5 网络地址管理及安全技术课件.ppt

5 网络地址管理及安全技术 本章学习目标 了解网络安全关注范围及必要技术 理解路由器实现防火墙的方式 熟练掌握ACL的概念、配置及故障排除 熟练掌握DHCP的概念、配置及故障排除 熟练掌握NAT的配置及常见故障排除 5 网络地址管理及安全技术 5.1 网络安全及防火墙技术简介 5.2 ACL技术简介及配置 5.3 DHCP技术简介及配置 5.4 NAT技术简介及配置 5.5 其它技术 5.1.1 网络安全概述 网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义： 保证内部局域网的安全（不被非法侵入） 保护和外部进行数据交换的安全 网络安全技术的完善和更新 5.1.2 网络安全关注的范围 常常从如下几个方面综合考虑整个网络的安全 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制 保证内部网络的隐蔽性 有效的防伪手段，重要的数据重点保护 对网络设备、网络拓扑的安全管理 病毒防范 提高安全防范意识 5.1.3 网络安全的必要技术 针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性： 可靠性和线路安全 身份认证 访问控制 信息隐藏 数据加密和防伪 安全管理 5.1.4 防火墙示意图 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 5.1.5 路由器实现防火墙功能 5 网络地址管理及安全技术 5.1 网络安全及防火墙技术简介 5.2 ACL技术简介及配置 5.3 DHCP技术简介及配置 5.4 NAT技术简介及配置 5.5 其它技术 5.2.1 访问控制列表 (ACL)简介 ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的 ACL可以应用于诸多方面 访问控制列表可以用于防火墙； 访问控制列表可用于Qos（Quality of Service），对数据流量进行控制； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 5.2.1 访问控制列表 (ACL)简介 ACL的机理 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 5.2.1 访问控制列表 (ACL)简介 ACL的机理 对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤 5.2.1 访问控制列表 (ACL)简介 ACL的分类 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 某些版本的华为路由器使用2000～2999 为标准（基本）访问控制列表，3000～3999 为扩展（高级）访问控制列表 5.2.2 标准访问控制列表 标准访问控制列表 只使用源地址描述数据，表明是允许还是拒绝。 5.2.2 标准访问控制列表 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] Special表示指定本规则加入到时间段规则中 Timerange enable Settr {begin-tme end-time} 5.2.2 标准访问控制列表 如何使用通配符掩码 通配符掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 5.2.2 标准访问控制列表 通配符掩码的应用示例 5.2.2 标准访问控制列表 标准访问控制列表例子 [Quidway]acl 10 [Quidway-acl-10]rule normal permit source 55 [Quidway-acl-10] rule normal deny source any 5.2.3 扩展访问控制列表 扩展访问控制列表 使用除源地址外更多的信息(如目的地址，上层协议信息等)描述数据包，表明是允许还是拒绝。 acl acl-number [ match-order config | auto ] 5.2.3 扩展访问控制列表 扩展访问控制列表的配置命令 配置TCP/UDP协议的扩展访问列表： rule { normal | special }{ permit | deny } { tcp | udp } source [source-addr source-wildcard | any ] [source-port ope