項目十二安全策略與數(shù)據(jù)流量過濾.ppt
《項目十二安全策略與數(shù)據(jù)流量過濾.ppt》由會員分享,可在線閱讀,更多相關(guān)《項目十二安全策略與數(shù)據(jù)流量過濾.ppt(42頁珍藏版)》請在裝配圖網(wǎng)上搜索。
項目十二安全策略與數(shù)據(jù)流量過濾 1 教學(xué)目標(biāo) 掌握網(wǎng)絡(luò)安全策略布置原則 掌握IP標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表配置技能 能夠根據(jù)實(shí)際需求準(zhǔn)確配置IP訪問控制列表 具體如下 1 了解IP標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表的功能及用途 2 掌握IP標(biāo)準(zhǔn)訪問控制列表配置技能 3 掌握IP擴(kuò)展訪問控制列表配置技能 2 工作任務(wù) 根據(jù)客戶工作任務(wù)的具體要求 配置IP標(biāo)準(zhǔn)或擴(kuò)展訪問控制列表 實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制 模塊1IP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用 教學(xué)目標(biāo) 了解IP標(biāo)準(zhǔn)訪問控制列表的功能及用途 掌握路由器IP標(biāo)準(zhǔn)訪問控制列表配置技能 掌握交換機(jī)IP標(biāo)準(zhǔn)訪問控制列表配置技能 2 工作任務(wù)你是學(xué)校網(wǎng)絡(luò)管理員 學(xué)校的財務(wù)處 教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段 三個部門之間通過路由器進(jìn)行信息傳遞 為了安全起見 學(xué)校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制 實(shí)現(xiàn)校辦企業(yè)財務(wù)科的主機(jī)可以訪問財務(wù)處的主機(jī) 但是教師辦公室主機(jī)不能訪問財務(wù)處主機(jī) 3 相關(guān)實(shí)踐知識 首先對兩路由器進(jìn)行基本配置 實(shí)現(xiàn)三個網(wǎng)段可以相互訪問 然后對距離控制目的地址較近的路由器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表 允許192 168 1 0網(wǎng)段 校辦企業(yè)財務(wù)科 主機(jī)發(fā)出的數(shù)據(jù)包通過 不允許192 168 2 0網(wǎng)段 教師辦公室 主機(jī)發(fā)出的數(shù)據(jù)包通過 最后將這一策略加到路由器RouterB的Fa0端口 如圖12 1所示 圖12 1路由器IP標(biāo)準(zhǔn)訪問控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdownRouterA config if Exit RouterA config interfacefastethernet1RouterA config if ipaddress192 168 12 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config interfacefastethernet2RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config iproute192 168 3 0255 255 255 0192 166 12 2路由器RouterB同理配置 第2步 在路由器RouterB上配置IP標(biāo)準(zhǔn)訪問控制列表RouterB config access list1deny192 168 2 00 0 0 255RouterB config access list1permit192 168 1 00 0 0 255驗(yàn)證測試RouterB showaccess list1第3步 應(yīng)用在路由器RouterB的Fa0接口輸出方向上RouterB config interfacefastethernet0RouterB config if ipaccess group1out驗(yàn)證測試RouterB showipinterfacefastethernet0 4 相關(guān)理論知識 ACL概述訪問控制列表 ACL 是在交換機(jī)或路由器上定義一些規(guī)則 對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定規(guī)則進(jìn)行過濾 ACL分類 1 編號訪問控制列表 在路由器配置的訪問控制列表是由編號來命名的 包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴(kuò)展訪問控制列表 2 命名訪問控制列表 在三層交換機(jī)配置的訪問控制列表是由字符串名字來命令的 包括IP標(biāo)準(zhǔn)訪問控制列表和IP擴(kuò)展訪問控制列表 編號標(biāo)準(zhǔn)訪問控制列表 1 標(biāo)準(zhǔn)訪問控制列表在路由器上建立的訪問控制列表 其編號取值范圍為1 99之間整數(shù)值 只根據(jù)源IP地址過濾流量 在標(biāo)準(zhǔn)或擴(kuò)展訪問列表的末尾 總有一個隱含的Denyall 這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配 則隱含的Denyall將會禁止該數(shù)據(jù)包通過 2 定義訪問控制列表R config access listaccess listnumber permit deny source sourcemask 其中 access listnumber 訪問列表序號 范圍是1 99 Permit deny 允許 禁止?jié)M足條件的數(shù)據(jù)包通過 Source 過濾數(shù)據(jù)包的源IP地址 Sourcemask 通配屏蔽碼 1 不檢查位 0 必須匹配位 例12 3 定義訪問控制列表1拒絕特定主機(jī)192 168 10 1的流量 但允許其它的所有主機(jī) R config access list1denyhost192 168 10 1R config access list1permitany 3 應(yīng)用訪問控制列表訪問控制列表需要應(yīng)用到路由器的一個接口上 應(yīng)用到一個接口上可選擇入棧 IN 或出棧 OUT 二個方向 例12 5 將訪問控制列表1應(yīng)用到路由器的接口fastethernet0的入棧方向上 R configureterminalR config interfacefastethernet0R config if ipaccess group1inR config if end 命名標(biāo)準(zhǔn)訪問控制列表在三層交換機(jī)上配置命名標(biāo)準(zhǔn)訪問控制列表 也是采用定義ACL 在接口上應(yīng)用ACL 查看ACL等步驟進(jìn)行 第1步 進(jìn)入Access list配置模式 用名字來定義一條標(biāo)準(zhǔn)訪問控制列表 Switch config ipaccess liststandard name Switch config std nacl 第2步 定義訪問控制列表條件Switch config std nacl deny sourcesource wildcard hostsource any 或permit sourcesource wildcard hostsource any Switch config std nacl exitSwitch config 其中 permit允許通過 deny禁止通過 Source是要被過濾數(shù)據(jù)包的源IP地址 source wildcard是通配屏蔽碼 指出該域中哪些位進(jìn)行匹配 1表示允許這些位不同 0表示這些位必須匹配 Hostsource代表一臺源主機(jī) 其source wildcard為0 0 0 0 any代表任意主機(jī) 即source為0 0 0 0 source wildcard為255 255 255 255 第3步 應(yīng)用訪問控制列表Switch config interfacevlann其中 n是指Vlann 以實(shí)現(xiàn)進(jìn)入SVI模式Switch config if ipaccess group name in out 其中 name為訪問控制列表名稱 in或out為控制接口流量方向 Switch config if 例12 7 在交換機(jī)上配置訪問控制列表 實(shí)現(xiàn)只禁止192 168 2 0網(wǎng)段上主機(jī)發(fā)出的數(shù)據(jù) 而允許其它任意主機(jī) Switch configureterminalSwitch config Switch config ipaccess liststandarddeny 2 0Switch config std nacl deny192 168 2 00 0 0 255Switch config std nacl permitanySwitch config std nacl exitSwitch config interfacevlan2Switch config if ipaccess groupdeny 2 0inSwitch config if endSwitch showaccess lists 模塊2IP擴(kuò)展訪問控制列表的建立及應(yīng)用 教學(xué)目標(biāo) 了解IP擴(kuò)展訪問控制列表功能及用途 掌握路由器IP擴(kuò)展訪問控制列表配置技能 掌握交換機(jī)IP擴(kuò)展訪問控制列表配置技能 2 工作任務(wù)你是學(xué)校網(wǎng)絡(luò)管理員 學(xué)校的網(wǎng)管中心分別架設(shè)FTP Web服務(wù)器 其中FTP服務(wù)器供教師專用 學(xué)生不可使用 Web服務(wù)器教師和學(xué)生都可訪問 FTP及Web服務(wù)器 教師辦公室和學(xué)生宿舍分屬不同的3個網(wǎng)段 三個網(wǎng)段之間通過路由器進(jìn)行信息傳遞 要求你對路由器進(jìn)行適當(dāng)設(shè)置實(shí)現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制 3 相關(guān)實(shí)踐知識 首先對兩路由器進(jìn)行基本配置 實(shí)現(xiàn)三個網(wǎng)段相互訪問 然后對離控制源地址較近的路由器RouterA配置IP擴(kuò)展訪問控制列表 不允許192 168 1 0網(wǎng)段 學(xué)生宿舍 主機(jī)發(fā)出的去192 168 3 0網(wǎng)段的FTP數(shù)據(jù)包通過 允許192 168 1 0網(wǎng)段主機(jī)發(fā)出的其它服務(wù)數(shù)據(jù)包通過 最后將這一策略加到路由器RouterA的Fa0端口 如圖12 4所示 圖12 4路由器IP擴(kuò)展訪問控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdownRouterA config if Exit RouterA config interfacefastethernet1RouterA config if ipaddress192 168 12 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config interfacefastethernet2RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config iproute192 168 3 0255 255 255 0192 166 12 2路由器RouterB同理配置 第2步 在路由器RouterA上配置IP擴(kuò)展訪問控制列表拒絕來自192 168 1 0網(wǎng)段去192 168 3 0網(wǎng)段的FTP流量通過RouterA config access list101denyTCP192 168 1 00 0 0 255192 168 3 00 0 0 255eqFTP允許其它服務(wù)的流量通過RouterA config access list101permitIPanyany驗(yàn)證測試RouterA showaccess list101第3步 把訪問控制列表應(yīng)用在路由器RouterA的Fa0接口輸入方向上 RouterA config interfacefastethernet0RouterA config if ipaccess group101in 4 相關(guān)理論知識 編號擴(kuò)展訪問控制列表擴(kuò)展編號訪問控制列表同標(biāo)準(zhǔn)編號訪問控制列表一樣也是在路由器上創(chuàng)建的 其編號范圍為100到199之間 擴(kuò)展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址 目的IP地址 協(xié)議及端口號等信息來過濾流量 配置編號擴(kuò)展訪問控制列表R config access listlistnumber permit deny protocolsourcesource wildcard maskdestinationdestination wildcard mask operatoroperand 其中 Listnumber 規(guī)則序號 范圍為100 199 Permit deny 允許 或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過 protocol 0 255之間協(xié)議號 也可用協(xié)議名 如IP TCP和UDP operatoroperand 用于指定端口范圍 缺省為全部端口號0 65535 只有TCP和UDP協(xié)議需要指定端口范圍 例12 8 在路由器R上配置訪問控制列表 實(shí)現(xiàn)只允許從129 8 0 0網(wǎng)段的主機(jī)向202 39 160 0網(wǎng)段的主機(jī)發(fā)送WWW報文 禁止其它報文通過 R config Access list100permittcp129 8 0 00 0 255 255202 39 160 00 0 0 255eqwwwR config interfacefastethernet0R config if ipaccess group100inR showaccess lists 命名擴(kuò)展訪問控制列表第1步 用名字來定義一個命名擴(kuò)展訪問控制表 并進(jìn)入擴(kuò)展訪問控制列表配置模式Switch config ipaccess listextended name witch config ext nacl 第2步 定義訪問控制列表條件Switch config ext nacl deny permit protocol sourcesource wildcard hostsource any operatorport destinationdestination wildcard hostdestination any operatorport Switch config ext nacl exitSwitch config 其中 Deny 禁止通過 Permit 允許通過 Protocol 協(xié)議類型 TCP tcp UDP udp IP ip Source 源IP地址 source wildcard 源IP地址通配符 Hostsource 源主機(jī) 其source wildcard為0 0 0 0 hostdestination 目標(biāo)主機(jī) 其destination wildcard為0 0 0 0 Any 任意主機(jī) 即source或destination為0 0 0 0 source wildcard或destination wildcard為255 255 255 255 Operator 操作符 只能為eq Port TCP或UDP的端口號 范圍為0 65535 例12 9 在交換機(jī)上配置訪問控制列表 實(shí)現(xiàn)只允許192 168 2 0網(wǎng)段上主機(jī)訪問IP地址為172 16 1 100的Web服務(wù)器 而禁止其它任意主機(jī)使用 Switch config ipaccess listextendedallow 2 0Switch config ext nacl permittcp192 168 2 00 0 0 255host172 16 1 100eqwwwSwitch config ext nacl exitSwitch config interfacevlan2Switch config if ipaccess groupallow 2 0inSwitch config if end 模塊3基于時間的訪問列表建立與應(yīng)用 教學(xué)目標(biāo) 了解基于時間訪問控制列表的功能及用途 掌握路由器基本時間訪問控制列表配置技能 2 工作任務(wù)你是某公司的網(wǎng)管 為了保證公司上班時間的工作效率 公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站 下班后員工可以隨意放松 訪問網(wǎng)絡(luò)不受限制 3 相關(guān)實(shí)踐知識 在路由器上進(jìn)行基本配置 然后設(shè)置基于時間的訪問控制列表 把這個訪問控制列表應(yīng)用于路由器的Fa0接口 如圖12 5所示 圖12 5基于時間的訪問控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdown RouterA config if ExitRouterA config interfacefastethernet1RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if Exit第2步 配置路由器的時鐘RouterA showclockClock 1987 1 165 19 9重新設(shè)置路由器當(dāng)前時鐘和實(shí)際時鐘同步RouterA config clockset16 03 4027april2006 4 27RouterA showclockClock 2006 4 2716 04 9 第3步 定義時間段RouterA config time rangefreetime定義絕對時間段RouterA config time range absolutestart8 001jan2006end18 0030dec2010定義周期性時間段RouterA config time range periodicdaily0 00to9 00RouterA config time range periodicdaily17 00to23 59RouterA showtime rangeTime rangeentry freetime inactive Absolutestart8 0001january2006end18 0030december2010Periodicdaily0 00to9 00Periodicdaily17 00to23 59 第4步 定義訪問控制列表任務(wù)時間允許訪問服務(wù)器192 168 2 10RouterA config access list102permitipanyhost192 168 2 10允許在規(guī)定時間段內(nèi)訪問任何網(wǎng)絡(luò)RouterA config access list102permitipanyanytime rangefreetime查看訪問控制列表配置RouterA showaccess lists第5步 訪問控制列表應(yīng)用在路由器RouterAFa0接口輸入方向上RouterA config interfacefastethernet0RouterA config if ipaccess group102in查看Fa0接口上應(yīng)用的規(guī)則RouterA showipinterfacefastethernet0 4 相關(guān)理論知識 基于時間的訪問列表基于時間的ACL功能使管理員可以依據(jù)時間來控制用戶對網(wǎng)絡(luò)資源的訪問 即可以根據(jù)時間來禁止 允許用戶訪問網(wǎng)絡(luò)資源 創(chuàng)建并定義Time range接口Router config time rangetime range nameRouter config time range absolute starttimedate endtimedate and orperiodicdays of the weekhh mmto days of the week hh mm其中 time range name為定義的接口名 關(guān)聯(lián)Time range接口與ACL只允許擴(kuò)展訪問控制列表ACL關(guān)聯(lián)Time range接口 創(chuàng)建并定義Time range接口Router config access listnumber deny permit protocolsourcesrc wildcarddestinationdesti wildcard time rangetime range name 項目結(jié)束- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 項目 十二 安全策略 數(shù)據(jù) 流量 過濾
鏈接地址:http://m.appdesigncorp.com/p-5435586.html