- 1、本文档共57页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第14章IP访问控制列表祥解.ppt
第十四章IP访问控制列表 为什么要使用访问列表 访问列表的应用 访问列表的其它应用 访问列表的其它应用 访问列表的其它应用 什么是访问列表--标准 什么是访问列表--扩展 什么是访问列表 ACL好处 使用ACL降低的安全威胁: ·IP地址欺骗,对内 ·IP地址欺骗,对外 ·拒绝服务(DoSTCP SYN攻击,阻塞外部攻击 · DoS TCP sYN攻击,使用TCP截取 · Dos smuⅡ 攻击 ·过滤ICMP信息,对内 ·过滤ICMP信息,对外 ·过滤tracerotlte DOS攻击原理 广播风暴:mac地址迅速充满. 对每一个传过来的包进行检查,将会影响速度 TCP属性:任何SYN的请求,不管这个请求是对的还是错误的,必须以一个ACK的值来回应.若是有成千上万的请求,就会有成千上万个回应,这时候CPU运载能力上升,直接导致死机. ACL特性 1 ACL只能过滤穿越路由器的流量,面对路由器本身产生的流量不能过滤. 2 只要一个区域满足,下面条件不用看了 3 严格的放在最上面,宽松的放到下面 4 默认的deny (不显示),至少有一个允许 5 如果漏写 即删一个全完了 要么就重写 6 调用只有放在接口上应用才生效 (方向 inside outside) 出端口方向上的访问列表 出端口方向上的访问列表 出端口方向上的访问列表 访问列表的测试:允许和拒绝 访问列表的测试:允许和拒绝 访问列表的测试:允许和拒绝 访问列表的测试:允许和拒绝 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表,然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 访问列表设置命令 如何识别访问列表号 如何识别访问列表号 如何识别访问列表号 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP子网的对应 配置标准的 IP 访问列表 标准IP访问列表的配置 标准IP访问列表的配置 标准访问列表举例 1 标准访问列表举例 1 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 3 标准访问列表举例 3 用访问列表控制vty访问 在路由器上过滤vty 五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制 如何控制vty访问 虚拟通道的配置 虚拟通道访问举例 扩展 IP 访问列表的配置 标准访问列表和扩展访问列表比较 扩展 IP 访问列表的配置 扩展 IP 访问列表的配置 扩展访问列表应用举例 1 扩展访问列表应用举例 1 扩展访问列表应用举例 1 扩展访问列表应用举例 2 扩展访问列表应用举例 2 扩展访问列表应用举例 2 查看访问列表 查看访问列表的语句 基于时间的访问控制列表 基于时间的访问控制列表有许多功能和扩展访问控制列表相似,但是它们的访问控制类型完全是面向时间的。基本上你指定一周中某天的特定时间,接着根据任务给它命名,这个命名可以识别这个特定的时间.因此必然地,在你指定的时间周期内所涉及的任务功能将会执行。这个时间周期依据路由器的时钟,但是我强烈推荐联合网络时间协议(NTP)同步使用它。 ACL时间问题 有关一些acl时间的问题 r1(config)#time-range no-http r1(config-time-range)#periodic weekend 06:00 to 12:00 r1(config-time-range)#exit r1(config)#time-range tcp-yes r1(config-time-range)#periodic weekend 06:00 to 12:00 r1(config-time-range)#exit r1(config)#ip access-list extended time r1(config-ext-nacl)#deny tcp any any eq www time-range no-http r1(config-ext-nacl)#permit tcp any any time-range tcp-yes r1(config-ext-nacl)#int s1/1 r1(config-if)#ip access-group time in r1(config-if)#do sh time-rang time-range entry: no-http (inactive) per
您可能关注的文档
最近下载
- 专题5.3主视图、左视图、俯视图【七大题型】(举一反三)(苏科版)(原卷版+解析).docx VIP
- 系统稳定性优化方案.docx VIP
- 飞行器制造工程专业职业生涯规划书.pptx
- 东北大学大学物理课件-第八章电磁感应电磁场.ppt VIP
- 电大一网一《Java语言程序设计》山东开放大学形成性考核一-100分.doc VIP
- 美团_W-市场前景及投资研究报告:本地生活领先者,组织改革,AI赋能,饿了么.pdf
- 思想道德与法治第三章.pptx VIP
- 核物理与辐射安全智慧树知到期末考试答案章节答案2024年哈尔滨工程大学.docx
- Unit 9考点梳理-九年级英语全一册(人教版).docx
- 2015汽车nvh技术.ppt VIP
文档评论(0)