《網(wǎng)絡(luò)安全設(shè)備配置》授課教師：申巧俐QQ：28418872電話程導(dǎo)入基本ACL的規(guī)劃配置擴(kuò)展ACL的規(guī)劃配置基本NAT的規(guī)劃配置AAA的規(guī)劃配置PPP的規(guī)劃配置鏈路聚合及其應(yīng)用VRRP及其應(yīng)用DHCP技術(shù)及應(yīng)用NAPT的規(guī)劃配置防火墻、IDS的規(guī)劃配置教學(xué)內(nèi)容出口網(wǎng)關(guān)的規(guī)劃配置崗位工作任務(wù)需要的技術(shù)能力鏈路聚合及VRRP的規(guī)劃部署實(shí)施能力、職業(yè)能力管理與維護(hù)網(wǎng)絡(luò)設(shè)備安全課程導(dǎo)入DHCP的規(guī)劃部署實(shí)施能力根據(jù)安全需求進(jìn)行認(rèn)證規(guī)劃配置的能力根據(jù)需求進(jìn)行地址轉(zhuǎn)換的規(guī)劃配置能力根據(jù)安全需求進(jìn)行訪問控制的能力其他網(wǎng)絡(luò)安全設(shè)備的規(guī)劃部署實(shí)施能力學(xué)習(xí)目標(biāo)理解訪問控制列表（ACL）的基本原理和基本作用掌握訪問控制列表（ACL）的分類及其配置1訪問控制列表1.1需求導(dǎo)入1.2ACL基本原理1.3基本ACL和擴(kuò)展ACL1.4ACL典型應(yīng)用2

項(xiàng)目小結(jié)1.1項(xiàng)目需求導(dǎo)入-11.1項(xiàng)目需求導(dǎo)入-2作為公司網(wǎng)絡(luò)管理員，當(dāng)公司領(lǐng)導(dǎo)提出下列要求時(shí)你該怎么辦？為了提高工作效率，不允許員工上班時(shí)間進(jìn)行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。公司有一臺服務(wù)器對外提供有關(guān)本公司的信息服務(wù)，允許公網(wǎng)用戶訪問，但為了內(nèi)部網(wǎng)絡(luò)的安全，不允許公網(wǎng)用戶訪問除信息服務(wù)器之外的任何內(nèi)網(wǎng)節(jié)點(diǎn)。1.2ACL基本原理ACL基本概念訪問控制列表ACL（AccessControlList）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報(bào)文進(jìn)行分類，從而使設(shè)備可以對不同類報(bào)文進(jìn)行不同的處理。一個(gè)ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規(guī)則，每條語句中的“deny｜permit”就是與這條規(guī)則相對應(yīng)的處理動作：“permit”的含義是“允許”“deny”的含義是“拒絕”1.2ACL基本原理1.2ACL基本原理訪問控制列表（ACL）讀取第三層、第四層包頭信息根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾IP報(bào)頭TCP報(bào)頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個(gè)元素定義的規(guī)則91.2ACL基本原理ACL規(guī)則ACL負(fù)責(zé)管理用戶配置的所有規(guī)則，并提供報(bào)文匹配規(guī)則的算法。ACL規(guī)則管理基本思想如下：每個(gè)ACL作為一個(gè)規(guī)則組，一般可以包含多個(gè)規(guī)則ACL中的每一條規(guī)則通過規(guī)則ID（rule-id）來標(biāo)識，規(guī)則ID可以自行設(shè)置，也可以由系統(tǒng)根據(jù)步長自動生成，即設(shè)備會在創(chuàng)建ACL的過程中自動為每一條規(guī)則分配一個(gè)ID默認(rèn)情況下，ACL中的所有規(guī)則均按照規(guī)則ID從小到大的順序與規(guī)則進(jìn)行匹配規(guī)則ID之間會留下一定的間隔。如果不指定規(guī)則ID時(shí)，具體間隔大小由“ACL的步長”來設(shè)定1.2ACL基本原理ACL規(guī)則匹配（1）配置了ACL的設(shè)備在接收到一個(gè)報(bào)文之后，會將該報(bào)文與ACL中的規(guī)則逐條進(jìn)行匹配；（2）如果不能匹配上當(dāng)前這條規(guī)則，則會繼續(xù)嘗試去匹配下一條規(guī)則；（3）一旦報(bào)文匹配上了某條規(guī)則，則會對該報(bào)文執(zhí)行這條規(guī)則中定義的處理動作（permit或deny），并且不再繼續(xù)嘗試與后續(xù)規(guī)則進(jìn)行匹配；（4）如果報(bào)文不能匹配上ACL的任何一條規(guī)則，則設(shè)備會對該報(bào)文執(zhí)行“permit”這個(gè)處理動作。允許允許允許允許到達(dá)訪問控制組接口的數(shù)據(jù)包匹配第一條目的接口隱含的允許轉(zhuǎn)發(fā)YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條丟棄1.2ACL基本原理ACL分類根據(jù)ACL所具備的特性不同，可將ACL分成不同類型，如：基本ACL、高級ACL、二層ACL、用戶自定義ACL，其中應(yīng)用最廣泛的是基本ACL和高級ACL。各種類型ACL區(qū)別，如表所示。ACL類型編號范圍規(guī)則制訂的主要依據(jù)基本ACL2000～2999報(bào)文源IP地址等信息。高級ACL3000～3999報(bào)文源IP地址、目的IP地址、報(bào)文優(yōu)先級、IP承載的協(xié)議類型及特性等三、四層信息。二層ACL4000～4999報(bào)文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、鏈路層協(xié)議類型等二層信息用戶自定義ACL5000～5999用戶自定義報(bào)文的偏移位置和偏移量、從報(bào)文中提取出相關(guān)內(nèi)容等信息ACL是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)安全技術(shù)，配置ACL網(wǎng)絡(luò)設(shè)備的工作過程可分為以下兩個(gè)步驟：根據(jù)事先設(shè)定好的報(bào)文匹配規(guī)則對經(jīng)過該設(shè)備的報(bào)文進(jìn)行匹配對匹配的報(bào)文執(zhí)行事先設(shè)定好的處理動作1.2ACL基本原理1.3基本ACL和擴(kuò)展ACL基本ACL命令格式基本ACL只能基于IP報(bào)文的源IP地址、報(bào)文分片標(biāo)記和時(shí)間段信息來定義規(guī)則。配置基本ACL規(guī)則命令具有如下結(jié)構(gòu)：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-range

time-name]1.3基本ACL和擴(kuò)展ACL案例1-1基本ACL配置案例背景與要求：某公司網(wǎng)絡(luò)含外來人員辦公區(qū)、項(xiàng)目部辦工區(qū)和財(cái)務(wù)部辦公區(qū)。在外來人員辦公區(qū)中，有一臺專供外來人員使用的計(jì)算機(jī)PC2，IP地址為/24。出于網(wǎng)絡(luò)安全考慮，需禁止財(cái)務(wù)部辦公區(qū)接收PC2發(fā)送的IP報(bào)文A。為滿足此需求，可在路由器R1上配置基本ACL?；続CL可根據(jù)源IP地址信息識別PC2發(fā)送的IP報(bào)文A，在GE0/0/3接口的出方向（Outbound方向）上拒絕放行IP報(bào)文A。1.3基本ACL和擴(kuò)展ACL案例配置過程配置路由器R1[R1]acl2000//創(chuàng)建一個(gè)編號為2000的基本ACL[R1-acl-basic-2000]ruledenysource//在ACL2000視圖下創(chuàng)建如下的規(guī)則[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000//使用報(bào)文過濾技術(shù)中traffic-filter命令將ACL2000應(yīng)用在路由器R1的GE0/0/3接口出方向

你是一個(gè)公司的網(wǎng)絡(luò)管理員，公司的經(jīng)理部、財(cái)務(wù)部門和銷售部門分屬不同的3個(gè)網(wǎng)段，三部門之間用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財(cái)務(wù)部門進(jìn)行訪問，但經(jīng)理部可以對財(cái)務(wù)部門進(jìn)行訪問。

PC1代表經(jīng)理部的主機(jī)，PC2代表銷售部門的主機(jī)、PC3代表財(cái)務(wù)部門的主機(jī)。1.3基本ACL和擴(kuò)展ACL擴(kuò)展ACL命令格式擴(kuò)展ACL可以根據(jù)IP報(bào)文的源IP地址、目的IP地址、協(xié)議字段值、優(yōu)先級值、長度值，TCP報(bào)文的源端口號、目的端口號，UDP報(bào)文的源端口號、目的端口號等信息來定義規(guī)則?；続CL功能只是擴(kuò)展ACL功能的一個(gè)子集，擴(kuò)展ACL可比基本ACL定義出更精準(zhǔn)、更復(fù)雜、更靈活的。針對所有IP報(bào)文簡化配置命令格式如下：rule[rule-id]{permit|deny}protocol

ip[destination{destination-address

destination-wildcard|any}][source{source-address

source-wildcard|any}]destination-porteq|lt|gt@@@1.3基本ACL和擴(kuò)展ACL案例1-2擴(kuò)展ACL的配置案例背景與要求：本配置示例網(wǎng)絡(luò)結(jié)構(gòu)與基本ACL網(wǎng)絡(luò)結(jié)構(gòu)基本一樣，不同的是，要求PC2無法接收來自財(cái)務(wù)部辦公區(qū)的IP報(bào)文B。此情況下，可在路由器R1上配置擴(kuò)展ACL。擴(kuò)展ACL可根據(jù)目的IP地址信息識別去往目的地為外來人員辦公區(qū)的IP報(bào)文B，然后在GE0/0/3接口入方向（Inbound方向）上拒絕放行IP報(bào)文B。1.3基本ACL和擴(kuò)展ACL案例配置過程配置路由器R1[R1]acl3000//創(chuàng)建一個(gè)編號為2000的基本ACL[R1-acl-adv-3000]ruledenyipdestination

//在ACL3000視圖下創(chuàng)建如下的規(guī)則[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000//使用報(bào)文過濾技術(shù)中traffic-filter命令將ACL3000應(yīng)用在路由器R1的GE0/0/3接口入方向1.4ACL應(yīng)用場景ACL應(yīng)用于的主要場合如下過濾鄰居設(shè)備間傳遞的路由信息控制交互訪問，以此阻止非法訪問設(shè)備的行為，如對Console訪問實(shí)施控制為DDR路由定義感興趣流為IPsec-VPN定義感興趣流以多種方式在IOS中實(shí)現(xiàn)QOS特性降低如DoSTCPSYN和DoSsmurf攻擊1.4ACL典型應(yīng)用案例1-3基本ACL配置實(shí)例案例背景與要求：Jan公司有網(wǎng)管辦公區(qū)、市場部辦公區(qū)、項(xiàng)目部辦公區(qū)、財(cái)務(wù)部辦公區(qū)和服務(wù)器區(qū)。出于網(wǎng)絡(luò)安全考慮，希望只有網(wǎng)管辦公區(qū)PC1才能通過Telnet方式登錄到路由器R1上，其他區(qū)域PC不能通過Telnet方式登錄到路由器R1。1.4ACL典型應(yīng)用規(guī)劃配置步驟和思路在路由器R1上創(chuàng)建基本ACL。制定基本ACL規(guī)則。在路由器的VTY（VirtualTypeTerminal）上應(yīng)用所配置的基本ACL。1.4ACL典型應(yīng)用案例配置過程配置路由器R1可使用displayacl2000命令來查看ACL2000匹配信息<R1>system-view[R1]acl2000//創(chuàng)建一個(gè)編號為2000的基本ACL[R1-acl-basic-2000]rulepermitsource0

//配置允許規(guī)則[R1-acl-basic-2000]ruledenysourceany//配置拒絕規(guī)則[R1-acl-basic-2000]quit[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

//在VTY接口上應(yīng)用ACL2000<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)1.4ACL典型應(yīng)用案例驗(yàn)證在PC1上驗(yàn)證Telnet功能重新查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortConnectedto54...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(0timesmatched)1.4ACL典型應(yīng)用在市場部PC上驗(yàn)證Telnet功能再次查看ACL2000匹配信息<PC>telnet54Trying54...PressCTRL+KtoabortError:Failedtoconnecttotheremotehost.<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(1timesmatched)基本ACL應(yīng)用案例-1允許到任意網(wǎng)絡(luò)去的訪問禁止PC2到pc0基本ACL應(yīng)用案例-2拒絕來自0到任意網(wǎng)絡(luò)的訪問，允許其他流量通過1.4ACL典型應(yīng)用案例1-4高級ACL配置示例案例背景與要求：如下圖所示，在路由器R1和R2上配置OSPF協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信，在路由器R2上配置高級ACL，以滿足如下要求：允許主機(jī)PC1訪問web服務(wù)器的web服務(wù)允許主機(jī)PC2訪問FTP服務(wù)器的ftp服務(wù)1.4ACL典型應(yīng)用案例配置思路配置路由器R1和R2接口IP、OSPF協(xié)議等，實(shí)現(xiàn)全網(wǎng)通信（此處不做相關(guān)配置介紹）；在路由器R2上創(chuàng)建高級ACL服務(wù)；在路由器R2的GE0/0/0接口入方向和VTY（VirtualTypeTerminal）上應(yīng)用所配置的高級ACL服務(wù)。案例配置過程配置路由器R2<R2>system-view[R2]acl3000//創(chuàng)建高級ACL及其規(guī)則[R2-acl-adv-3000]rule5permittcpsource0destination0destination-porteq23

[R2-acl-adv-3000]rule10permittcpsource0destination530destination-portrange2021[R2-acl-adv-3000]rule15denyip[R2-acl-adv-3000]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//在GE0/0/0接口應(yīng)用ACL3000[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

//在VTY接口應(yīng)用ACL30001.4ACL典型應(yīng)用案例驗(yàn)證使用displayacl3000命令來查看ACL3000匹配信息在主機(jī)PC1上使用Telnet方式登錄路由器，發(fā)現(xiàn)可以正常登錄[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinati