項目15網絡安全技術【項目背景】為了保護校園網安全，網絡工程師需要完成以下安全工作：考慮過濾部分通信，禁止部分部門之間進行數(shù)據(jù)交換；阻擋非法用戶接入校園網；及時發(fā)現(xiàn)非法用戶接入等。如圖所示，網絡中心服務器通過配置端口安全，保證合法接入用戶安全；部署ACL安全技術，限制校園網中的流量訪問，保護服務器區(qū)安全。1．知識目標（1）了解端口安全。（2）了解ACL安全，區(qū)分多種ACL類型。（3）了解標準ACL。（4）了解擴展ACL。（5）了解名稱ACL。2．技能目標（1）會配置端口安全。（2）會配置標準ACL。（3）會配置擴展ACL?！卷椖磕繕恕?．素質目標（1）近些年來，網絡空間安全發(fā)生巨大變化，網絡攻擊手段層出不窮。在復雜的網絡安全形勢下，培養(yǎng)讀者的網絡安全和信息安全意識，使學生樹立總體國家安全觀至關重要。（2）教育讀者建立正確的價值觀，使讀者能夠在未來的工作中有良好的職業(yè)道德和法律意識，認識到守法和違法之間只有一念之差，對于利用技術和管理漏洞獲取非法利益的行為不抱有僥幸態(tài)度。（3）培養(yǎng)讀者保持工作環(huán)境干凈的習慣，實現(xiàn)整潔的物料放置，遵守6S管理規(guī)范?！卷椖磕繕恕?5.1網絡安全概述【知識準備】【技術介紹】15.1網絡安全概述

網絡安全威脅是指網絡系統(tǒng)面臨安全事件或潛在安全風險，并且該事件會對某一資源的保密性、完整性和合法性造成威脅。署相關的安全措施可以在不同程度上解決或緩解網絡安全威脅，提供網絡安全防護服務。保護網絡安全對于企業(yè)的數(shù)據(jù)安全、業(yè)務連續(xù)性、業(yè)務合規(guī)性、企業(yè)聲譽、企業(yè)經濟效益、員工工作效率以及企業(yè)創(chuàng)新與發(fā)展等方面都具有重要意義?！炯夹g介紹】15.1網絡安全概述

1．網絡安全特征

①

保密性：交換機中存儲和傳輸?shù)男畔⒉粫恍孤督o非授權用戶，即信息只提供給授權用戶使用?！炯夹g介紹】15.1網絡安全概述

1．網絡安全特征

②

完整性：信息未經授權，不能進行改變，即信息在交換機傳輸過程中，禁止偶然或蓄意刪除、修改、偽造、亂序、重放、插入等行為?！炯夹g介紹】15.1網絡安全概述

1．網絡安全特征

③

可用性：在規(guī)定的條件和規(guī)定的時間內，交換機需要保障業(yè)務可用，滿足通信服務質量要求?！炯夹g介紹】15.1網絡安全概述

1．網絡安全特征

④

可控性：對信息的傳播及內容，具有控制能力，能夠對授權范圍內的信息流向和行為方式，進行控制。【技術介紹】15.1網絡安全概述

1．網絡安全特征

⑤

可審查性：也稱不可抗抵賴性，指防止網絡信息系統(tǒng)相關用戶否認其活動行為。當網絡出現(xiàn)安全問題時，審查平臺能夠提供調查的依據(jù)和手段?！炯夹g介紹】15.1網絡安全概述

2．網絡安全隱患

網絡安全隱患指計算機或網絡通信設備進行網絡交互時，遭遇被竊聽、被破壞和被攻擊的網絡安全事件，出現(xiàn)潛在環(huán)境或事件等安全隱患?！炯夹g介紹】15.1網絡安全概述

2．網絡安全隱患

常見網絡安全隱患分以下幾類。①

非人為因素（或自然因素）造成的硬件故障、火災、水災等安全事故。②

人為但屬于操作人員失誤，造成的數(shù)據(jù)丟失或損壞。③

來自企業(yè)網外部和內部人員惡意攻擊和破壞。外部網絡安全隱患，主要來自外部設備對網絡的非法訪問，造成有形或無形的網絡損失，“黑客”是這種隱患的典型代表。還有一種網絡安全隱患，來自企業(yè)內網，部分企業(yè)員工熟悉內網結構和系統(tǒng)操作步驟，擁有合法操作權限，造成更大危害，即最大的網絡安全隱患來自企業(yè)網內部。15.2端口安全技術【知識準備】【技術介紹】15.2端口安全技術由于網絡通信協(xié)議存在缺陷，以及網絡部署等方面存在安全漏洞，針對接入網的攻擊日益增多，造成的影響越來越大，甚至可能導致網絡癱瘓。【技術介紹】15.2端口安全技術1．網絡攻擊方法

攻擊防范是保護交換網絡安全的一種重要的網絡安全特性。其中，攻擊防范針對攻擊CPU的不同類型報文，采用丟棄或者限速手段，保障設備不受攻擊影響，使業(yè)務正常運行。交換機分析CPU中處理報文特征，判斷報文是否具有攻擊特性。攻擊防范主要分為：畸形報文攻擊防范、分片報文攻擊防范和泛洪攻擊防范?！炯夹g介紹】2．端口安全功能

默認情況下，交換機的所有端口都不提供任何安全檢查措施。為保護網絡內的用戶安全，需要對交換機的端口增加安全訪問功能，有效保護網絡安全。其中，交換機的端口安全是二層端口安全特性，主要實現(xiàn)以下功能。①

只允許具有特定MAC地址的設備接入網絡，防止非法或未授權設備接入網絡。②

限制端口接入的設備數(shù)量，防止用戶將過多的設備接入網絡?！炯夹g介紹】15.2端口安全技術3．端口安全內容

大部分網絡攻擊采用欺騙源IP地址或源MAC地址方法，如ARP攻擊、MAC攻擊、DHCP攻擊等。對于這些針對交換機端口進行的攻擊行為，需要進行交換機的端口安全防范。（1）配置安全地址通過在交換機端口上限制訪問的IP地址及MAC地址（可選），將IP地址和MAC地址綁定在端口上，作為安全接入的地址，實現(xiàn)端口的安全接入?！炯夹g介紹】15.2端口安全技術3．端口安全內容

（2）限制最大連接數(shù)一個端口開啟安全端口后，默認允許最多128個安全地址連接。可以配置允許最多安全地址連接數(shù)，即最大連接數(shù)，當連接數(shù)達到最大連接數(shù)時，交換機將產生安全事件，發(fā)送一個安全違例通知。針對不同的網絡安全需求，安全端口會采用不同的安全違例處理方式。①Protect：丟棄具有未知地址的數(shù)據(jù)包。②RestrictTrap：丟棄MAC地址不在安全地址表中的幀，發(fā)送安全違例通知。③Shutdown：丟棄MAC地址不在安全地址表中的幀，發(fā)送安全違例通知，并且關閉端口?！炯夹g介紹】15.2端口安全技術4．配置端口安全

在交換機的端口模式下，通過如下命令開啟交換機端口安全功能。【技術介紹】15.2端口安全技術4．配置端口安全

開啟交換機端口安全功能后，該端口安全參數(shù)的默認設置如表所示?！炯夹g介紹】15.2端口安全技術4．配置端口安全

在交換機的端口模式下使用如下命令，配置端口上的最大連接數(shù)?！炯夹g介紹】15.2端口安全技術4．配置端口安全

當端口上出現(xiàn)違例，實施“shutdow”操作時，交換機將該端口置于“err-disabled”狀態(tài)，此時，在全局模式下使用如下命令將狀態(tài)恢復為“Up”。【技術介紹】15.2端口安全技術4．配置端口安全

通過如下命令查看端口上配置的安全內容?！炯夹g介紹】15.2端口安全技術4．配置端口安全

如圖所示，在校園網絡中為某樓層的接入交換機配置端口安全功能。具體設置如下：將交換機的G0/3端口配置為安全端口，最多允許4個安全地址連接，并將安全違例處理方式設置為保護方式?！炯夹g介紹】15.2端口安全技術4．配置端口安全

【配置案例】配置交換機端口安全。相關配置命令如下?！炯夹g介紹】15.2端口安全技術5．配置安全地址

在交換機的端口模式下，使用如下命令配置靜態(tài)安全地址的安全綁定?！炯夹g介紹】15.2端口安全技術5．配置安全地址

默認情況下，通過安全端口學習到的安全地址都不會老化，會永久存在。使用如下命令可以配置安全地址的老化時間?！炯夹g介紹】15.2端口安全技術5．配置安全地址

在交換機的端口模式下，通過以下命令恢復交換機端口安全地址的綁定操作?！炯夹g介紹】15.2端口安全技術5．配置安全地址

【配置案例】配置安全端口。在交換機端口G0/3上配置安全端口，綁定安全MAC地址00d0.f800.073c。

備注：不同版本的交換機端口安全配置命令稍有不同?！炯夹g介紹】15.2端口安全技術6．配置全局安全地址綁定

（1）什么是全局安全地址綁定通過手動配置全局IP地址和MAC地址綁定功能，對輸入的報文，進行IP地址和MAC地址綁定關系驗證，設備只接收源IP地址和源MAC地址，均匹配安全綁定條目的IP報文，否則該IP報文將被丟棄。

【技術介紹】15.2端口安全技術6．配置全局安全地址綁定

（2）端口安全和全局安全地址綁定的區(qū)別端口安全技術控制從端口進入交換機IP報文，偏重對端口控制，無法實現(xiàn)基于整體報文控制。全局安全地址綁定技術偏重對報文控制，控制哪些報文被允許進入交換機（不限制接口），哪些報文丟棄。

【技術介紹】15.2端口安全技術6．配置全局安全地址綁定

（3）配置全局安全地址綁定在全局模式下，使用如下配置命令實現(xiàn)IP地址與MAC地址的綁定關系?！炯夹g介紹】15.2端口安全技術6．配置全局安全地址綁定

（4）開啟全局安全地址綁定日志功能默認情況下，當在全局模式下配置了IP地址和MAC地址的綁定關系后，該全局安全地址將不會生效，需要使用命令“address-bindinstall”使其生效。【技術介紹】15.2端口安全技術6．配置全局安全地址綁定

（5）配置例外端口在全局配置模式下，使用如下配置命令把上聯(lián)口配置為例外端口。需要注意的是，配置為例外端口的上聯(lián)口只能是二層交換接口。15.3ACL安全【知識準備】【技術介紹】15.3ACL安全隨著網絡應用發(fā)展，網絡安全和網絡服務質量（QoS）問題日益突出，為保障網絡安全，提升網絡服務質量，通過部署訪問控制列表（AccessControlList，ACL）技術，實現(xiàn)網絡的安全訪問，提升網絡服務質量?！炯夹g介紹】15.3ACL安全1．什么是ACL

簡單地說，ACL就是數(shù)據(jù)包過濾技術。通過的數(shù)據(jù)包實施過濾，實現(xiàn)對網絡安全訪問的控制。ACL安全內容如下：通過配置ACL規(guī)則，編制一張規(guī)則檢查表，應用在接口指定方向上，過濾網絡中未授權的訪問，限制非法數(shù)據(jù)流，保障網絡安全?！炯夹g介紹】15.3ACL安全1．什么是ACL

三層設備按命令，順序依次檢查、匹配規(guī)則檢查表，執(zhí)行安全規(guī)則檢查，過濾流入和流出網絡的數(shù)據(jù)包，對網絡中數(shù)據(jù)包過濾。在網絡設備上配置ACL規(guī)則，有效地管理和控制網絡流量，確保內網訪問控制安全?！炯夹g介紹】15.3ACL安全2．ACL匹配方向

ACL技術使用IP數(shù)據(jù)包過濾技術，根據(jù)ACL規(guī)則，對IP數(shù)據(jù)包過濾，實現(xiàn)網絡安全訪問控制目的。實施ACL時，把其部署到設備某個接口（或VLAN），指定匹配數(shù)據(jù)出入方向。【技術介紹】15.3ACL安全2．ACL匹配方向

網絡設備對接口上收到的IP數(shù)據(jù)包或發(fā)出的IP數(shù)據(jù)包，按順序進行匹配，如果匹配成功，立刻啟動“允許”（permit）或“拒絕”（deny）動作。其中：入站：已到達路由器接口的數(shù)據(jù)包，將被路由器的CPU處理。出站：已經過路由器的CPU處理的數(shù)據(jù)包，將離開路由器?！炯夹g介紹】15.3ACL安全3．ACL匹配規(guī)則

ACL中定義列表內容：由一系列安全規(guī)則組成，通過對收到IP數(shù)據(jù)包中五元組（源IP地址、目標IP地址、協(xié)議、源端口、目的端口）特征匹配，區(qū)分特定IP數(shù)據(jù)流。ACL對匹配成功的P數(shù)據(jù)包，采取相應措施，啟動“允許”或“拒絕”動作，實現(xiàn)對網絡訪問控制?！炯夹g介紹】4．ACL匹配動作

ACL規(guī)則匹配后，產生結果：“命中規(guī)則”（匹配）和“未命中規(guī)則”（不匹配）。①

命中規(guī)則：查找到符合匹配條件規(guī)則。不論匹配動作是“允許”還是“拒絕”，都稱“匹配”。②

未命中規(guī)則：不存在ACL，或ACL中無規(guī)則，或沒有找到符合匹配條件，都稱“不匹配”。最終通過還是拒絕，由ACL中指定動作和應用ACL各個業(yè)務模塊共同決定。即使沒有匹配成功的IP數(shù)據(jù)包，使用默認的“denyany”規(guī)則，過濾該IP數(shù)據(jù)包。【技術介紹】15.3ACL安全5．ACL類型

根據(jù)訪問控制標準不同，ACL分為多種類型，用于實現(xiàn)不同的安全訪問和控制效果。（1）編號ACL早期的ACL使用編號進行區(qū)分，分為標準ACL和擴展ACL。其中，標準ACL編號取值范圍為1～99，擴展ACL編號取值范圍為100～199。兩種編號ACL的區(qū)別如下：標準ACL只檢查IP數(shù)據(jù)包中的源IP地址；擴展ACL不僅檢查IP數(shù)據(jù)包中的源IP地址，還檢查目的IP地址，以及特定協(xié)議、端口號等?！炯夹g介紹】15.3ACL安全5．ACL類型

根據(jù)訪問控制標準不同，ACL分為多種類型，用于實現(xiàn)不同的安全訪問和控制效果。（2）名稱ACL在大型設備上，編號有耗盡的可能，另外編號也不方便識別。使用基于名稱的ACL，即名稱ACL，不僅能“見名識意”，而且可以任意命名。名稱ACL除編寫規(guī)則（如檢查元素、默認規(guī)則等）的語法稍有不同外，其他都與編號ACL相同?！炯夹g介紹】15.3ACL安全5．ACL類型

根據(jù)訪問控制標準不同，ACL分為多種類型，用于實現(xiàn)不同的安全訪問和控制效果。（3）時間ACL以上介紹的各種ACL中都可以增加時間參數(shù)“time-range”，生成基于時間的ACL，即時間ACL。時間ACL不是獨立ACL，是在以上介紹的各種ACL基礎上的功能擴展。通過在ACL中增加時間參數(shù)，可以按照時間實現(xiàn)對網絡的安全訪問控制。【技術介紹】15.3ACL安全6．ACL通配符

在配置ACL規(guī)則中，使用通配符和IP地址，計算允許網絡范圍。通配符也稱為“反掩碼”（wildcard-mask），和IP地址結合使用，描述一個網絡范圍。反掩碼和子網掩碼相似，但含義不同。在子網掩碼中，使用“1”標識網絡地址，使用“0”標識主機地址，計算該IP地址的網絡地址；在通配符中，使用“1”表示對應位不比較，使用“0”表示比較，計算允許網絡范圍。15.4配置標準ACL【知識準備】【技術介紹】15.4配置標準ACL標準ACL只匹配IP數(shù)據(jù)包源IP地址信息，匹配來自源網絡中IP數(shù)據(jù)包。通過配置標準ACL，可以有效保護目標網絡的安全。1．什么是標準ACL

標準ACL包括：基于編號標準ACL和基于名稱標準ACL。基于編號標準ACL具有以下特征：①通過編號1～99和1300～1999區(qū)分不同ACL規(guī)則；②只匹配IP數(shù)據(jù)包中源地址信息，匹配成功，采取“拒絕”或“允許”動作。如果要阻止某一特定網絡數(shù)據(jù)流通過，使用基于編號的標準ACL來實現(xiàn)。【技術介紹】2．標準ACL配置過程

（1）分析需求某公司網絡安全場景：只允許/24網段，訪問服務器（/32），其他網段禁止。需要使用標準ACL規(guī)則，限制“來自指定網絡”IP數(shù)據(jù)包?！炯夹g介紹】2．標準ACL配置過程

（2）配置網絡基礎信息首先，用戶需要按照網絡拓撲自行搭建網絡環(huán)境；然后，登錄交換機設備，配置接口的IP地址信息。在交換機的接口上，完成地址信息配置，網絡中路由配置，保證全網互聯(lián)互通。【技術介紹】2．標準ACL配置過程

（3）編制標準ACL的安全規(guī)則在全局配置模式下，使用以下命令配置標準ACL的安全規(guī)則。其中，IP地址后地址為反掩碼，匹配源IP地址的通配符屏蔽碼，實現(xiàn)限定網絡地址范圍效果?！炯夹g介紹】2．標準ACL配置過程

（4）應用標準ACL編制完成ACL規(guī)則后，應用在指定的接口上，選擇保護目標網絡方向。如果不選擇方向，默認out方向?！炯夹g介紹】15.4配置標準ACL3．配置標準ACL的注意事項

配置標準ACL的注意事項如下。①

利用ACL規(guī)則處理和匹配行為只有兩種結果，要么拒絕，要么允許。②

利用ACL規(guī)則處理和匹配行為時，按照由上而下的順序進行。③

利用ACL規(guī)則對IP數(shù)據(jù)包進行匹配時，如果匹配不成功就一直向下匹配直到最后，一旦找到匹配成功的指令語句，則立刻執(zhí)行相應動作，不再繼續(xù)向下匹配。④ACL指令最后都默認拒絕所有（any）IP數(shù)據(jù)包。⑤

編制ACL規(guī)則時，需要把精確的安全規(guī)則放在前面，而把模糊的安全規(guī)則放在后面，否則會因為模糊的安全規(guī)則提前讓數(shù)據(jù)包匹配成功，進而導致有危險的數(shù)據(jù)包提前通過。⑥

所配置列表中必須有一條隱含“允許”命令的語句，以免所有數(shù)據(jù)包都被拒絕通過。15.5配置擴展ACL【知識準備】【技術介紹】15.5配置擴展ACL如果匹配IP數(shù)據(jù)包全部信息，檢查范圍更精細，實現(xiàn)對IP數(shù)據(jù)包的精準控制。1．什么是擴展ACL

擴展ACL包括：基于編號擴展ACL和基于名稱擴展ACL。具有以下特征：①通過編號100～199和2000～2699區(qū)分不同ACL規(guī)則；②不僅匹配IP數(shù)據(jù)包中的源地址，還匹配目的地址、源端口、目的端口等特征信息?！炯夹g介紹】2．配置擴展ACL

擴展ACL對IP數(shù)據(jù)包精準控制，可以被使用在IP數(shù)據(jù)包通過任意接口上。和標準ACL相比，擴展ACL也存在缺點：①配置難度大，配置代碼復雜；②消耗的CPU資源更多?；诰幪柕臄U展ACL的配置命令如下。【技術介紹】2．配置擴展ACL

命令中的相關參數(shù)的含義如下。①listnumber：擴展ACL的編號范圍，取值范圍為100～199。②protocol：指定需要過濾的協(xié)議，如IP、TCP、UDP、ICMP等。③source：源地址。

④destination：目的地址。⑤wildcard-mask：通配符屏蔽碼，用于匹配檢查的網絡范圍。⑥operator：端口控制操作符，包括“<”“>”“=”等。⑦operand：源端口和目的端口號。若省略該參數(shù)，則默認使用全部端口號（取值范圍為0~65535）?！炯夹g介紹】【配置案例】配置擴展ACL。某企業(yè)網保護服務器安全場景，服務器1（/24）提供銷售數(shù)據(jù)服務，服務器2（/24）提供資源下載服務。企業(yè)要求銷售部網絡的計算機（/24）只允許訪問服務器1，行政中心網絡的（/24）計算機允許訪問所有服務器，其他網絡的計算機禁止訪問公司的服務器?！炯夹g介紹】【配置案例】配置擴展ACL。（1）分析需求由于允許計算機訪問服務器，需要對IP數(shù)據(jù)包中的源地址進行匹配外，還需要匹配目的地址，即需要使用擴展ACL檢查IP數(shù)據(jù)包中的所有信息。（2）配置網絡基礎信息在交換機的接口上完成地址信息配置以及網絡中的路由配置，保證全網互聯(lián)互通。首先，用戶需要按照網絡拓撲自行搭建網絡環(huán)境；然后，登錄交換機設備，配置接口的IP地址信息。【技術介紹】

【配置案例】配置擴展ACL。（3）編制擴展ACL規(guī)則在全局配置模式下，使用如下命令編制基于編號的擴展ACL規(guī)則。【技術介紹】【配置案例】配置擴展ACL。（4）應用擴展ACL由于擴展ACL檢查精細，可以被應用在IP數(shù)據(jù)包傳輸沿途任意接口，建議將其應用在靠近源端的位置。但是，本案例的最佳選擇是將其應用在距離保護目標最近的接口上?！炯夹g介紹】15.5配置擴展ACL3．擴展ACL規(guī)則的使用原則

在使用擴展ACL規(guī)則過程中，應注意以下原則。①

最小特權原則：只給受控對象完成項目所必需的最小權限，即被控制的總規(guī)則是各個規(guī)則的交集，只滿足部分條件的IP數(shù)據(jù)包不允許通過。②

最靠近受控對象原則：在檢查ACL規(guī)則時，會按照自上而下的順序逐條進行。一旦某條規(guī)則與當前IP數(shù)據(jù)包匹配，系統(tǒng)將立刻應用該規(guī)則對該數(shù)據(jù)包執(zhí)行轉發(fā)操作，而不會繼續(xù)轉發(fā)后續(xù)的ACL規(guī)則。③

默認丟棄原則：所有ACL規(guī)則的最后一條規(guī)則均默認為“denyany”，即丟棄所有不符合條件的數(shù)據(jù)包。④

自身流量無法限制：ACL只能過濾流經路由器的流量，對自身發(fā)出的數(shù)據(jù)包不發(fā)揮作用。⑤

允許通過原則：一個ACL中至少有一條允許語句，否則將全部被拒絕通行。⑥

命令的優(yōu)先級原則：在編制ACL規(guī)則時，越具體的命令要越放在前面，越一般的命令要越放在后面。15.6配置名稱ACL【知識準備】【技術介紹】15.6配置名稱ACL早期網絡設備性能弱，使用基于編號的ACL，編號不容易區(qū)分，修改也不方便。隨著設備性能改善，現(xiàn)在的使用名稱ACL。1．什么是名稱ACL

名稱的ACL使用字符串，標識安全規(guī)則，具有“見名知意”的效果。使用名稱ACL減輕后期維護工作，隨時調整ACL規(guī)則。名稱ACL分為：標準名稱ACL和擴展名稱ACL，這二者除了命名規(guī)則稍有不同外，其他內容（如檢查元素、默認規(guī)則等）都相同。【技術介紹】15.6配置名稱ACL2．配置標準名稱ACL

標準名稱ACL的配置代碼和編號ACL的配置代碼基本相同，區(qū)別僅在于前者使用字符串名稱代替編號，方便進行ACL的區(qū)分標準名稱ACL使用“ipaccess-liststandardACL-name”命令開啟ACL規(guī)則配置?！炯夹g介紹】2．配置標準名稱ACL

如圖所示，某公司網絡（/16）只允許辦公網（/24）的計算機訪問服務器（/32），其他網絡計算機禁止訪問服務器?！炯夹g介紹】2．配置標準名稱ACL

（1）分析需求由于禁止指定網絡訪問權限，因此需要使用標準ACL。（2）配置網絡基礎信息在交換機的接口上完成地址信息配置以及網絡中的路由配置，保證全網互聯(lián)互通。首先，用戶需要按照網絡拓撲自行搭建網絡環(huán)境；然后，登錄交換機設備，配置接口的IP地址信息?！炯夹g介紹】2．配置標準名稱ACL

（3）創(chuàng)建標準名稱ACL在全局配置模式下，使用如下命令創(chuàng)建標準名稱ACL?！炯夹g介紹】15.6配置名稱ACL2．配置標準名稱ACL

（4）應用標準名稱ACL與應用編號ACL的方法一樣，盡量將標準名稱ACL應用在距離保護目標網絡最近的接口上?！炯夹g介紹】3．配置擴展名稱ACL

擴展名稱ACL的配置代碼和編號ACL的配置代碼基本相同，擴展名稱ACL使用“ipaccess-listextendedACL-name”命令開啟ACL規(guī)則配置。下面通過一個安全實例說明擴展名稱ACL配置過程。如圖所示，某企業(yè)網中，服務器1（/32）提供Web服務和FTP服務，服務器2（/32）提供數(shù)據(jù)庫服務。為了優(yōu)化服務器的安全訪問，公司規(guī)定如下。【技術介紹】15.6配置名稱ACL3．配置擴展名稱ACL

①

辦公網（/24）的計算機可以訪問全部的服務器資源。②

后勤網（/24）的計算機只允許訪問服務器1（/32）提供的全部服務。③

其他網絡的計算機只允許訪問公司的服務器1（/32）提供的Web服務。【技術介紹】3．配置擴展名稱ACL

（1）分析需求由于禁止指定網絡訪問指定的服務，因此需要使用擴展ACL。（2）配置網絡基礎信息在交換機的接口上完成地址信息配置以及網絡中的路由配置，保證全網互聯(lián)互通。首先，用戶需要按照網絡拓撲自行搭建網絡環(huán)境；然后，登錄交換機設備，配置接口的IP地址信息?！炯夹g介紹】15.6配置名稱ACL3．配置擴展名稱ACL

（3）創(chuàng)建擴展名稱ACL在全局配置模式下，使用如下命令創(chuàng)建擴展名稱ACL。【技術介紹】15.6配置名稱ACL3．配置擴展名稱ACL

（4）應用擴展名稱ACL盡量將擴展名稱ACL應用在數(shù)據(jù)發(fā)源地，但本例只能將其應用在距離保護目標服務器最近的接口上。15.7時間ACL【知識準備】【技術介紹】15.7時間ACL1．什么是時間ACL

時間ACL是標準ACL或擴展ACL的功能擴展，在規(guī)則中加入時間，實現(xiàn)對訪問時間的控制。通過如下方法實現(xiàn)時間ACL：首先定義一個時間段，然后，在各種ACL規(guī)則中應用該時間段。創(chuàng)建時間ACL需要依據(jù)兩個要點：①使用參數(shù)“time-range”定義一個時間段；②編制ACL規(guī)則，并將ACL規(guī)則和時間段結合。只有在此時間段內，此規(guī)則才會生效。各類ACL規(guī)則均可以使用時間段?！炯夹g介紹】15.7時間ACL1．什么是時間ACL

創(chuàng)建時間ACL需要依據(jù)兩個要點：①使用參數(shù)“time-range”定義一個時間段；②編制ACL規(guī)則，并將ACL規(guī)則和時間段結合。只有在此時間段內，此規(guī)則才會生效。各類ACL規(guī)則均可以使用時間段。其中，時間段分3