第14章IP访问控制列表祥解.ppt

  1. 1、本文档共57页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第14章IP访问控制列表祥解.ppt

第十四章 IP访问控制列表 为什么要使用访问列表 访问列表的应用 访问列表的其它应用 访问列表的其它应用 访问列表的其它应用 什么是访问列表--标准 什么是访问列表--扩展 什么是访问列表 ACL好处 使用ACL降低的安全威胁: ·IP地址欺骗,对内 ·IP地址欺骗,对外 ·拒绝服务(DoSTCP SYN攻击,阻塞外部攻击 · DoS TCP sYN攻击,使用TCP截取 · Dos smuⅡ 攻击 ·过滤ICMP信息,对内 ·过滤ICMP信息,对外 ·过滤tracerotlte DOS攻击原理 广播风暴:mac地址迅速充满. 对每一个传过来的包进行检查,将会影响速度 TCP属性:任何SYN的请求,不管这个请求是对的还是错误的,必须以一个ACK的值来回应.若是有成千上万的请求,就会有成千上万个回应,这时候CPU运载能力上升,直接导致死机. ACL特性 1 ACL只能过滤穿越路由器的流量,面对路由器本身产生的流量不能过滤. 2 只要一个区域满足,下面条件不用看了 3 严格的放在最上面,宽松的放到下面 4 默认的deny (不显示),至少有一个允许 5 如果漏写 即删一个全完了 要么就重写 6 调用只有放在接口上应用才生效 (方向 inside outside) 出端口方向上的访问列表 出端口方向上的访问列表 出端口方向上的访问列表 访问列表的测试:允许和拒绝 访问列表的测试:允许和拒绝 访问列表的测试:允许和拒绝 访问列表的测试:允许和拒绝 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表,然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 访问列表设置命令 如何识别访问列表号 如何识别访问列表号 如何识别访问列表号 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP子网的 对应 配置标准的 IP 访问列表 标准IP访问列表的配置 标准IP访问列表的配置 标准访问列表举例 1 标准访问列表举例 1 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 3 标准访问列表举例 3 用访问列表控制vty访问 在路由器上过滤vty 五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制 如何控制vty访问 虚拟通道的配置 虚拟通道访问举例 扩展 IP 访问列表的配置 标准访问列表和扩展访问列表 比较 扩展 IP 访问列表的配置 扩展 IP 访问列表的配置 扩展访问列表应用举例 1 扩展访问列表应用举例 1 扩展访问列表应用举例 1 扩展访问列表应用举例 2 扩展访问列表应用举例 2 扩展访问列表应用举例 2 查看访问列表 查看访问列表的语句 基于时间的访问控制列表 基于时间的访问控制列表有许多功能和扩展访问控制列表相似,但是它们的访问控制类型完全是面向时间的。基本上你指定一周中某天的特定时间,接着根据任务给它命名,这个命名可以识别这个特定的时间.因此必然地,在你指定的时间周期内所涉及的任务功能将会执行。这个时间周期依据路由器的时钟,但是我强烈推荐联合网络时间协议(NTP)同步使用它。 ACL时间问题 有关一些acl时间的问题 r1(config)#time-range no-http r1(config-time-range)#periodic weekend 06:00 to 12:00 r1(config-time-range)#exit r1(config)#time-range tcp-yes r1(config-time-range)#periodic weekend 06:00 to 12:00 r1(config-time-range)#exit r1(config)#ip access-list extended time r1(config-ext-nacl)#deny tcp any any eq www time-range no-http r1(config-ext-nacl)#permit tcp any any time-range tcp-yes r1(config-ext-nacl)#int s1/1 r1(config-if)#ip access-group time in r1(config-if)#do sh time-rang time-range entry: no-http (inactive) per

文档评论(0)

四娘 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档