网络互连技术课件10园区网安全(续).ppt

第三步：测试访问列表的效果 C\ping ?！验证在工作时间PC机可以访问服务器（能ping通），现在改变服务器的IP地址为，再进行测试： C\ping ?！验证在工作时间不能访问其它服务器（不能ping通） 现在改变路由器的时钟到非工作时间22：00，再进行测试： Router#clock set 22:00:00 17 November 2009 C\ping ?！验证在非工作时间能访问其它服务器（能ping通） 注意事项 在定义时间接口前须先校正系统时钟； Time-range接口上允许配置多条periodic规则（周期时间段），在ACL进行匹配时，只要能匹配任一条periodic规则即认为匹配成功，而不是要求必须同时匹配多条periodic规则； 设置periodic规则时，可以按以下日期段进行设置：day-of-the-week（星期几）、weekdays（工作日）、weekdays（周末，即周六和周日）、Daily（每天）； Time-range接口上只允许配置一条absolute规则（绝对时间段）； Time-range允许absolute规则与periodic规则共存，此时，ACL必须首先匹配absolute规则，然后再匹配periodic规则。 专家级访问控制列表实例 【背景描述】 出于安全考虑，某企业网络管理员需要按物理地址及网络地址禁止某些主机访问某服务器，但允许其它主机访问，现在需要在交换机上做相应配置。 本实验以1台S2126G交换机和1台R1762路由器为例。PC1和PC2的IP地址分别为/24和/24，缺省网关为/24，服务器（server）的IP地址和缺省网关分别为/24和/24，路由器的接口F1/0和F1/1的IP地址分别为/24和/24。 实验拓扑 第一步：在交换机上定义专家级访问控制列表 switch#configure terminal switch (config)#expert access-list extended e1 ！定义专家级访问列表e1 switch (config-ext-nacl)#deny ip host host 00d0.9823.9526 host any? ！禁止IP地址和MAC地址为和00d0.9823.9526的主机访问IP地址为的主机 switch (config-ext-nacl)#permit any any any any 第二步：在接口上应用专家级访问列表 switch(config)#int f0/1 switch (config-if)#expert access-group e1 in 第三步：测试访问列表的效果 C\ping ?！验证PC1不能访问服务器 C\ping ！验证PC1能访问PC2（） C\ping ?！验证PC2能访问服务器 注意事项 专家级访问列表用于过滤二层和三层、四层数据流； 专家级访问列表可以使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。 IP ACL的其它应用 除了做IP访问控制外； QOS的业务流分类； 路由协议重分布的路由选择； …… * 访问列表准则可以针对数据流的源地址、目标地址、上层协议或其他信息。基本访问列表（即标准或扩展访问列表）和动态访问列表的区别是：基本访问列表不需要身份认证，始终使用同一规则对经过路由器接口上的数据进行控制，而动态访问列表默认情况是禁止数据流通过的，用户需要telnet 到路由器上进行身份认证，如果用户通过身份认证，他便可以暂时通过路由器访问目标主机，经过指定的空闲时间，恢复到默认情况，用户再次访问目标主机需再次身份认证。 RGNOS通过基本访问列表和动态访问列表，您可以根据需要选择基本访问列表或动态访问列表。 * 访问列表一般配置在以下位置的路由器上： 内部网和外部网（如INTERNET）之间的路由器。 网络两个部分交界的路由器。 一般情况下，使用基本访问列表就可以满足安全需要，在以下两种情况下，建议您使用动态访问列表： 需要允许指定的远程用户（或远程用户组）从其主机上通过INTENET访问网络内部的主机。动态访问列表只有在用户通过身份认证后，才允许用户通过路由器在限定时间内访问指定的主机或子网。 需要允许本地网络的一些主机访问受防火墙保护的远程网络内的某个主机。动态访问列表只有在用户通过身份认证后，才允许某些本地用户的主机通过路由器在限定时间内访问远程主机。 使用基本访问列表，一些经验丰富的黑客可能会通过一些软件假冒源地址欺骗路由器，得以访问网络，而动态访问列表在用户访问网络以前，要求通过身份认证，使黑客难以攻入网络，所以在一些通过敏感的区域可以使