项目十一-访问控制列表实现网络安全PPT课件.ppt

项目十一访问控制列表实现网络安全 任务1使用ACL保护公司内部设备及信息的安全任务2使用ACL进行信息过滤任务3使用ACL应对常见的网络病毒 返回 1 任务1使用ACL保护公司内部设备及信息的安全 任务说明 1 按图11 1 也可简化成图11 2 搭建网络 按要求配置网络设备 使网络互通 2 在路由器上使用ACL技术 要求除指定测试计算机外 包括WWW FTP服务器均不能Telnet到路由器上 3 在路由器上使用ACL技术 要求除服务器开放的服务外 其余到服务器的数据一律拒绝 工作过程1 保障设备的安全配置步骤如下 1 在路由器Quidway上允许防火墙 下一页 返回 2 任务1使用ACL保护公司内部设备及信息的安全 Quidway firewallenable 2 设置防火墙缺省过滤方式为允许包通过 3 创建访问控制列表2000 Quidway aclnumber2000 创建基本访问控制列表2000 4 配置规则允许特定主机访问网络设备 Quidway acl basic 2000 rule0permitsource192 168 0 30 0 0 0 Quidway acl basic 2000 rule1denysourceany 5 进入VTY用户界面视图 Quidway user interfacevty04 上一页 下一页 返回 3 任务1使用ACL保护公司内部设备及信息的安全 6 在VTY用户界面视图下使用ACL进行访问控制 Quidway ui vty0 4 acl2000inbound 将2000列表绑定在VTY接口的IN方向如此 就只允许指定的管理员的IP地址进行Telent操作 再加上登录密码 使用网络设备更加安全 工作过程2 保障服务器的安全 1 创建访问控制列表3002 Quidway aclnumber3002 创建高级访问控制列表3002 2 配置规则只允许用户访问服务器开放的服务 Quidway acl adv 3002 rulepermittcpsourceanydestination192 168 0 20 上一页 下一页 返回 4 任务1使用ACL保护公司内部设备及信息的安全 destination porteq80 Quidway acl adv 3002 rulepermittcpsourceanydestination192 168 0 10destination porteqeq20 Quidway acl adv 3002 rulepermittcpsourceanydestination192 168 0 10destination porteqeq21 Quidway acl adv 3002 ruledenyip 3 将规则3002作用于从接口Ethernet0 1出去的包 上一页 下一页 返回 5 任务1使用ACL保护公司内部设备及信息的安全 Quidway Ethernet0 0 firewallpacket filter3002outbound如此 就只允许计算机到服务器的www FTP访问通过 对其他数据全部拒绝 保证了服务器的安全 可以尝试将permit改为deny再测试 上一页 返回 6 任务2使用ACL进行信息过滤 任务分析 首先分析一下需求 DNS使用UDP53端口 E mail使用TCP25 110端口 浏览Internet现在基本上使用http或https进行访问 其标准端口是TCP 80端口和TCP 443 MSN使用TCP 1863端口 登录QQ时会使用TCP UDP8000这两个端口 还有可能使用udp 4000进行通信 这个需求见表11 1 工作过程3 Quidway time rangework08 00to17 00working daysta 1 创建访问控制列表3003 Quidway aclnumber3003 下一页 返回 7 任务2使用ACL进行信息过滤 2 配置规则只允许用户访问服务器开放的服务 上一页 下一页 返回 8 任务2使用ACL进行信息过滤 Quidway acl adv 3002 ruledenyip Quidway acl adv 3002 ruledenytcpdestinationany 3 将规则3003作用于从接口Ethernet0 1进入服务器的包 Quidway Ethernet0 1 firewallpacket filter3003outbound 上一页 返回 9 任务3使用ACL应对常见的网络病毒 任务分析 路由器的功能是保持网络的连通性 尽自己最大能力转发数据包 对网络病毒发送的大量垃圾报文 路由器并不能识别 比如流行的冲击波病毒 这需要手工配置ACL 通过配置 路由器可以部分处理这些垃圾报文 如禁止端口号为135的tcp报文 禁止端口号为69的udp报文 禁止icmp报文 以上只是辅助措施 根本的解决办法是查杀计算机中的病毒 尽快安装微软操作系统的补丁 升级杀毒工具的病毒库 提高安全意识 工作过程4 下一页 返回 10 任务3使用ACL应对常见的网络病毒 病毒的攻击可能来自公网 也可能来自内网 1 创建访问控制列表3001 Quidway aclnumber3001 2 配置ACL规则以防范网络病毒 rule0denytcpsource porteq3127rule1denytcpsource porteq1025rule2denytcpsource porteq5554rule3denytcpsource porteq9996rule4denytcpsource porteq1068rule5denytcpsource porteq135 上一页 下一页 返回 11 任务3使用ACL应对常见的网络病毒 rule6denyudpsource porteq135rule7denytcpsource porteq137rule8denyudpsource porteqnetbios nsrule9denytcpsource porteq138rule10denyudpsource porteqnetbios dgmrule11denytcpsource porteq139rule12denyudpsource porteqnetbios ssnrule13denytcpsource porteq593rule14denytcpsource porteq4444 上一页 下一页 返回 12 任务3使用ACL应对常见的网络病毒 rule15denytcpsource porteq5800rule16denytcpsource porteq5900rule18denytcpsource porteq8998rule19denytcpsource porteq445rule20denyudpsource porteq445rule21denyudpsource porteq1434rule30denytcpdestination porteq3127rule31denytcpdestination porteq1025rule32denytcpdestination porteq5554rule33denytcpdestination porteq9996 上一页 下一页 返回 13 任务3使用ACL应对常见的网络病毒 rule34denytcpdestination porteq1068rule35denytcpdestination porteq135rule36denyudpdestination porteq135rule37denytcpdestination porteq137rule38denyudpdestination porteqnetbios nsrule39denytcpdestination porteq138rule40denyudpdestination porteqnetbios dgmrule41denytcpdestination porteq139rule42denyudpdestination porteqnetbios ssnrule43denytcpdestination porteq593 上一页 下一页 返回 14 任务3使用ACL应对常见的网络病毒 rule44denytcpdestination porteq4444rule45denytcpdestination porteq5800rule46denytcpdestination porteq5900rule48denytcpdestination porteq8998rule49denytcpdestination porteq445rule50denyudpdestination porteq445rule51denyudpdestination porteq1434 3 将规则3001作用于路由器的每个接口 firewallpacket filter3001inbound outbound 上一页 下一页 返回 15 任务3使用ACL应对常见的网络病毒 知识1访问控制列表的基础知识1 访问控制列表概述路由器为了过滤数据包 需要配置一系列的规则 以决定什么样的数据包能够通过 这些规则就是通过访问控制列表ACL AccessControlList 定义的 访问控制列表是由 permit deny 语句组成的一系列有顺序的规则 这些规则根据数据包的源地址 目的地址 端口号等来描述 ACL通过这些规则对数据包进行分类 这些规则应用于路由器接口 路由器根据这些规则判断哪些数据包可以接收 哪些数据包需要拒绝 2 访问控制列表的分类 上一页 下一页 返回 16 任务3使用ACL应对常见的网络病毒 按照用途 访问控制列表可以分为4类 1 基本的访问控制列表 basicacl 2 高级的访问控制列表 advancedacl 3 基于接口的访问控制列表 interface basedacl 4 基于MAC地址的访问控制列表 mac basedacl 访问控制列表的使用用途是依靠数字的范围来指定的 范围为1000 1999的是基于接口的访问控制列表 范围为2000 2999的数字型访问控制列表是基本的访问控制列表 范围为3000 3999的数字型访问控制列表是高级的访问控制列表 范围为4000 4999的数字型访问控制列表是基于MAC地址的访问控制列表 上一页 下一页 返回 17 任务3使用ACL应对常见的网络病毒 3 访问控制列表的匹配顺序一个访问控制列表可以由多条 permit deny 语句组成 每一条语句描述的规则不相同 这些规则可能存在重复或矛盾的地方 在将一个数据包和访问控制列表的规则进行匹配的时候 到底采用哪些规则呢 这就需要确定规则的匹配顺序 有两种匹配顺序 1 配置顺序 2 自动排序 配置顺序 是指按照用户配置ACL的规则的先后进行匹配 自动排序使用 深度优先 的原则 上一页 下一页 返回 18 任务3使用ACL应对常见的网络病毒 4 访问控制列表的创建一个访问控制列表是由 permit deny 语句组成的一系列规则列表 若干个规则列表构成一个访问控制列表 在配置访问控制列表的规则之前 首先需要创建一个访问控制列表 可以使用如下命令创建一个访问控制列表 aclnumberacl number match order config auto 可使用如下命令删除一个或所有的访问控制列表 undoacl numberacl number all 知识2访问控制列表的原理1 基本访问控制列表 上一页 下一页 返回 19 任务3使用ACL应对常见的网络病毒 基本访问控制列表只能使用源地址信息 以其作为定义访问控制列表的规则的元素 通过前面所介绍的ACL命令 可以创建一个基本的访问控制列表 同时进入基本访问控制列表视图 在基本访问控制列表视图下 可以创建基本访问控制列表的规则 可以使用如下命令定义一个基本访问控制列表的规则 rule rule id permit deny commenttext source sour addrsour wildcard any time rangetime name logging fragment vpn instancevpn instance name 对已经存在的ACL规则 如果采用指定ACL规则编号的方式进行编辑 没有配置的部分是不受影响的 上一页 下一页 返回 20 任务3使用ACL应对常见的网络病毒 2 高级访问控制列表高级访问控制列表可以使用数据包的源地址信息 目的地址信息 IP承载的协议类型 针对协议的特性 例如TCP的源端口 目的端口 ICMP协议的类型 代码等内容定义规则 可以利用高级访问控制列表定义比基本访问控制列表更准确 更丰富 更灵活的规则 通过前面介绍的ACL命令 可以创建一个高级的访问控制列表 同时进入高级访问控制列表视图 在高级访问控制列表视图下 可以创建高级访问控制列表的规则 可以使用如下命令定义一个高级访问控制列表规则 上一页 下一页 返回 21 任务3使用ACL应对常见的网络病毒 对已经存在的ACL规则 如果采用指定ACL规则编号的方式进行编辑 没有配置的部分是不受影响的 只有TCP和UDP协议需要指定端口范围 其所支持的操作符及其语法见表11 2 上一页 下一页 返回 22 任务3使用ACL应对常见的网络病毒 在指定portnumber时 对于部分常见的端口号 可以用相应的助记符来代替其实际数字 其所支持的助记符见表11 3 对于ICMP协议可以指定ICMP报文类型 缺省为全部ICMP报文 指定ICMP报文类型时 可以用数字 0 255 也可以用助记符 ICMP报文类型的助记符及其意义见表11 4 知识3访问控制列表配置1 配置基本访问控制列表配置基本访问控制列表的操作及命令见表11 5 2 配置高级访问控制列表配置高级访问控制列表的操作及命令见表11 6 上一页 下一页 返回 23 任务3使用ACL应对常见的网络病毒 3 删除访问控制列表删除访问控制列表的操作及命令见表11 7 4 设置防火墙缺省过滤方式设置防火墙的缺省过滤方式 即指在没有一个合适的规则去判定用户数据包是否可以通过的时候 防火墙采取的策略是允许还是禁止该数据包通过 请在系统视图下进行表11 8所示的配置 5 在接口上应用访问控制列表将访问规则应用到接口时 同时会遵循时间段过滤原则 另外可以对接口的收发报文分别指定访问规则 请在接口视图下进行表11 9所示的配置 上一页 下一页 返回 24 任务3使用ACL应对常见的网络病毒 基于接口的访问控制列表 即序号