访问控制列表的高级应用第六单元.ppt

访问控制列表的高级应用 第六讲 命名访问控制列表 命名访问控制列表的意义 可以用有含义的字符串直观标识一个访问控制列表 当访问控制列表数目超过给定编号限制时，可以采用命名访问控制列表表示 便于修改。可以在不删除整个访问控制列表的情况下只修改其中的一条命令 命名访问控制列表 使用命名访问控制列表的注意事项 兼容性，只能用于cisco IOS 11.2及以上的一些版本。 不能同名。同类型的访问控制列表不能同名，不同类型的访问控制列表也不能同名 命名访问控制列表 应用： 一、基于名称的访问控制列表的格式： ??? ip access-list [standard|extended] [ACL名称] ??? 例如：ip access-list standard softer就建立了一个名为softer的标准访问控制列表。 命名访问控制列表 二、基于名称的访问控制列表的使用方法： ??? 当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。 ??? 例如我们添加三条ACL规则 ??? permit ??? permit ??? permit 如果我们发现第二条命令应该是而不是，如果使用不是基于名称的访问控制列表的话，只能删除整个访问控制列表，再重建。使用了基于名称的访问控制列表后，使用no permit 后第一条和第三条指令依然存在。 命名访问控制列表 ??? 总结：如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。 基于时间的访问控制列表 基于时间的访问控制列表用途： 可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的，用基于时间的访问控制列表可以解决这个问题。 基于时间的访问控制列表 基于时间的访问控制列表的格式： ??? 基于时间的访问控制列表由两部分组成 第一部分是定义时间段 第二部分是用扩展访问控制列表定义规则。 这里我们主要讲解下定义时间段，具体格式如下： ??? time-range??? 时间段名称??? absolute start [小时：分钟] [日 月 年] [end] [小时：分钟] [日 月 年] ??? 例如：time-range softer???????????? absolute start 0:00 1 may 2008 end 12:00 1 june 2008 基于时间的访问控制列表 2．3 案例 基于时间的访问控制列表设计步骤如下： 定义时间段名称及时间范围。 ACL自身的配置，即将详细的规则添加到ACL中。 绑定ACL，将设置好的ACL添加到相应的端口中。 基于时间的访问控制列表 基于时间的访问控制列表 路由器配置命令： ??? time-range softer??? 定义时间段名称为softer ??? periodic weekend 00:00 to 23:59??? 定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。 ??? access-list 101 deny tcp any 3 eq ftp time-range softer??? 设置ACL，禁止在时间段softer范围内访问3的FTP服务。 基于时间的访问控制列表 ??access-list 101 permit ip any any??? 设置ACL，容许其他时间段和其他条件下的正常访问。 ??? int e 1??? 进入E1端口。 ??? ip access-group 101 out??? 绑定ACL101。 基于时间的ACL比较适合于时间段的管理，通过上面的设置的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问。 反射访问控制列表的配置 什么叫反射访问控制列表： 即根据一个方向的访问控制列表，自动创建出一个反方向的控制列表，就是和原来的控制列表—IP的源地址和目的地址颠倒，并且源端口号和目的端口号完全相反的一个列表。并且还有一定的时间限制，过了时间，就会超时，这个新创建的列表就会消失，这样大大增加了安全性。 反射访问控制列表的配置 反射访问控制列表的基本工作原理是：只能由内部网络始发的，外部网络的响应流量可以进入，由外部网络始发的流量如果没有明确的允许，是禁止进入的。这一特性对于确保网络安全、防止黑客入侵非常重要。