安全策略與數(shù)據(jù)流量過濾.ppt
《安全策略與數(shù)據(jù)流量過濾.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《安全策略與數(shù)據(jù)流量過濾.ppt(42頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
安全策略與數(shù)據(jù)流量過濾,1.教學(xué)目標(biāo)□掌握網(wǎng)絡(luò)安全策略布置原則,掌握IP標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表配置技能,能夠根據(jù)實(shí)際需求準(zhǔn)確配置IP訪問控制列表,具體如下:(1)了解IP標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表的功能及用途(2)掌握IP標(biāo)準(zhǔn)訪問控制列表配置技能(3)掌握IP擴(kuò)展訪問控制列表配置技能,2.工作任務(wù)□根據(jù)客戶工作任務(wù)的具體要求,配置IP標(biāo)準(zhǔn)或擴(kuò)展訪問控制列表,實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。,模塊1IP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用,1.教學(xué)目標(biāo)□了解IP標(biāo)準(zhǔn)訪問控制列表的功能及用途□掌握路由器IP標(biāo)準(zhǔn)訪問控制列表配置技能□掌握交換機(jī)IP標(biāo)準(zhǔn)訪問控制列表配置技能,2.工作任務(wù)你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的財(cái)務(wù)處、教師辦公室和校辦企業(yè)財(cái)務(wù)科分屬不同的3個(gè)網(wǎng)段,三個(gè)部門之間通過路由器進(jìn)行信息傳遞,為了安全起見,學(xué)校領(lǐng)導(dǎo)要求你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,實(shí)現(xiàn)校辦企業(yè)財(cái)務(wù)科的主機(jī)可以訪問財(cái)務(wù)處的主機(jī),但是教師辦公室主機(jī)不能訪問財(cái)務(wù)處主機(jī)。,,3.相關(guān)實(shí)踐知識(shí)□首先對(duì)兩路由器進(jìn)行基本配置,實(shí)現(xiàn)三個(gè)網(wǎng)段可以相互訪問;然后對(duì)距離控制目的地址較近的路由器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表,允許192.168.1.0網(wǎng)段(校辦企業(yè)財(cái)務(wù)科)主機(jī)發(fā)出的數(shù)據(jù)包通過,不允許192.168.2.0網(wǎng)段(教師辦公室)主機(jī)發(fā)出的數(shù)據(jù)包通過,最后將這一策略加到路由器RouterB的Fa0端口,如圖12.1所示。,,圖12.1路由器IP標(biāo)準(zhǔn)訪問控制列表,第1步:基本配置路由器RouterA:R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit,RouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置,第2步:在路由器RouterB上配置IP標(biāo)準(zhǔn)訪問控制列表RouterB(config)#access-list1deny192.168.2.00.0.0.255RouterB(config)#access-list1permit192.168.1.00.0.0.255驗(yàn)證測(cè)試RouterB#showaccess-list1第3步:應(yīng)用在路由器RouterB的Fa0接口輸出方向上RouterB(config)#interfacefastethernet0RouterB(config-if)#ipaccess-group1out驗(yàn)證測(cè)試RouterB#showipinterfacefastethernet0,4.相關(guān)理論知識(shí)□ACL概述訪問控制列表(ACL)是在交換機(jī)或路由器上定義一些規(guī)則,對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定規(guī)則進(jìn)行過濾?!魽CL分類(1)編號(hào)訪問控制列表:在路由器配置的訪問控制列表是由編號(hào)來命名的,包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴(kuò)展訪問控制列表。(2)命名訪問控制列表:在三層交換機(jī)配置的訪問控制列表是由字符串名字來命令的,包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴(kuò)展訪問控制列表。,□編號(hào)標(biāo)準(zhǔn)訪問控制列表(1)標(biāo)準(zhǔn)訪問控制列表在路由器上建立的訪問控制列表,其編號(hào)取值范圍為1-99之間整數(shù)值,只根據(jù)源IP地址過濾流量。在標(biāo)準(zhǔn)或擴(kuò)展訪問列表的末尾,總有一個(gè)隱含的Denyall。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配,則隱含的Denyall將會(huì)禁止該數(shù)據(jù)包通過。(2)定義訪問控制列表R(config)#access-listaccess-listnumber{permit/deny}source{sourcemask}其中:access-listnumber:訪問列表序號(hào),范圍是1-99;Permit/deny:允許/禁止?jié)M足條件的數(shù)據(jù)包通過;Source:過濾數(shù)據(jù)包的源IP地址;Sourcemask:通配屏蔽碼,1:不檢查位,0:必須匹配位。,【例12.3】定義訪問控制列表1拒絕特定主機(jī)192.168.10.1的流量,但允許其它的所有主機(jī)。R(config)#access-list1denyhost192.168.10.1R(config)#access-list1permitany(3)應(yīng)用訪問控制列表訪問控制列表需要應(yīng)用到路由器的一個(gè)接口上,應(yīng)用到一個(gè)接口上可選擇入棧(IN)或出棧(OUT)二個(gè)方向?!纠?2.5】將訪問控制列表1應(yīng)用到路由器的接口fastethernet0的入棧方向上。R#configureterminalR(config)#interfacefastethernet0R(config-if)#ipaccess-group1inR(config-if)#end,□命名標(biāo)準(zhǔn)訪問控制列表在三層交換機(jī)上配置命名標(biāo)準(zhǔn)訪問控制列表,也是采用定義ACL、在接口上應(yīng)用ACL、查看ACL等步驟進(jìn)行。第1步:進(jìn)入Access-list配置模式,用名字來定義一條標(biāo)準(zhǔn)訪問控制列表。Switch(config)#ipaccess-liststandard{name}Switch(config-std-nacl)#第2步:定義訪問控制列表?xiàng)l件Switch(config-std-nacl)#deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}。Switch(config-std-nacl)#exitSwitch(config)#,其中:permit允許通過;deny禁止通過;Source是要被過濾數(shù)據(jù)包的源IP地址;source-wildcard是通配屏蔽碼,指出該域中哪些位進(jìn)行匹配,1表示允許這些位不同,0表示這些位必須匹配;Hostsource代表一臺(tái)源主機(jī),其source-wildcard為0.0.0.0;any代表任意主機(jī),即source為0.0.0.0,source-wildcard為255.255.255.255。第3步:應(yīng)用訪問控制列表Switch(config)#interfacevlann其中:n是指Vlann,以實(shí)現(xiàn)進(jìn)入SVI模式Switch(config-if)#ipaccess-group[name][in|out]其中:name為訪問控制列表名稱,in或out為控制接口流量方向。Switch(config-if)#,【例12.7】在交換機(jī)上配置訪問控制列表,實(shí)現(xiàn)只禁止192.168.2.0網(wǎng)段上主機(jī)發(fā)出的數(shù)據(jù),而允許其它任意主機(jī)。Switch#configureterminalSwitch(config)#Switch(config)#ipaccess-liststandarddeny_2.0Switch(config-std-nacl)#deny192.168.2.00.0.0.255Switch(config-std-nacl)#permitanySwitch(config-std-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_2.0inSwitch(config-if)#endSwitch#showaccess-lists,模塊2IP擴(kuò)展訪問控制列表的建立及應(yīng)用,1.教學(xué)目標(biāo)□了解IP擴(kuò)展訪問控制列表功能及用途□掌握路由器IP擴(kuò)展訪問控制列表配置技能□掌握交換機(jī)IP擴(kuò)展訪問控制列表配置技能,2.工作任務(wù)你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web服務(wù)器,其中FTP服務(wù)器供教師專用,學(xué)生不可使用;Web服務(wù)器教師和學(xué)生都可訪問。FTP及Web服務(wù)器、教師辦公室和學(xué)生宿舍分屬不同的3個(gè)網(wǎng)段,三個(gè)網(wǎng)段之間通過路由器進(jìn)行信息傳遞,要求你對(duì)路由器進(jìn)行適當(dāng)設(shè)置實(shí)現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。,,3.相關(guān)實(shí)踐知識(shí)□首先對(duì)兩路由器進(jìn)行基本配置,實(shí)現(xiàn)三個(gè)網(wǎng)段相互訪問;然后對(duì)離控制源地址較近的路由器RouterA配置IP擴(kuò)展訪問控制列表,不允許192.168.1.0網(wǎng)段(學(xué)生宿舍)主機(jī)發(fā)出的去192.168.3.0網(wǎng)段的FTP數(shù)據(jù)包通過,允許192.168.1.0網(wǎng)段主機(jī)發(fā)出的其它服務(wù)數(shù)據(jù)包通過,最后將這一策略加到路由器RouterA的Fa0端口,如圖12.4所示。,,圖12.4路由器IP擴(kuò)展訪問控制列表,第1步:基本配置路由器RouterA:R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit,RouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置,第2步:在路由器RouterA上配置IP擴(kuò)展訪問控制列表拒絕來自192.168.1.0網(wǎng)段去192.168.3.0網(wǎng)段的FTP流量通過RouterA(config)#access-list101denyTCP192.168.1.00.0.0.255192.168.3.00.0.0.255eqFTP允許其它服務(wù)的流量通過RouterA(config)#access-list101permitIPanyany驗(yàn)證測(cè)試RouterA#showaccess-list101第3步:把訪問控制列表應(yīng)用在路由器RouterA的Fa0接口輸入方向上。RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaccess-group101in,4.相關(guān)理論知識(shí)□編號(hào)擴(kuò)展訪問控制列表擴(kuò)展編號(hào)訪問控制列表同標(biāo)準(zhǔn)編號(hào)訪問控制列表一樣也是在路由器上創(chuàng)建的,其編號(hào)范圍為100到199之間。擴(kuò)展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號(hào)等信息來過濾流量?!跖渲镁幪?hào)擴(kuò)展訪問控制列表R(config)#access-listlistnumber{permit|deny}protocolsourcesource-wildcard-maskdestinationdestination-wildcard-mask[operatoroperand],其中:Listnumber:規(guī)則序號(hào),范圍為100-199。Permit/deny:允許/或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過。protocol:0-255之間協(xié)議號(hào),也可用協(xié)議名(如IP、TCP和UDP。operatoroperand:用于指定端口范圍,缺省為全部端口號(hào)0-65535,只有TCP和UDP協(xié)議需要指定端口范圍?!纠?2.8】在路由器R上配置訪問控制列表,實(shí)現(xiàn)只允許從129.8.0.0網(wǎng)段的主機(jī)向202.39.160.0網(wǎng)段的主機(jī)發(fā)送WWW報(bào)文,禁止其它報(bào)文通過。R(config)#Access-list100permittcp129.8.0.00.0.255.255202.39.160.00.0.0.255eqwwwR(config)#interfacefastethernet0R(config-if)#ipaccess-group100inR#showaccess-lists,□命名擴(kuò)展訪問控制列表第1步:用名字來定義一個(gè)命名擴(kuò)展訪問控制表,并進(jìn)入擴(kuò)展訪問控制列表配置模式Switch(config)#ipaccess-listextended{name}witch(config-ext-nacl)#第2步:定義訪問控制列表?xiàng)l件Switch(config-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport]。Switch(config-ext-nacl)#exitSwitch(config)#,其中:Deny:禁止通過;Permit:允許通過;Protocol:協(xié)議類型。TCP:tcp;UDP:udp;IP:ip;Source:源IP地址;source-wildcard:源IP地址通配符;Hostsource:源主機(jī),其source-wildcard為0.0.0.0;hostdestination:目標(biāo)主機(jī),其destination-wildcard為0.0.0.0;Any:任意主機(jī),即source或destination為0.0.0.0,source-wildcard或destination-wildcard為255.255.255.255;Operator:操作符,只能為eq。Port:TCP或UDP的端口號(hào),范圍為0-65535。,【例12.9】在交換機(jī)上配置訪問控制列表,實(shí)現(xiàn)只允許192.168.2.0網(wǎng)段上主機(jī)訪問IP地址為172.16.1.100的Web服務(wù)器,而禁止其它任意主機(jī)使用。Switch(config)#ipaccess-listextendedallow_2.0Switch(config-ext-nacl)#permittcp192.168.2.00.0.0.255host172.16.1.100eqwwwSwitch(config-ext-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupallow_2.0inSwitch(config-if)#end,模塊3基于時(shí)間的訪問列表建立與應(yīng)用,1.教學(xué)目標(biāo)□了解基于時(shí)間訪問控制列表的功能及用途□掌握路由器基本時(shí)間訪問控制列表配置技能,2.工作任務(wù)你是某公司的網(wǎng)管,為了保證公司上班時(shí)間的工作效率,公司要求上班時(shí)間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松,訪問網(wǎng)絡(luò)不受限制。,,3.相關(guān)實(shí)踐知識(shí)□在路由器上進(jìn)行基本配置,然后設(shè)置基于時(shí)間的訪問控制列表,把這個(gè)訪問控制列表應(yīng)用于路由器的Fa0接口,如圖12.5所示。,,圖12.5基于時(shí)間的訪問控制列表,第1步:基本配置路由器RouterA:R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdown,RouterA(config-if)#ExitRouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit第2步:配置路由器的時(shí)鐘RouterA#showclockClock:1987-1-165:19:9重新設(shè)置路由器當(dāng)前時(shí)鐘和實(shí)際時(shí)鐘同步RouterA(config)#clockset16:03:4027april2006-4-27RouterA#showclockClock:2006-4-2716:04-9,第3步:定義時(shí)間段RouterA(config)#time-rangefreetime定義絕對(duì)時(shí)間段RouterA(config-time-range)#absolutestart8:001jan2006end18:0030dec2010定義周期性時(shí)間段RouterA(config-time-range)#periodicdaily0:00to9:00RouterA(config-time-range)#periodicdaily17:00to23:59RouterA#showtime-rangeTime-rangeentry:freetime(inactive)Absolutestart8:0001january2006end18:0030december2010Periodicdaily0:00to9:00Periodicdaily17:00to23:59,第4步:定義訪問控制列表任務(wù)時(shí)間允許訪問服務(wù)器192.168.2.10RouterA(config)#access-list102permitipanyhost192.168.2.10允許在規(guī)定時(shí)間段內(nèi)訪問任何網(wǎng)絡(luò)RouterA(config)#access-list102permitipanyanytime-rangefreetime查看訪問控制列表配置RouterA#showaccess-lists第5步:訪問控制列表應(yīng)用在路由器RouterAFa0接口輸入方向上RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaccess-group102in查看Fa0接口上應(yīng)用的規(guī)則RouterA#showipinterfacefastethernet0,4.相關(guān)理論知識(shí)□基于時(shí)間的訪問列表基于時(shí)間的ACL功能使管理員可以依據(jù)時(shí)間來控制用戶對(duì)網(wǎng)絡(luò)資源的訪問,即可以根據(jù)時(shí)間來禁止/允許用戶訪問網(wǎng)絡(luò)資源?!鮿?chuàng)建并定義Time-range接口Router(config)#time-rangetime-range-nameRouter(config-time-range)#absolute[starttimedate][endtimedate]and/orperiodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm其中:time-range-name為定義的接口名,□關(guān)聯(lián)Time-range接口與ACL只允許擴(kuò)展訪問控制列表ACL關(guān)聯(lián)Time-range接口?!鮿?chuàng)建并定義Time-range接口Router(config)#access-listnumber{deny|permit}protocolsourcesrc-wildcarddestinationdesti-wildcard[time-rangetime-range-name],項(xiàng)目結(jié)束,- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 安全策略 數(shù)據(jù) 流量 過濾
鏈接地址:http://m.appdesigncorp.com/p-11529056.html