訪問控制列表的概念與分類***職業(yè)技術(shù)學院

主講教師：***訪問控制列表的概念隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全問題日趨突出。為了保護局域網(wǎng)內(nèi)某些設(shè)備和數(shù)據(jù)系統(tǒng)的安全，網(wǎng)絡(luò)管理員經(jīng)常需要設(shè)法拒絕某些非法用戶對保護對象的訪問連接，但要允許那些正常的訪問連接。例如，網(wǎng)絡(luò)管理員允許局域網(wǎng)內(nèi)的用戶訪問Internet，同時它卻不希望局域網(wǎng)以外的用戶通過互聯(lián)網(wǎng)訪問局域網(wǎng)內(nèi)部的文件服務(wù)器。

訪問控制列表（AccessControlList，ACL）是一種應(yīng)用在交換機與路由器上的技術(shù)，其主要目的是對網(wǎng)絡(luò)數(shù)據(jù)通信進行過濾，實現(xiàn)對各種訪問的控制需求。訪問控制列表通過對數(shù)據(jù)包中的信息，如源地址、目的地址、協(xié)議號、源端口、目的端口等來區(qū)分數(shù)據(jù)包的特性，根據(jù)預先定義好的規(guī)則允許（permit）或拒絕（deny）該數(shù)據(jù)包是否被設(shè)備轉(zhuǎn)發(fā)，從而實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目刂啤ＴL問控制列表的工作原理訪問控制列表是一組規(guī)則的集合，它應(yīng)用在交換機或者路由器的某個接口上。訪問控制列表的設(shè)置過程主要有兩個步驟：定義規(guī)則和應(yīng)用到接口上。如果對接口應(yīng)用了訪問控制列表，也就是說該接口應(yīng)用了一組規(guī)則，那么路由器（或三層交換機）將對數(shù)據(jù)包應(yīng)用該組規(guī)則進行檢測。訪問控制列表的工作原理在檢測數(shù)據(jù)包是否允許轉(zhuǎn)發(fā)時，遵循以下基本規(guī)則。1、如果匹配第一條規(guī)則，則不再往下檢測，路由器或者交換機將決定允許該數(shù)據(jù)包通過或者拒絕其通過。2、如果不匹配第一條規(guī)則，則依次往下檢測，直到有任何一條規(guī)則匹配，路由器或交換機將決定允許該數(shù)據(jù)包通過或拒絕其通過。3、如果最后沒有一條規(guī)則匹配，則路由器或交換機根據(jù)默認的規(guī)則將丟棄該數(shù)據(jù)包。由以上幾條基本規(guī)則可知，由于存在規(guī)則匹配的次序性，各條規(guī)則的放置順序很重要，一旦找到了某一匹配規(guī)則，就結(jié)束比較，不再檢測其后的其它規(guī)則。訪問控制列表的工作原理需要注意的是在訪問控制列表的末尾，總有一條隱含的拒絕所有（denyany）數(shù)據(jù)包通過，意味著如果數(shù)據(jù)包不與任何規(guī)則匹配，則默認的動作就是拒絕該數(shù)據(jù)包通過。訪問控制列表的工作原理在路由器（或交換機）接口上應(yīng)用訪問控制列表有進（in）和出（out）兩個方向。

進方向的ACL負載過濾進入接口的數(shù)據(jù)流量，出方向的ACL負責過濾從接口發(fā)出的數(shù)據(jù)流量。

進方向先檢查ACL，后查找路由表，出方向先查找路由表，再檢查ACL。訪問控制列表的工作原理訪問控制列表分為：標準IP訪問控制列表和擴展訪問控制列表標準IP訪問控制列表編號范圍為1-99，其作用為根據(jù)數(shù)據(jù)包的源地址（hostip）對數(shù)據(jù)包進行過濾處理，采取允許或拒絕的動作。擴展IP訪問控制列表編號范圍為100-199，可以處理更多的匹配項，包括源地址、目的地址、協(xié)議號、源端口、目的端口等，根據(jù)這些匹配項對數(shù)據(jù)包進行過濾，采取允許或拒絕數(shù)據(jù)包的動作。觀看謝謝PPT模板下載：/moban/行業(yè)PPT模板：/hangye/節(jié)日PPT模板：/jieri/PPT素材下載：/sucai/PPT背景圖片：/beijing/PPT圖表下載：/tubiao/優(yōu)秀PPT下載：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/資料下載：/ziliao/PPT課件下載：/kejian/范文下載：/fanwen/試卷下載：/shiti/教案下載：/jiaoan/PPT論壇：

標準訪問控制列表配置命令***職業(yè)技術(shù)學院

主講教師：***標準訪問控制列表配置命令1、創(chuàng)建標準IP訪問控制列表的命令①Router>enable

//路由器從用戶模式進入到特權(quán)模式②Router#configterminal//路由器從特權(quán)模式進入到全局配置模式③Router(config)#access-listlistnumberpermit|denysourcesource-wildcardmask

//定義標準IP訪問控制列表.listnumber：訪問控制列表號的范圍，標準IP訪問控制列表的列表號標識是從1到99。permit|deny：permit表示滿足訪問列表項的數(shù)據(jù)包允許通過，deny表示需要過濾掉該數(shù)據(jù)包標準訪問控制列表配置命令source：源地址，對于標準的IP訪問控制列表，源地址可以是：host、any、具體主機IP地址或具體網(wǎng)絡(luò)地址。參數(shù)為“any”或“host”時，它們可用于permit和deny命令之后來說明任何主機或者一臺特定的主機。這兩種源地址格式簡化了語句，省略了一個通配符屏蔽碼?！癮ny”參數(shù)等于通配符屏蔽碼為55，“host”參數(shù)等同于通配符屏蔽碼為。source-wildcardmask：源地址通配符屏蔽碼。用二進制0和1來表示，0表示需要嚴格匹配，1表示不需要嚴格匹配。例如需要檢查的源地址是，則對應(yīng)的通配符為55，這一點剛好和子網(wǎng)掩碼的作用相反。標準訪問控制列表配置示例操作示例1：在路由器上定義訪問控制列表1只允許/24和主機0的數(shù)據(jù)通過。Router#configterminalRouter(config)#access-list1permit55Router(config)#access-list1permithost0Router(config)#endRouter#showaccess-lists需要注意/24的子網(wǎng)掩碼是，則通配符為55。特定主機可以用參數(shù)host，這樣后面就不用寫通配符屏蔽碼。標準訪問控制列表配置示例思考思考：在操作示例1中，如果有來自網(wǎng)絡(luò)/24的數(shù)據(jù)，那么是否能夠通過呢？

答案是不允許通過，因為在訪問控制列表的最后都隱含了一條“拒絕所有數(shù)據(jù)包通過”的語句。如果要允許/24的數(shù)據(jù)通過，則必須在訪問控制列表中明確的寫出允許的語句，否則數(shù)據(jù)就不能通過。標準訪問控制列表配置示例操作示例2：在路由器上定義訪問控制列表2拒絕來自網(wǎng)絡(luò)/24的數(shù)據(jù)，允許來自其它網(wǎng)絡(luò)的所有數(shù)據(jù)通過。Router#configterminal

Router(config)#access-list2deny55Router(config)#access-list2permitanyRouter(config)#endRouter#showaccess-lists注意：訪問控制列表語句的執(zhí)行在原則是從上至下，逐條匹配，一旦匹配成功就執(zhí)行動作并跳出列表。如果要想允許來自其它所有網(wǎng)絡(luò)的數(shù)據(jù)通過，可以在最后添加一條permitany語句。還要注意的是在操作示例2中的語句順序是不能顛倒，如果先寫permitany語句，則其后所有的網(wǎng)絡(luò)數(shù)據(jù)都將被允許通過，包括/24網(wǎng)段。這樣就不符合實際功能要求了。刪除標準訪問控制列表配置命令2、刪除已建立的IP標準訪問控制列表的命令組①Router>enable

//路由器從用戶模式進入到特權(quán)模式②Router#configterminal//路由器從特權(quán)模式進入到全局配置模式③Router(config)#noaccess-listaccess-list-number

//對于標準IP訪問控制列表來說，不能刪除單條ACL語句，只能刪除整個ACL。如果要改一條或者幾條ACL語句，必須先刪除整個ACL，然后再重新輸入所有的ACL語句。操作示例：在路由器上刪除訪問控制列表1。Router#configterminalRouter(config)#noaccess-list1Router(config)#end將ACL應(yīng)用到端口的配置命令3、將標準ACL應(yīng)用到端口上的命令組①Router>enable//路由器從用戶模式進入到特權(quán)模式②Router#configterminal//路由器從特權(quán)模式進入到全局配置模式③Router(config)#interfaceslot-number/interface-number

//進入到路由器端口配置模式，參數(shù)slot-number表示插槽號，參數(shù)interface-number表示端口號④Router(config-if)#ipaccess-groupaccess-list-numberin|out//將ACL表應(yīng)用到指定的端口上。參數(shù)in|out用來指明將ACL應(yīng)用到端口的進方向（in）還是出方向（out）。注意創(chuàng)建ACL規(guī)則后，只有將ACL規(guī)則應(yīng)用于到端口上，ACL才會生效。將ACL應(yīng)用到端口的配置示例操作示例：在路由器上定義訪問控制列表3只允許/24和主機0的數(shù)據(jù)通過。并將訪問控制列表3應(yīng)用到路由器端口F0/0的進方向（in）。Router>enableRouter#configterminalRouter(config)#access-list3permit55Router(config)#access-list3permithost0Router(config)#interfacef0/0Router(config-if)#ipaccess-group3inRouter(config-if)#end觀看謝謝PPT模板下載：/moban/行業(yè)PPT模板：/hangye/節(jié)日PPT模板：/jieri/PPT素材下載：/sucai/PPT背景圖片：/beijing/PPT圖表下載：/tubiao/優(yōu)秀PPT下載：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/資料下載：/ziliao/PPT課件下載：/kejian/范文下載：/fanwen/試卷下載：/shiti/教案下載：/jiaoan/PPT論壇：

網(wǎng)絡(luò)安全：武漢地震監(jiān)測中心遭境外網(wǎng)絡(luò)攻擊事件***職業(yè)技術(shù)學院

主講教師：***網(wǎng)絡(luò)安全：武漢地震監(jiān)測中心遭境外網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)安全牽一發(fā)而動全身，成為關(guān)乎長遠、關(guān)乎未來、關(guān)乎全局的重大戰(zhàn)略問題之一。尤其是在外部高強度打壓不斷升級、數(shù)據(jù)安全威脅不斷擴大、關(guān)鍵信息基礎(chǔ)設(shè)施安全日趨嚴峻復雜的形勢背景下，準確把握并及時應(yīng)對各類網(wǎng)絡(luò)安全存量風險，化解新增風險，是我們進一步筑牢國家網(wǎng)絡(luò)安全屏障，實現(xiàn)由“網(wǎng)絡(luò)大國”邁向“網(wǎng)絡(luò)強國”的必經(jīng)之路和必有征程。2023年7月，湖北省武漢市公安局江漢分局發(fā)布警情通報稱，武漢市地震監(jiān)測中心部分地震速報數(shù)據(jù)前端臺站采集點網(wǎng)絡(luò)設(shè)備遭受網(wǎng)絡(luò)攻擊，相關(guān)的地震烈度數(shù)據(jù)極有可能被竊取，嚴重威脅我國國家安全。經(jīng)國家計算機病毒應(yīng)急處理中心和360公司監(jiān)測發(fā)現(xiàn)，武漢市地震監(jiān)測中心遭受來自境外有政府背景的黑客組織的網(wǎng)絡(luò)攻擊，該組織疑似利用植入木馬程序非法竊取我國地震速報前端臺站采集的地震烈度數(shù)據(jù)。網(wǎng)絡(luò)安全：武漢地震監(jiān)測中心遭境外網(wǎng)絡(luò)攻擊事件不少人提出疑問：地震行業(yè)并非軍事機構(gòu)，為何會接連遭到境外網(wǎng)絡(luò)攻擊？在我國，有關(guān)地震監(jiān)測、預警的數(shù)據(jù)都是公開的，黑客們上網(wǎng)搜索不是更方便嗎？地震波等信息在判斷地下結(jié)構(gòu)和巖性方面的關(guān)鍵作用，也使其具備了極大的軍事情報價值。掌握相關(guān)數(shù)據(jù)后，可以在結(jié)合其他情報的基礎(chǔ)上，推測當?shù)厥欠裼须[藏于地下的軍事基地或軍事設(shè)施。此外，當某地地震波發(fā)生異常，可以通過分析數(shù)據(jù)，判斷其軍事活動情況。例如，2013年2月，朝鮮核試驗場發(fā)生5.1級地震。美、韓、德等國機構(gòu)，通過探測到的地震波，很快分析出了此次核試驗的武器當量等信息。當前，世界正面臨百年未有之大變局，我國所處的國家安全環(huán)境也日趨復雜嚴峻，網(wǎng)絡(luò)空間更是硝煙四起。在無邊無際且無形的互聯(lián)網(wǎng)世界中，一些境外間諜情報機構(gòu)正不斷利用信息技術(shù)，對我黨政機關(guān)、科研院所、重要行業(yè)領(lǐng)域以及關(guān)鍵信息基礎(chǔ)設(shè)施開展持續(xù)性網(wǎng)絡(luò)攻擊，以最終達到竊取情報的目的，嚴重危害我國家安全。網(wǎng)絡(luò)安全：武漢地震監(jiān)測中心遭境外網(wǎng)絡(luò)攻擊事件并且，隨著敵對勢力大數(shù)據(jù)挖掘和情報分析能力的增強，他們的攻擊范圍也在逐漸擴大。很多看上去和國家安全沒有直接關(guān)聯(lián)的領(lǐng)域和行業(yè)，也成為了境外間諜情報機構(gòu)數(shù)據(jù)竊取的重要目標。這也給能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、自然資源等相關(guān)行業(yè)領(lǐng)域帶來了新的挑戰(zhàn)。網(wǎng)絡(luò)安全：武漢地震監(jiān)測中心遭境外網(wǎng)絡(luò)攻擊事件大國博弈已從多維度展開較量，維護國家安全，既是國家安全機關(guān)的職責，也是廣大人民群眾的義務(wù)。我們要不斷學習法律知識，增強安全意識，共同構(gòu)筑起維護國家利益的“安全網(wǎng)”，共同筑牢國家安全的人民防線。觀看謝謝PPT模板下載：/moban/行業(yè)PPT模板：/hangye/節(jié)日PPT模板：/jieri/PPT素材下載：/sucai/PPT背景圖片：/beijing/PPT圖表下載：/tubiao/優(yōu)秀PPT下載：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/資料下載：/ziliao/PPT課件下載：/kejian/范文下載：/fanwen/