问控制列表步骤 Step1 定义允许或禁止报文的描述语句 访问列表 Step2 将访问列表应用到路由器的具体接口 应用访问组 表4 1通过编号指定的访问列表所支持的协议 标准IP协议 1300 1999 IOSv12 0andlater 扩展IP协议 2000 2699 IOSv12 0andlater IP访问控制列表 标准IP访问控制列表 仅依据IP数据包的源地址决定是否过滤数据包 扩展IP访问控制列表 不但可以检查源地址 目标地址 而且可以检查源和目标的端口号等字段 4 2访问控制 ACL 4 2 2标准ACL配置方法1 标准IP访问控制列表语句ACCESS LISTaccess list number DENY PERMIT REMARK SOURCE source wildcard ANY access list number列表号码 范围1 99之间DENY PERMIT指出该访问控制列表是允许还是拒绝数据包SOURCE source wildcard ANY主机或网络的源地址 或者是任何主机注意 要匹配某个主机则需要输入该主机的IP地址 若要匹配某个网络 则需要输入网络号 后面跟上通配符掩码 通配符掩码为 1 表示IP地址的对应位可以是1也可以是0 若通配符掩码为 0 则表示IP地址对应位必须被精确匹配 例如 210 31 10 00 0 0 255表示前三位域必须是210 31 10 最后一个位域什么值都可以 1 255 2 IP访问控制组语句 首先进入路由器的某个接口 IPACCESS GROUPaccess list number IN OUT access list number列表号码 范围1 99之间IN OUT表示对流入海是流出路由器的数据包进行检查 4 2访问控制 ACL 标准IP访问控制列表配置实例1 标准IP访问控制列表配置 Ra conftRa config access list1permithost210 31 10 20Ra config access list1denyanyRa config interfaceethernet0Ra config if ipaccess group1in 标准IP访问控制列表配置实例2 Ra conftRa config access list1permithost210 31 10 00 0 0 255Ra config access list1denyanyRa config interfaceserial0Ra config if ipaccess group1out 4 2访问控制 ACL 4 2 3扩展ACL配置方法1 扩展IP访问控制列表语句ACCESS LISTaccess list number DENY PERMIT REMARK protocolsourcesource wildcarddestinationdestination wildcardoptionaccess list number列表号码 范围100 199之间Protocol指明要匹配使用的协议2 IP访问控制组语句IPACCESS GROUPaccess list number IN OUT 扩展IP访问控制列表配置实例 Rb conftRb config access list101permittcp210 31 225 00 0 0 255host210 31 224 11eqtelent 23 Rb config access list101permittcp210 31 226 00 0 0 255host210 31 224 11eqwww 80 Rb config access list101permiticmp210 31 0 00 0 0 255anyRb config access list101denyipanyanyRb config interfaceserial0Rb config if ipaccess group101out 需要注意的问题 在访问控制列表中除了可以用eq关键字指出单一的端口号外 也可以规定端口号范围 例如 gt1024表示端口号大于1024 用lt1024表示端口号小于1024 range100200则表示端口号介于100和200之间 在每个访问控制列表的底端都可以有一个默认的DENYANY 所以 建议在每个访问控制列表的最后一条语句明确地指出对其余通信量的出来方式 4 2访问控制 ACL 4 2 4命名访问控制列表1 标准命名访问控制列表ipaccess liststandardaclnameipaccess groupaclname in out 2 扩展命名访问控制列表ipaccess listextendedaclnameipaccess groupaclname in out 3 命名访问控制列表的修改 4 2 5 ACL日志 ACL语句中的关键字 log 及其作用 4 3路由器的安全管理 4 3 1本地登录认证图4 23配置本地登录认证 4 3路由器的安全管理 4 3 1本地登录认证图4 24本地登录认证 4 3 2访问类语句 图4 25限制对路由器的管理性访问 4 3 2访问类语句 图4 26进行VTY访问控制 4 3 3HTTP HTTPS 1 HTTP管理方式图4 29HTTP访问本地认证配置图4 31限制HTTP访问位置图4 33关闭路由器上的HT