第 網(wǎng)絡(luò)安全I(xiàn)P訪問控制列表_第1頁
第 網(wǎng)絡(luò)安全I(xiàn)P訪問控制列表_第2頁
第 網(wǎng)絡(luò)安全I(xiàn)P訪問控制列表_第3頁
第 網(wǎng)絡(luò)安全I(xiàn)P訪問控制列表_第4頁
第 網(wǎng)絡(luò)安全I(xiàn)P訪問控制列表_第5頁
已閱讀5頁,還剩36頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

會計學(xué)1第網(wǎng)絡(luò)安全I(xiàn)P訪問控制列表訪問列表的應(yīng)用允許、拒絕數(shù)據(jù)包通過路由器允許、拒絕Telnet會話的建立沒有設(shè)置訪問列表時,所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸虛擬會話(IP)端口上的數(shù)據(jù)傳輸?shù)?頁/共41頁

標(biāo)準(zhǔn)檢查源地址通常允許、拒絕的是完整的協(xié)議

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是訪問列表--標(biāo)準(zhǔn)第2頁/共41頁

標(biāo)準(zhǔn)檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表--擴展第3頁/共41頁

標(biāo)準(zhǔn)檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議進(jìn)方向和出方向

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表第4頁/共41頁Inbound

InterfacePacketsNYPacketDiscardBucketChooseInterface

NAccessList

?RoutingTable

Entry

?YOutbound

InterfacesPacketS0出端口方向上的訪問列表第5頁/共41頁Outbound

InterfacesPacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NPacketTestAccessListStatementsPermit

?Y出端口方向上的訪問列表AccessList

?YS0E0Inbound

InterfacePackets第6頁/共41頁NotifySender出端口方向上的訪問列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets第7頁/共41頁訪問列表的測試:允許和拒絕PacketstointerfacesintheaccessgroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit第8頁/共41頁訪問列表的測試:允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第9頁/共41頁訪問列表的測試:允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit第10頁/共41頁訪問列表的測試:允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN第11頁/共41頁訪問列表配置指南訪問列表的編號指明了使用何種協(xié)議的訪問列表每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面在訪問列表的最后有一條隱含聲明:denyany-每一條正確的訪問列表都至少應(yīng)該有一條允許語句先創(chuàng)建訪問列表,然后應(yīng)用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)第12頁/共41頁訪問列表設(shè)置命令Step1:設(shè)置訪問列表測試語句的參數(shù)access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#第13頁/共41頁Step1:設(shè)置訪問列表測試語句的參數(shù)Router(config)#Step2:在端口上應(yīng)用訪問列表ipaccess-groupaccess-list-number{in|out}Router(config-if)#訪問列表設(shè)置命令I(lǐng)P訪問列表的標(biāo)號為1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}第14頁/共41頁如何識別訪問列表號編號范圍訪問列表類型IP

1-99Standard標(biāo)準(zhǔn)訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址第15頁/共41頁編號范圍訪問列表類型如何識別訪問列表號IP

1-99100-199StandardExtended標(biāo)準(zhǔn)訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址擴展訪問列表(100to199)檢查源地址和目的地址、具體的TCP/IP協(xié)議和目的端口第16頁/共41頁編號范圍1-991300-1999Name(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed訪問列表類型如何識別訪問列表號標(biāo)準(zhǔn)訪問列表檢查IP數(shù)據(jù)包的源地址擴展訪問列表

檢查源地址和目的地址、具體的TCP/IP協(xié)議和目的端口其它訪問列表編號范圍表示不同協(xié)議的訪問列表ExtendNamed第17頁/共41頁例如9檢查所有的地址位可以簡寫為host(host9)Testconditions:Checkalltheaddressbits(matchall)9

(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩碼指明特定的主機第18頁/共41頁所有主機:55可以用any簡寫Testconditions:Ignorealltheaddressbits(matchany)

55(ignoreall)AnyIPaddressWildcardmask:通配符掩碼指明所有主機第19頁/共41頁標(biāo)準(zhǔn)IP訪問列表的配置access-listaccess-list-number{permit|deny}source[inverse-mask]Router(config)#為訪問列表設(shè)置參數(shù)IP標(biāo)準(zhǔn)訪問列表編號1到99“noaccess-listaccess-list-number”命令刪除訪問列表第20頁/共41頁access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上應(yīng)用訪問列表指明是進(jìn)方向還是出方向“noipaccess-groupaccess-list-number”命令在端口上刪除訪問列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問列表設(shè)置參數(shù)IP標(biāo)準(zhǔn)訪問列表編號1到99缺省的通配符掩碼=“noaccess-listaccess-list-number”命令刪除訪問列表標(biāo)準(zhǔn)IP訪問列表的配置第21頁/共41頁3E0S0E1Non-標(biāo)準(zhǔn)訪問列表舉例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)第22頁/共41頁Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)訪問列表舉例1第23頁/共41頁Denyaspecifichost標(biāo)準(zhǔn)訪問列表舉例23E0S0E1Non-access-list1deny3第24頁/共41頁標(biāo)準(zhǔn)訪問列表舉例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)第25頁/共41頁access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out標(biāo)準(zhǔn)訪問列表舉例23E0S0E1Non-Denyaspecifichost第26頁/共41頁在路由器上過濾vty五個虛擬通道(0到4)路由器的vty端口可以過濾數(shù)據(jù)在路由器上執(zhí)行vty訪問的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0第27頁/共41頁如何控制vty訪問01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用標(biāo)準(zhǔn)訪問列表語句用access-class

命令應(yīng)用訪問列表在所有vty通道上設(shè)置相同的限制條件Router#e0第28頁/共41頁虛擬通道的配置指明vty通道的范圍在訪問列表里指明方向access-classaccess-list-number{in|out}linevty#{vty#|vty-range}Router(config)#Router(config-line)#第29頁/共41頁虛擬通道訪問舉例只允許網(wǎng)絡(luò)

內(nèi)的主機連接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess第30頁/共41頁標(biāo)準(zhǔn)訪問列表和擴展訪問列表

比較標(biāo)準(zhǔn)擴展基于源地址基于源地址和目標(biāo)地址允許和拒絕完整的TCP/IP協(xié)議指定TCP/IP的特定協(xié)議和端口號編號范圍100-199和2000-2699編號范圍1-99和1300-1999第31頁/共41頁擴展IP訪問列表的配置Router(config)#設(shè)置訪問列表的參數(shù)access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第32頁/共41頁Router(config-if)#ipaccess-groupaccess-list-number{in|out}擴展IP訪問列表的配置在端口上應(yīng)用訪問列表Router(config)#設(shè)置訪問列表的參數(shù)access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第33頁/共41頁拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)3E0S0E1Non-擴展訪問列表應(yīng)用舉例1access-list101denytcp

5555eq21access-list101denytcp5555eq20第34頁/共41頁拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例13E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)第35頁/共41頁access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例13E0S0E1Non-第36頁/共41頁拒絕子網(wǎng)

內(nèi)的主機使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例23E0S0E1Non-access-list101denytcp55anyeq

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論