第6章_网络安全防范技术-ACL.ppt

第6章　网络安全防范技术－访问控制技术 计算机网络安全 张纯容 实验中答疑 1、 Router(config) #aaa authentication login default local none Router (config)#aaa authentication login TELNET_LINES group radius Router(config)#radius-server host aut-port 1812 acc-port 1813 key WinRadius Router(config)#line vty 0 4 Router(config-line)#login authentication TELNET_LINES 实验中答疑 关于抓包 知识点： 学习目标 理解ACL的原理、作用； 掌握标准ACL、扩展ACL和命令ACL的配置 理解动态ACL ACL基础 网络管理员控制网络访问的基本步骤之一就是在网络内控制数据流量 即拒绝不希望的访问连接流量，同时允许正常的访问 ACL（access control lists）是实现控制网络流量的方法之一。 ACL通过允许和拒绝语句控制网络访问，以此实现安全策略 ACL是应用在路由器等上的指令列表，这些指令告诉路由器哪些分组可以接收以及哪些分组需要拒绝。它实际上是一个连续的允许和拒绝语句的集合 ACL的应用 又叫包过滤防火墙，能实现流量过滤，但不能代替基于上下文的状态化防火墙 ACL应用于的主要场合如下： 过滤邻居设备间传递的路由信息 控制交互访问，以此阻止非法访问设备的行为，如对Console访问实施控制 为DDR路由定义感兴趣流 为IPsec-VPN定义感兴趣流 以多种方式在IOS中实现QOS特性 降低如DoS TCP SYN 和DoS smurf 攻击 ACL基础 ACL可通过ACL列表号来识别，特定的ACL语句具有相同的编号，并且是相同的ACL的一部分 ACL在网络中可实现的多样功能，一般包括： 内部过滤分组 保护内部网络受到来自Internet的非法入侵 限制对虚拟终端端口的访问 ACL适用于所有的路由协议，如IP、IPX等 ACL通过在路由器接口处控制被路由的分组是被　转发还是被阻塞来过滤网络流量 路由器基于ACL中指定的条件来决定转发还是丢弃分组，其条件可以是源地址，目的地址等 建立ACL的原因 限制网络流量，提高网络性能 提供流量控制 提供网络访问的基本安全级别 在路由器接口决定哪种流量被转发或被阻塞 ACL语句的顺序 创建一个ACL时其顺序是至关重要的 当流量进入或流出应用了ACL的路由器接口时，会将分组同ACL中定义的规则相比较 当比较分组时，一次一句按顺序比较，直到与某一条语句匹配，一旦与某一条语句匹配，就执行匹配的语句行中所指定的动作，不再检查其分条件语句 一旦一个ACL被创建后，新的语句行都会被加到ACL的最后，无法删除列表中的单独一行，只能删除整个ACL列表 对路由器的每个接口的每个方向，针对每个协议只能应用一个ACL列表 ACL如何工作 ACL是一组允许或拒绝的语句，它定义了分组的下列行为： 进入入站路由器接口 通过路由器转发 流出出站路由器接口 ACL如何工作 当分组进入到路由器的某个接口时，路由器首先检查该分组是否可路由或可桥接 然后检查在入站接口上是否应用了ACL 如有，将分组与列表中的条件语句相比较，如果分组被允许通过，则继续检查路由表以决定转了到的目的接口（ACL不过滤由路由器本身发出的分组，只过滤别的来源的分组） 路由器检查目的接口是否应用了ACL，如果没有应用，分组被直接送到目的接口 ACL的配置 ACL的配置有两个基本步骤： 1、创建一个ACL router(config)# access-list access-list-number { permit | deny } { test-conditions } 2、将ACL应用到某个接口上: router(config-if)# {protocol} access-group access-list-number { in | out } ACL示例 router(config)#access-list 1 permit 55 router(config-if)#ip access-group 1 out 删除ACL 从接口中将ACL应用删除掉 router(config-if)# no {protocol} access-group access-list-number { in | out } 将ACL语句删除掉 router(config)# no access-list access-list-number { permit