企业内网安全控制课程.ppt

* * * * * * * * * * * ACL分类-扩展访问列表 ? 扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。 学生网段 校领导网段 邮件server WEBserver 目的地址 源地址 协议 端口号 100-199号列表 TCP/UDP 数据 IP eg.HDLC IP扩展访问列表（1） 扩展访问控制列表 可以通过两种方式为扩展ACL语句分组：通过编号或名称 编号的扩展ACL 创建扩展ACL 接口上应用 Router(config)# access-list listnumber { permit | deny } protocol source source- wildcard–mask destination destination-wildcard–mask [operator operand] Router(config-if)# ip access-group {id|name} {in|out} 扩展访问控制列表 命名的标准ACL 定义扩展ACL名称 定义规则 在接口上应用 Router(config)# ip acess-list extended name Router(config-if)# ip access-group {id|name} {in|out} Router(conig-ext-nacl)# {deny|permit} protocol {source source-wildcard |host source| any}[operator port] 验证ACL配置 显示所有协议的所有ACL 查看接口应用的ACL情况 Router# show access-lists Router# show ip access-group 冲击波（MS Blaster）病毒 －－蠕虫病毒，大量ICMP扫描，导致网络阻塞 利用ACL关闭ICMP服务，以及相应端口。 益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。 配置示例： access-list?101?deny?tcp?any?any?eq?135 阻止感染病毒的PC向其它正常PC的135端口发布攻击代码。 access-list?101?deny?udp?any?any?eq?tftp 限制目标主机通过tftp下载病毒。 access-list?101?deny?icmp any any 阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。 接入交换机RG-S2126G防病毒配置 RG-2126G-2(config)# ip access-list extended deny_worms RG-2126G-2(config-ext-nacl)# deny tcp any any eq 135 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 136 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 137 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 138 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 139 RG-2126G-2(config-ext-nacl)# deny tcp any any eq 445 RG-2126G-2(config-ext-nacl)# deny udp any any eq 135 RG-2126G-2(config-ext-nacl)# deny udp any any eq 136 RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-ns RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-dgm RG-2126G-2(config-ext-nacl)# deny udp any any eq netbios-ss RG-2126G-2(config-ext-nacl)# deny udp any any eq 445 RG-2126G-2(config-ext-nacl)# permit ip any any RG-2126G-2(config-ext-nacl)#exit RG-2126G-2(config)#interface range