网络教程网络安全.ppt

1、网络教程网络安全,于广辉 大连理工大学网络中心,课程安排,过滤IP流量 过滤IPX和SAP流量,访问控制列表何时进行控制,Routing Logic,Bit Bucket,IP,ACL,ACL,Permit,Permit,Deny,Deny,访问控制列表的特征,来自路由器以外的包必须被过滤 包可以在进入一个界面，进行路由处理之前被过滤。 包可以在从一个界面出去之前被过滤，在路由处理之后。 IOS使用“Deny”项表示这个包应该被过滤掉。 IOS使用“Permi”项表示这个包不应该被过滤掉。 过滤的逻辑在访问控制列表中控制。 在任何一个访问列表的结尾都应该加入一个“deny all traffi

2、c”的声明，无法匹配任何一个访问控制的包将被阻塞。,访问控制列表流程小结,将这个包的相应属性同第一个访问控制比较。 如果有匹配的属性，这条访问控制中定义的动作（Permit or Deny）将被采用。 如果在第二步没有匹配的属性，重复第一、第二步，顺序使用下一条访问控制。 如果在访问控制中没有任何一条匹配，Deny动作将被应用。,访问控制列表,Access List Configuration Commands,访问控制列表,标准IP访问列表,标准访问列表只检测包的IP头的源IP地址。 32位源IP地址中的任何一位都可以同访问控制列表中的表达式进行比较；比如可以检测一个子网掩码。然而，这种匹配

3、是非常具有弹性的，你可以根本不去关心子网掩码；只是一个数学问题。,标准IP访问列表,掩码中为0的位，表示两个地址的这一位必须相同。掩码中为1的位表示两个地址中的这一位可以不相同。,标准IP访问列表,标准IP访问列表,实例标准IP访问列表,s0,s1,s1,s1,s0,s0,Subnet ,Subnet ,Subnet ,Subnet ,Subnet ,Subnet ,PC1,PC2,RouterA,RouterB,RouterC,PC3,PC4,PC5,PC6,,10.1

4、.2.2,实例标准IP访问列表,任务 不允许PC3访问PC1或PC2 RouterB的以太网不允许访问RouterC的以太网的主机。 允许所有其他操作,扩展访问列表,扩展访问列表和标准访问列表最大的不同就是，扩展访问列表允许比较包中的其他字段。,扩展访问列表,IP,TCP, UPP, ICMP,Source IP Address,Destination IP Address,Protocol,IP Field Identifies Next header (TCP, UDP,etc.),IP Field Identifies Next header (TCP, UDP,etc.),Destin

5、ation Port (UDP & TCP Only),Source Port (UDP & TCP Only),扩展访问列表,实例扩展访问控制列表,s0,s1,s1,s1,s0,s0,Subnet ,Subnet ,Subnet ,Subnet ,Subnet ,Subnet ,RouterA,RouterB,RouterC,PC3,PC4,PC5,PC6,,,,,,30,,

6、8,NFS,Web,实例扩展访问控制列表,任务 Web可以被所有用户访问 NFS和其他在NFS上的其他UDP服务，对每个子网前一半地址不可以访问。 RouterB和RouterC的以太网只有包直接通过串口路由才可以互相访问。 30, 8可以连接除PC6以外的主机。 任何到RouterA的以太网的连接，如果没有允许都禁止。 所有其他连接都允许。,命名IP访问控制列表,命名IP访问控制列表遵守和数字的IP访问控制列表一样的逻辑。 名字可以更加容易的记住访问控制列表的功能。 名字允许使用超过99个标准控制列表和100个扩展控制列表。 命名控制列表可以删除特定的一条语句，而数字访问控制列表只能删除整个访问控制。,命名IP访问控制列表,Router(config)# ip access-list extended barney Router(config-ext-nacl)#permit tcp host eq www any Router(config-ext-nacl)#dny udp host 28 255.2