《网络安全配置》PPT课件

第5章网络安全配置,中原工学院计算机学院网络工程系,学习目标,掌握NAT动态转换配置方法,掌握NAT静态转换配置方法,掌握应用IPACL配置方法,掌握扩展IPACL定义方法,掌握标准IPACL定义方法,5.1ACL配置,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,ACL通过应用访问控制列表到路由器接口来管理流量和审视特定分组。ACL适用于所有的路由协议，当分组经过路由器时进行过滤。可在路由器上配置ACL以控制对某一网络或子网的访问。ACL的定义必须基于协议。,访问控制列表（AccessControlList，ACL）,是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。,（2）一个ACL的配置是每协议、每接口、每方向的。（3）ACL的语句顺序决定了对数据包的控制顺序。（4）最有限制性的语句应放在ACL语句的首行。（5）在将ACL应用到接口之前，一定要先建立访问控制列表。（6）ACL的语句能被逐条地删除，只能一次性地删除整个访问控制列表。（7）在ACL的最后，有一条隐含的“全部拒绝”的命令。（8）ACL只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数据包。,5.1ACL配置,（1）ACL的列表号指出是哪种协议的ACL,定义ACL时所应遵循的规范：,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义标准IP访问列表,access-listaccess-list-numberdeny|permitsourcesource-wildcard,access-list-number,deny,permit,source,source-wildcard,访问列表编号,在匹配条件语句时，拒绝分组通过,在匹配条件语句时，允许分组通过,发送分组的源地址，指定源地址方式如下：32位点分十进制。使用关键字any，作为0.0.0.0255.255.255.255的源地址和源地址通配符的缩写字。,（可选项）通配符掩码，指定源地址通配符掩码方式如下：32位点分十进制。使用关键字any，作为0.0.0.0255.255.255.255的源地址和源地址通配符的缩写字。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,通配符掩码:,一个32比特的数字字符串。0表示检查相应位1表示不检查相应位,通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位。ACL使用通配符掩码来标志一个或几个地址是被允许，还是被拒绝。,所有主机:0.0.0.0255.255.255.255,简写,any,特定的主机：172.30.16.290.0.0.0,简写,host,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例标准访问列表允许IP地址范围从10.29.2.64到10.29.2.127的设备访问。,例标准访问列表允许来自三个指定网络上的主机访问。,例为了更容易地指定大量单独地址，如果通配符掩码都为0，可以忽略。因此，如下三个配置效果是一样的。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例来自10.8.1.0网络的主机被限制访问该路由器，但10.0.0.0网络中所有其它IP主机被允许。另外，地址10.8.1.23主机允许访问该路由器。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例应用列表101过滤从以太网接口0出站的分组。,在接口配置模式下,前提模式：,命令格式：,功能：,应用一个IP访问列表到一个接口,ipaccess-groupaccess-list-name|access-list-numberin|out,access-list-number,in,out,IP访问列表的号码,入站过滤分组,出站过滤分组,access-list-name,IP访问列表名字,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例定义访问列表只允许在网络192.89.55.0上的主机连接到路由器上虚拟终端端口。,在线路配置模式下,前提模式：,命令格式：,功能：,限制一个特定的vty之间的传入和传出连接和在访问列表中的地址,access-classaccess-list-numberin|out,in,out,在传入连接限制,在传出连接限制,access-list-number,IP访问列表的号码,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,扩展ACL,既可检查分组的源地址和目的地址，也检查协议类型和TCP或UDP的端口号。可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是被允许或者被拒绝。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义扩展IP访问列表,access-listaccess-list-numberdeny|permitprotocolsourcesource-wildcarddestinationdestination-wildcard,access-list-number,deny,permit,protocol,source,source-wildcard,destination,destination-wildcard,访问控制列表编号,如果条件符合就拒绝访问,如果条件符合就允许访问,Internet协议名称或号码,发送分组的网络号或主机,应用于源地址的反向掩码,分组的目的网络号或主机,应用于目的地址的反向掩码,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例串行接口0是地址为10.88.0.0的B类网络的一部分，邮件主机的地址为10.88.1.2。established关键字只用在TCP协议，表示一个建立的连接。如果TCP数据包中的ACK或RST被设置，那么匹配发生，表明分组属于一个存在的连接。,例允许DNS分组和ICMP回送和回送回答分组。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例串行接口0连接路由器到Internet。IGMP的host-report报文被禁止在任何内部主机与任何Internet上外部主机之间传送。,例以太网接口0连接路由器到防火墙以访问Internet。为了确保InternetRIP报文不进入路由器，应用了ACL104的拒绝RIPUDP报文的入站过滤器。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,使用命名ACL有以下好处：,（1）直观（2）不受99条标准ACL和100条扩展ACL的限制（3）方便修改,在全局配置模式下,前提模式：,命令格式：,功能：,定义一个使用名称或编号的IP访问列表,ipaccess-liststandard|extendedaccess-list-name|access-list-number,standard,extended,access-list-name,access-list-number,标准IP访问列表,扩展IP访问列表,IP访问列表名称,访问列表的编号,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例定义标准访问列表，命名为Internetfilter。,在实现命名ACL之前，需要考虑：,（1）11.2之前版本的CiscoIOS软件不支持命名ACL。（2）不能够以同一名字命名多个ACL。,例定义扩展访问列表，命名为server-access,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例定义扩展访问列表，命名为server-access,例从标准命名ACL中删除单独的ACE。,例从标准命名ACL中删除单独的ACE。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,命令如下：,扩展的ACL命令如下：,放置ACL的一般原则是：,扩展ACL尽可能放置在距离要被拒绝的通信量近的地方。标准ACL应该尽可能放置在距离目的地最近的地方。如果要禁止PC3访问PC1，可以在网络中使用标准的ACL,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,使用的位置,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例查看全部ACL。,在用户模式或特权模式下,前提模式：,命令格式：,功能：,显示当前访问列表的内容,showaccess-listsaccess-list-number|access-list-name,access-list-number,access-list-name,(可选项)访问列表编号,(可选项)访问列表名称,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,在特权模式下,前提模式：,命令格式：,功能：,显示所有当前IP访问列表的内容,showipaccess-listaccess-list-number|access-list-name|interfaceinterface-namein|out,access-list-number,access-list-name,interfaceinterface-name,in,out,(可选项)IP访问列表编号,(可选项)IP访问列表名称,(可选项)接口名称,(可选项)输入接口统计信息,(可选项)输出接口统计信息,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例显示所有访问列表。,例显示指定名称的访问列表。,例显示快速以太网接口0/0的输入统计信息,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.1ACL配置,例清除访问列表101的计数器。,在特权模式下,前提模式：,命令格式：,功能：,清除访问列表的计数器,clearaccess-listcountersaccess-list-number|access-list-name,access-list-number,access-list-name,访问列表编号,访问列表名称,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACLACL在网络中的应用位置监视与维护ACLNAT配置实验练习,5.2NAT配置,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,网络地址转换(NAT,NetworkAddressTranslation),静态转换StaticNat动态转换DynamicNat端口多路复用OverLoad,NAT的实现方式:,仅以增强的网络状态作为补充，而忽略了IP地址端对端的重要性。,NAT解决方法的不足:,InsideLocalIPAddress，内部本地地址InsideGlobalIPAddress，内部全局地址OutsideLocalIPAddress，外部本地地址OutsideGlocalIPAddress，外部全局地址,NAT使用下列地址定义：,5.2NAT配置,静态NAT转换,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在全局配置模式下,前提模式：,静态NAT命令格式：,功能：,启用内部源地址的NAT静态转换,ipnatinsidesourcestaticlocal-ipglobal-ip,内部网络主机本地IP地址,内部主机全局IP地址,local-ip,global-ip,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,端口静态NAT命令格式：,ipnatinsidesourcestatictcp|udplocal-iplocal-portglobal-ipglobal-port|interfaceglobal-port,网络静态NAT命令格式：,ipnatinsidesourcestaticnetworklocal-networkglobal-networkmask,tcp,udp,local-port,global-port,传输控制协议,用户数据报协议,本地TCP/UDP端口号,全局TCP/UDP端口号,local-network,global-network,mask,本地子网转换,全局子网转换,子网转换使用的IP网络掩码,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在接口配置模式下,前提模式：,命令格式：,功能：,指定接口对NAT是流量来源或者目的,ipnatinside|outside,inside,outside,（可选项）表明接口连接到外部网络,（可选项）表明接口连接到内部网络,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,例静态NAT配置,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,（1）配置静态NAT映射,（2）配置NAT内部接口,（3）配置NAT外部接口,在PC0和PC1上ping202.96.1.2（路由器Router1的串行接口1/0）,此时应该是通的，路由器Router0的输出信息如下：,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,查看NAT表,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,动态NAT转换,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义NAT的IP地址池,ipnatpoolnamestart-ipend-ipnetmasknetmask|prefix-lengthprefix-length,name,start-ip,end-ip,netmasknetmask,prefix-lengthprefix-length,地址池名,地址池中起始IP地址,地址池中结束IP地址,地址池所属网络的网络掩码,地址池所属网络的网络掩码前缀长度,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义一个标准访问控制列表以允许地址被转换,access-listaccess-list-numberdeny|permitsourcesource-wildcard,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,启用内部源地址的NAT,ipnatinsidesourcelistaccess-list-number|access-list-nameinterfacetypenumber|poolnameoverload,access-list-number,access-list-name,interfacetypenumber,poolname,overload,标准IP访问列表的编号,标准IP访问列表的名称,全局地址的接口类型、编号,全局IP地址动态分配的地址池的名称,（可选项）多个本地地址使用一个全局地址,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,例动态NAT配置,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,配置动态NAT转换的地址池。,配置动态NAT映射。,允许动态NAT转换的内部地址范围。,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在PC0和PC1上ping202.96.1.2（路由器Router1的串行接口1/0）,此时应该是通的，路由器Router0的输出信息如下：,如果动态地址池中的没有足够的地址进行动态映射，则会出现类似下面的信息，提示NAT转换失败，并丢弃数据包。,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,查看NAT转换的统计信息。,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,PAT转换,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,例配置PAT,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,（1）配置动态NAT转换的地址池,（2）配置PAT,（3）配置允许动态NAT转换的内部地址范围,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在PC0和PC1上ping202.96.1.2（路由器Router1的串行接口1/0）,此时应该是通的，路由器Router0的输出信息如下：,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,以上输出表明进行PAT转换使用的是同一个IP地址的不同端口号。,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,动态NAT的过期时间是86400s，PAT的过期时间是60s，通过showipnattranlastionsverbose命令可以查看，也可以通过下面的命令修改超时时间：,如果主机的数量不是很多，可以直接使用outside接口地址配置PAT，不必定义地址池，命令如下：参数timeout的范围是0到2147486。,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,ipnattranslationtimeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout|icmp-timeout|pptp-timeout|syn-timeout|port-timeout|arp-ping-timeoutseconds|never,5.2NAT配置,在全局配置模式下,前提模式：,命令格式：,改变NAT转换超时时间,timeout,功能：,udp-timeout,dns-timeout,tcp-timeout,finrst-timeout,icmp-timeout,pptp-timeout,syn-timeout,port-timeout,arp-ping-timeout,seconds,never,应用于动态转换的超时值，除复用转换外，默认为86400秒（24小时）,应用于UDP端口的超时值，默认为300秒（5分钟）。,应用于DNS连接的超时值，默认为60秒,应用于TCP端口的超时值，默认为86400秒（24小时）,应用于结束（FIN）和复位（RST）中止连接的TCP包超时值，默认为60秒,ICMP流的超时值，默认为60秒,NATPPTP流的超时值，默认为86400秒（24小时）。,紧接SYN传输消息后TCP流的超时值，默认为60秒。,应用于TCP/UDP端口的超时值,端口转换超时的秒数，默认为0,没有端口转换超时,应用于arpping的超时值,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在用户模式或特权模式下,前提模式：,命令格式：,功能：,显示活动的NAT转换,showipnattranslationsprotocolverbose,protocol,verbose,(可选项)显示协议项目，协议参数关键字如下：esp：ESP协议项目。icmp：ICMP协议项目。pptp：PPTP协议项目。tcp：TCP协议项目。udp：UDP协议项目。,(可选项)显示每个转换表项目的额外信息。,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,例showipnattranslations命令输出,协议,源全局地址,源本地地址,目的本地地址,目的全局地址,ACL配置NAT配置NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2NAT配置,在特权模式下,前提模式：,命令格式：,功能：,显示NAT统计信息,showipnattranslations,例showipnatstatistics命令输出,系统活动的转换数,外部接口列表,内部接口列表,转换表查询找到表项的次数,转换表查询没有找到表项的次数,过期的转换数,动态映射信息,内部源转换信息,访问列表编号,地址池的名称,使用地址池的转换数,地址池IP网络掩码,地址池起始IP地址,地址池终止IP地址,地址池的类型，可能的类型为generic或rotary。,地址池可用的地址数,被使用的地址数,地址池分配失败数,ACL配置