第11次课访问控制列表(ACL)预案.ppt

运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。 端口号用于对应一种应用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。 “运算符 端口号”可匹配数据包的用途。如：“eq 80”可匹配那些访问Web网站的数据包。 在扩展ACL语句中， “运算符 端口号”可以没有。 例： access-list 100 permit tcp 55 55 eq 80 表示允许来自192.168.*.*的用户访问位于10.*.*.*的Web站点。 扩展ACL定义后，也需要使用 ip access-group 命令应用在指定接口上才能起作用。 如： Router(config)# interface e0 Router(config-if)# ip access-group 100 out 在每个扩展ACL末尾也有一条默认语句： access-list list-num deny ip any any 它会拒绝所有与前面语句不匹配的数据包。 扩展ACL配置举例1 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网只允许Web通信流量和Ftp通信流量，其它都拒绝。 R1(config)# access-list 100 permit tcp any any eq 80 R1(config)# access-list 100 permit tcp any any eq 20 R1(config)# access-list 100 permit tcp any any eq 21 R1(config)# interface e0 R1(config-if)# ip access-group 100 out 说明：标准FTP协议使用了两个端口，21用于建立FTP连接，20用于数据传输。 说明： 例1的配置将会极大限制局域网和外网间的应用，它会拒绝除Web和Ftp外的所有应用（包括ICMP、DNS、电子邮件等），也会拒绝那些没有使用标准端口的Web和Ftp应用。 在实际应用中，我们通常只对那些可能有害的访问作出拒绝限制，或者限制用户访问某些有害的站点或服务。 扩展ACL配置举例2 R1 E0 R1是局域网和外网的边界路由器，禁止外网用户用Telnet远程登录本路由器。 S0 192.168.*.* /24 /24 R1(config)# access-list 100 deny tcp any host eq 23 R1(config)# access-list 100 deny tcp any host eq 23 R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 说明：这里使用了禁止对两个接口进行Telnet的数据包进入S0口的方法阻断来自外网的Telnet请求。 由于对E0口没有限制，所以它不影响来自内网的Telnet请求。 扩展ACL配置举例3 R1 E0 R1是局域网和外网的边界路由器，1是一个有害的Web网站，禁止内网用户访问该网站。 S0 192.168.*.* /24 /24 08.11.14 计06本 (32) 访问控制列表(ACL) 问题1 公网 互联网用户 对外信息 服务器 员工上网 信息 服务器 问题1 作为公司网络管理员，当公司领导提出下列要求时你该怎么办？ 为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。 公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。 问题2 问题2 在企业内部网络中，会存在一些重要的或者必威体育官网网址的资源或者数据，为了防止公司员工有意或无意的破坏或者访问，对这些服务器应该只允许相关人员访问。如何做到这一点？ 访问控制列表(ACL) Access Control List ACL概述 基本ACL配置 扩展ACL配置 命名ACL 一、 ACL概述 利用ACL可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。 访问控制列表(ACL)由一组规则组成，在规则中定义允许或拒绝通过路由器的条件。 ACL过滤的依据主要包括源地址、目的地址、上层协议等。 ACL有两种：标准访问控制列表、扩展访问控制列表。 ACL一般只在以下路由器上配置： 1、内部网和外部网的边界路由器。 2、两个功能网络交界的路由器。 限制的内容通常包括： 1、允许哪些用户访问网络。（根据用户的IP地址进