第五章 提升Cisco路由器的安全性.ppt

计算机网络技术培训教材 中国人民保险公司 目 录 第一章 Cisco路由器产品介绍 第二章 配置Cisco路由器 第三章 管理Cisco路由器 第四章 Cisco路由器故障排除 第五章 提升Cisco路由器的安全性 第六章 PICC网络范例 访问控制列表概述 由于不同网段间的通信都要经过路由设备，因此路由器提供了通信流量的过滤能力。 访问控制列表（ACL）是应用到路由器接口的指令列表，是一组连续的允许和拒绝的陈述语句的集合。 ACL可基于源地址、目的地址、端口号等指示条件。 ACL的定义是基于每一种协议的。 访问控制列表的功能 a. 限制网络流量、提高网络性能。 b. 提供了对流量的控制手段。 c. 提供网络访问的基本安全手段。例如，ACL允许某一主机访问你的网络，而阻止另一主机访问相同的网络。 d. 在路由器的接口处决定那种类型的通信流量被转发、那种类型的通信流量被阻塞。例如，你可以允许telnet通信流量被路由，同时拒绝所有ftp通信流量。 访问控制列表的分类 访问控制列表分为两类： 1. 标准访问控制列表只能按源地址过滤 2. 扩展访问控制列表可以按源和目标地址与服务过滤。 在旧版IOS中，访问表类型按编号定义： 编号 协议 类型 1~99 IP 标准 100~199 IP 扩展 新版IOS允许命名访问表，可以指定所生成访问表的类型。 访问控制列表的配置任务 配置标准访问控制列表 定义标准ACL Router(config)# access-list access-list-number {deny|permit} source [source-wildcard] [log] 将ACL应用到某个端口 Router(config-if)#ip access-group access-list-number {in|out} Inbound ACL 处理过程 Outbound ACL 处理过程 Source-wildcard Source-wildcard是用来辨识source ip地址是否符合我们制定的规则。 当source-wildcard的位为1时，则是“don’t care”不关心；当source-wildcard掩码的位为0时，则是“need match”需要匹配。 当source-wildcard掩码省略时，则是使用默认值。 any代表任何地址，表示source address 和source wildcard 55 Source-wildcard应用举例 例1：source: 0 source-wildcard: 表示所有位必须符合，所以只有IP地址为0的符合。 例2：source: source-wildcard: 55 表示只有前三组需符合，所以有一整个C级的IP地址符合。 标准ACL配置举例 例1：允许源IP地址为0的数据包通过 access-list 1 permit 0 例2：允许源IP地址为203.66.47.X整个C级网络的数据包通过 access-list 2 permit 55 例3：拒绝源IP地址为0的数据包通过 access-list 3 deny 0 例4：拒绝源IP地址为203.66.47.X的整个C级网络的数据包通过， 但允许其它任何IP数据包通过 access-list 4 deny 55 access-list 4 permit any ACL配置规则 自上而下的顺序 Place more specific references first ACL的最后隐含地拒绝全部 Unless access list ends with explicit permit any 新ACL语句只能加到最后 Cannot selectively add/remove lines 标准ACL应用举例 标准ACL应用举例（续） 例1：允许源网络地址为的通信流量通过。 access-list 1 permit 55 (隐含access-list 1 deny 55或access-list 1 deny any ) interface ethernet0 ip access-group 1 out interface ethernet1 ip access-group 1 out 标准ACL应用举例（续） 例2 ：拒绝一个特定子网（）的通信流量通过 access-list 1 deny 0 55 access-list 1 permit any (隐含access-list 1 deny 55或access-list 1 deny any) interface ethernet0 i