任务11 用访问控制列表(ACL)限制计算机访问

1、任务11 :通过访问控制列表(ACL )来限制计算机访问的访问控制列表(1)、访问控制列表(ACL )是Cisco IOS提供的访问控制技术，是应用于路由器接口的一系列指令列表ACL使用分组过滤技术来在路由器上读取第三层和第四层的分组头部中的信息，例如源地址、目的地地址、源端口、目的地端口等，根据预定的规则来对分组进行过滤，以进行访问控制ACL是使用包过滤技术来实现的，过滤的依据只有第三层和第四层的包头中的一部分信息，该技术有固有的限制，例如不能识别特定的人，不能识别应用内部的权限级别等。 因此，为了实现end to end的权限控制目的，必须与系统级和应用程序级权限控制结合使用。 任务11

2、:通过访问控制列表(ACL )知道用于限制计算机访问的访问控制列表(2)、 1、访问控制列表(ACL )的分类，标准访问控制列表利用源IP地址进行过滤决定，虽然部署简单，但是无法筛选复杂条件的扩展访问控制列表可以按多个条件进行筛选，如源IP地址、目标IP地址、网络层协议字段和传输层端口号。 标准编号表达式访问控制列表的表编号范围为199，扩展编号表达式访问控制列表的表编号范围为100199。 任务11 :通过访问控制列表(ACL )限制计算机访问理解访问控制列表(3)、2、访问控制列表(ACL )的设定规则，设定ACL的目的之一是保护资源节点，阻止非法用户对资源节点的访问、任务11 :通过访问

3、控制列表(ACL )来理解限制计算机访问的访问控制列表(4)、(3)、访问控制列表中的协议，根据该图，Telnet、FTP、SMTP协议取决于TCP协议，TCP协议取决于ICP协议因而，如果在访问控制列表中仅FTP消息被禁止通过路由器，则其他消息、例如Telnet、SMTP消息也可被通过路由器。 另外，以下扩展访问控制列表可禁止仅依赖于TCP协议的FTP消息通过路由器，而其他消息可通过路由器。 由于没有后续的eq ftp，所有依赖于TCP协议的消息都不能通过路由器，所以Telnet、SMTP、FTP消息也不能通过路由器。 任务11 :通过访问控制列表(ACL )来限制计算机访问理解访问控制列表

4、(5)、4、访问控制列表中的端口号，端口分为硬件区域的端口和软件区域的端口。 硬件领域的端口也称为计算机的COM端口、USB端口、路由器的局域网端口等接口的软件领域的端口，通常是用于网络中的连接服务和非连接服务的通信协议接口访问控制列表的端口号是软件区域的端口号。 根据端口号可分为三类：公认端口(WellKnown ports )。 号码从0到1023，与部分服务密切相关，明确表示服务的合同。 例如，21个端口始终是FTP通信，80个端口始终是HTTP通信。 注册端口(注册端口)。 号码从1024到49151，缓慢绑定到一些服务。 也就是说，这些端口绑定了许多服务，这些端口也用于许多其他目的。

5、 以下是介绍计算机端口和防止黑客攻击的简单方法。 动态端口和/或专用端口(Dynamic and/or private ports )。 从49152到65535。 理论上，不要将这些端口分配给服务。 实际上，计算机通常从1024开始分配动态端口。任务11 :知道访问控制列表(ACL )中限制计算机访问的访问控制列表(6)，有些端口常被黑客使用，另外有些被木马病毒使用，攻击计算机系统，网络l8080端口8080端口和80端口用于WWW代理服务，在可以进行web阅览、访问某个站点或使用代理服务器时，经常加上“:8080”端口号。 l21端口FTP服务、FTP服务打开的端口。 用于文件的上传、下载

6、。 l23端口Telnet远程登录服务。 l25端口SMTP简单邮件转发服务。 SMTP服务器为了发送邮件而打开的端口。 l80端口HTTP服务，用于web浏览。 l110端口POP3服务、POP3服务打开该端口接收邮件，客户端访问服务端的邮件服务。 POP3服务中承认了很多弱点。 任务11 :使用访问控制列表(ACL )限制计算机访问了解访问控制列表(7)、l119端口NEWS新闻组转发协议端口，并托管USENET通信。 与此端口的连接通常是寻找USENET服务。 大多数ISP的限制是只有客户才能访问新闻组服务器。 l135端口定位服务。 HACKER扫描计算机上的此端口是为了发现此计算机上

7、正在运行Exchange Server是什么版本？ 有些Dos攻击直接对应该端口。 l137、138和139端口NetBIOS名称服务。 l161端口SNMP服务，SNMP允许设备的远程管理。 所有配置和运行的信息都存储在数据库中，可以通过SNMP获得。 任务11 :用访问控制列表(ACL )限制计算机访问用简档编号式访问控制列表(ACL )限制计算机访问(1)、编号式ACL分为标准编号式ACL和扩展编号式ACL两种。 前者可基于源地址进行滤波，而后者可基于源地址、目的地址、第3层协议、第4层端口进行复杂组合滤波。 如果网络管理员希望阻止来自网络的所有通信量，或者希望特定网络的所有通信量都能够

8、通过路由器的出口，则可以使用标准编号的ACL。 标准编号表达式ACL仅根据源地址过滤数据包，因此如果无法实现某些复杂的过滤请求，则必须使用扩展编号表达式ACL进行过滤。 1、配置标准编号式ACL来限制计算机访问，(1)理解标准编号式ACL的设定命令，标准编号式ACL的配置使用全局配置命令access-list来定义访问控制列表。 任务11 :用访问控制列表(ACL )限制计算机访问用配置文件编号式访问控制列表(ACL )限制计算机访问(2)，在全局配置文件模式下，通过在access-list命令前面加上no 任务11 :用访问控制列表(ACL )限制计算机访问用简档编号式访问控制列表(ACL

9、)限制计算机访问(3)，为了说明对通配符掩码的操作，企业使用c系网络 如果不使用子网，则配置网络上的工作站时使用的子网掩码为。 在这种情况下，TCP/IP协议栈仅匹配消息中的网络地址，而不匹配主机地址。 另一方面，在标准访问列表中， 55表示匹配网络地址的所有消息。 任务11 :通过访问控制列表(ACL )限制计算机访问通过配置文件编号式访问控制列表(ACL )限制计算机访问(4)、(2)理解将标准编号式ACL应用于路由器接口的命令，以及一个访问控制列表将接入列表1应用于快速以太网接口0/1的出口方向，将接入列

10、表50应用于串行接口0/1的入口方向，将接入列表应用于接口，指定方向，并由ip access-group命令定义任务11 :通过访问控制列表(ACL )限制计算机访问通过简档编号式访问控制列表(ACL )限制计算机访问(5)、(2)理解将标准编号式ACL应用于路由器接口的命令，通过VTY线路进行访问控制例如，为了使得只有指定的计算机telnet能够登录到路由器，用任务11 :访问控制列表(ACL )来限制计算机访问用简档编号式访问控制列表(ACL )来限制计算机访问(6)、 设置并应用标准编号表达式ACL的网络管理员为网络访问路由器分配财务部地址/24和F0/0接口。 营

11、业部地址/24，营业部网络访问路由器的F0/1接口。 其他部门的地址为/24，网络与路由器的F1/0接口连接。 任务11 :用访问控制列表(ACL )限制计算机访问用配置文件编号式访问控制列表(ACL )限制计算机访问(7)、2，用配置文件扩展编号式ACL限制计算机访问，标准编号式ACL是消息扩展编号方式ACL有(1)当知道扩展编号方式ACL的设定命令时，扩展编号方式ACL的残奥仪表与标准编号方式ACL的残奥仪表相同。 任务11 :用访问控制列表(ACL )限制修正机访问用简档编号式访问控制列表(ACL )限制修正机访问(8)，表示eq、gt、lt、

12、neq、range等操作员的意思。 任务11 :用访问控制列表(ACL )限制计算机访问配置文件编号式访问控制列表(ACL )限制计算机访问(9)、(2)部署扩展编号式ACL并应用于路由器端口的一个企业营业部网络地址19 服务器群的地址为/24，与路由器的F1/0端口连接。 营业部禁止访问FTP服务器，允许其他访问。 请注意，扩展号表达式ACL应用于尽可能接近源地址的接口。 任务11 :用访问控制列表(ACL )限制计算机访问用简档编号式访问控制列表(ACL )限制计算机访问(10 )、(3)根据需要完成扩展编号式ACL简档，路由器r1、r2、r3如下图以下几个请求基于此

13、网络环境，并根据需要配置基于扩展号的访问控制列表：任务11 :用访问控制列表(ACL )限制计算机访问配置文件编号式访问控制列表(ACL )限制计算机访问(11 )、任务11 :用访问控制列表(ACL )限制计算机访问配置文件任务11 :用访问控制列表(ACL )限制计算机访问用简档命名式访问控制列表(ACL )限制计算机访问(1)，用编号式ACL不能从列表中删除某个控制项目，相当于删除整个访问控制列表。 命名的访问控制列表删除特定条目，使网络管理员能够更改ACL。 命名访问控制列表包括标准命名访问控制列表和增强型命名访问控制列表。 中的组合图层性质变更选项。 命名访问控制列表是标准ACL和扩

14、展ACL，使用名称而不是列表编号。 这个名字是字母和数字的组合字符串。 此字符串使用有意义的名称，以帮助网络管理员记住设置的访问控制列表的目的。1 .将标准命名ACL布置来限制修订器访问，命名访问控制列表可分成标准命名访问控制列表和扩展命名访问控制列表。 List-name是标准命名访问控制列表的表名，可以是199个数字或字符和数字的任意组合。 任务11 :用访问控制列表(ACL )限制计算机访问用配置文件命名方式用访问控制列表(ACL )限制计算机访问(2)，或者与上一个标准编号方式的示例相比，标准编号方式的部署如下：采用标准命名方式进行部署任务11 :使用访问控制列表(ACL )限制计算机

15、访问配置文件命名访问控制列表(ACL )限制计算机访问(3)、2，使用配置文件扩展命名ACL限制计算机访问列表- list 100、扩展命名访问控制列表分两个阶段定义：将扩展命名访问控制列表的配置与扩展编号表达式进行比较。 同样通过使用上述示例，该扩展-编号格式化采用扩展的命名访问控制列表，并且使用名称denyftp代替列表编号101来在任务11 :访问控制列表(ACL )上限制计算机访问控制列表(ACL )实践(1) 3 .掌握访问控制列表的显示方法。 三、实训内容企业内部部门和部门之间的访问必须经常受到限制，例如，销售部长可以访问财务部，而销售部其他成员不能访问财务部的某些企业，只有一部分

16、计算机可以访问互联网，学校教师办公室的计算机可以访问FTP服务器学生可以根据自己的实训条件模拟各种情况。 这个训练是模拟一些公司的电脑可以上网的情况。 任务11 :用访问控制列表(ACL )限制计算机访问控制列表(ACL )，如图所示连接实训(2)、4、实训环境1、2台CISCO2621路由器、1台2层交换机和2台计算机，构成实验环境。 其中，路由器模拟互联网环境，打开环回接口loopback 0，使计算机可以访问另一台路由器作为企业网络的访问路由器。 2 .交换机是否划分了VLAN，划分了的情况下删除划分了的VLAN。 3 .能够配置路由器的主机名、接口和路由表，配置计算机的IP地址、网关等，并且能够在这两台计算机上对ISP