《网络设备安全》课件第9章 访问控制列表的应用.ppt
《《网络设备安全》课件第9章 访问控制列表的应用.ppt》由会员分享,可在线阅读,更多相关《《网络设备安全》课件第9章 访问控制列表的应用.ppt(22页珍藏版)》请在文库网上搜索。
1、培养目标通过本章的学习,希望您能够:熟悉访问控制列表概念掌握IP访问控制配置方法掌握MAC访问控制列表配置方法熟悉显示ACL配置访问控制列表概述访问控制列表(AccessControlList)是一个有序的语句集,它通过对比报文中字段值与访问控制列表参数,来允许或拒绝报文通过某个接口。访问控制列表作用:安全控制流量过滤数据流量标识ACL语句组成:条件:用来匹配数据包中字段值操作:条件匹配时,可以采取允许和拒绝两个操作ACLACL报文报文ACL工作原理及规则入站ACL入站数据先判断ACL后执行路由ACL工作原理及规则出站ACL出站数据先进行路由再应用ACLACL工作原理及规则基本规则ACL规则按
2、名称或编号进行分组列表中每条ACL语句有一组条件和一个操作,如果需要多个条件或多个操作,则必须使用多个ACL语句来完成如果当前语句的条件没有匹配,则处理列表中的下一条语句如果条件匹配,则执行语句后面的操作,且不再与其他ACL语句进行匹配如果列表中的所有语句都不匹配,那么丢弃该数据包注意:由于ACL语句默认是拒绝不匹配的数据包,所以在列表中至少要有一个允许的操作。否则,所有数据包都会被拒绝掉注意语句的顺序。条件严的语句应该放在列表的顶部,条件宽的语句应该放在列表的底部。从而,避免条件严的语句永远也得不到执行ACL工作原理及规则注意事项一个ACL列表中至少要有一条允许或拒绝的语句只能在设备的每个接
3、口、每个协议、每个方向上应用一个ACLACL只能应用在接口上先处理入站ACL,再进行数据路由先进行数据路由,再处理出站接口上的出站ACLACL会影响通过接口的流量和速度,但不会过滤路由器本身产生的流量放置位置只过滤数据包源地址的ACL应该放置在离目的地尽量近的地方过滤数据包的源地址和目的地址以及其他信息的ACL,则应该尽量放在离源地址近的地方准备知识(四)标准和扩展标准和扩展ACLACLACL的种类ACL种类:标准ACL:只能过滤IP数据包头中的源IP地址扩展ACL:可以过滤源IP地址、目的IP地址、协议(TCP/IP)、协议信息(端口号、标志代码)等时间ACL:可以根据时间段进行扩展ACL过
4、滤专家ACL:可以过滤源IP、源MAC、源端口、目标IP、目标MAC、目标端口、时间等标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常配置在路由器上实现以下功能:限制通过VTY线路对路由器的访问(telnet、SSH)限制通过HTTP或HTTPS对路由器的访问过滤路由更新标准ACL通过两种方式创建标准ACL:编号或名称使用编号创建创建创建ACLACL(config)#access-list listnumber permit|denyaddresswildcardmask在接口上应用(config-if)#ip access-group id|namein|outIn:当数
5、据流入路由器接口时Out:当数据流出路由器接口时使用命名创建定义ACL名称(config)#ip access-list standardname定义规则(config-std-nacl)#deny|permit sourcewildcardany在接口上应用扩展访问控制列表扩展的IP访问表用于扩展报文过滤的能力。扩展访问列表允许过滤内容:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。扩展访问控制列表通过两种方式创建扩展ACL:编号或名称使用编号创建创建ACL(config)#access-list listnumber permit|deny protoc
6、ol source source-wildcardmask destination destination-wildcardmaskoperator operand在接口上应用(config-if)#ip access-group id|namein|out使用命名创建定义ACL名称(config)#ip access-list extendedname定义规则(config-ext-nacl)#deny|permitprotocolsource source-wildcard|hostsource|anyoperatorport在接口上应用配置标准ACL示例配置扩展ACL示例PART/03
7、扩展ACL定义9.2 IP访问控制列表1)限制主机限制主机192.168.0.222到网络到网络131.107.0.0/16的的ICMP流量流量RB(config)#access-list 101 deny icmp host 192.168.0.222 131.107.0.0 0.0.255.255RB(config)#access-list 101 permit ip any anyRB(config)#int e0RB(config-if)#ip access-group 101 inRB(config-if)#no ip access-group 101 in(如需删除,则使用此命令)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备安全 网络设备安全课件第9章 访问控制列表的应用 网络设备 安全 课件 访问 控制 列表 应用