《网络设备配置与管理》项目七 网络安全管理.pptx

网络设备配置与管理主讲：摄图网时间：202X

项目一网络基础知识全书目录项目二使用交换机构建简单局域网项目三划分虚拟局域网（VLAN）项目四优化交换式网络项目五使用静态路由实现网络互联项目六使用动态路由实现网络互联项目七网络安全管理项目八构建无线局域网（WLAN）

网络安全管理07项目七

任务一使用ACL控制网络访问任务二使用NAT保护内网安全任务三使用防火墙保护内网安全任务导航

项目导读随着网络技术的发展和应用，各种网络设备、系统之间的数据交互日益频繁。这种高度的互联互通为企业和个人带来了前所未有的便利，但同时也伴随着巨大的安全隐患。因此，我们有必要采取一系列的安全措施来保护网络，确保其安全、稳定地运行。

项目导读本项目就来学习访问控制列表（ACL）、网络地址转换（NAT）和防火墙的基础知识及配置方法，以满足不同应用场景下的网络安全防护需求。

项目目标知识目标?了解ACL和NAT的分类。?了解ACL和NAT的工作原理。?理解防火墙的安全区域和安全策略。?了解防火墙的关键技术和部署模式。?（重点）掌握ACL、NAT和防火墙的基本配置命令。

项目目标技能目标?（重点）能够使用ACL限制用户对内网服务器的访问。?（重点）能够使用动态NAPT保护内网安全。?（重点）能够使用防火墙保护内网安全。素质目标?强化网络安全意识，提高网络安全防护能力。?培养良好的职业素养和严谨的工作作风。

项目导入（1）网络安全威胁有哪些常见类型？（2）什么是防火墙，它在网络安全中扮演什么角色？

任务一使用ACL控制网络访问

任务描述控制进出网络的数据是保护网络安全的重要方式之一。利用访问控制列表（ACL）可以对网络中的流量进行筛选，确保只有符合安全策略的数据才能通过。本任务首先带领大家熟悉ACL的基础知识，然后学习ACL的工作原理和基本配置命令，最后使用ACL限制用户对内网服务器的访问。

1．认识ACL一、ACL概述访问控制列表（accesscontrollist,ACL）是由一条或多条规则组成的集合。这里的规则实际上是包含“允许”或“拒绝”的条件语句，ACL通过这些条件语句进行报文匹配，以便网络设备对不同匹配结果的报文进行相应的处理。ACL广泛应用于路由器和三层交换机上，借助ACL，可以精确、灵活地控制用户对网络的访问，从而有效保障网络安全。

2．ACL的分类一、ACL概述ACL根据功能基本ACL高级ACL二层ACL用户ACL应用最为广泛

2．ACL的分类一、ACL概述分类规则定义描述编号范围基本ACL只能针对报文的源IP地址、分片标记和时间段信息来定义规则2000～2999高级ACL可以针对报文的源IP地址、目的IP地址、IP优先级、协议类型、源端口、目的端口等来定义规则3000～3999

小贴士对于其他类型的ACL，本书不做讲解，感兴趣的读者可参考其他资料自行了解。

ACL实质上是一系列包含先后逻辑顺序的规则语句，配置了ACL的网络设备的报文匹配过程如图所示。（1）当报文到达网络设备端口时，网络设备会分析第一条规则，并判断报文是否可以匹配该规则，若匹配规则，则根据规则设置的动作处理报文：设置的动作为“允许”，则转发报文；设置的动作为“拒绝”，则丢弃报文。二、ACL工作原理报文匹配过程

（2）若报文不匹配规则，则判断ACL中是否还有剩余规则。若还存在规则，则继续分析规则并判断报文是否匹配规则；若不存在规则，表示ACL中不存在可以处理当前报文的规则，根据默认动作直接转发报文。二、ACL工作原理报文匹配过程

小贴士实际应用中，ACL总是和其他技术结合使用。需要注意的是，根据ACL的不同业务场景，其处理数据的默认动作不同。例如，本项目将ACL应用在报文过滤中，其默认动作为“允许”。

ACL在进行报文匹配时，需要注意以下几点。二、ACL工作原理（1）按照规则ID从小到大匹配。ACL中的规则通过规则ID标识。规则ID可以由用户进行配置，也可以由系统根据步长自动生成。一个ACL中可以包含多条规则，所有规则按照规则ID从小到大排序。大小

ACL在进行报文匹配时，需要注意以下几点。二、ACL工作原理（1）按照规则ID从小到大匹配。系统自动生成的规则ID之间会留下一定的间隔。如果不指定规则ID，则具体间隔大小由“ACL的步长”来设定。例如，步长为5时，ACL中的规则ID是按照5、10、15……来分配的。这样，用户就可以根据规则ID方便地把新规则插入ACL中。

（2）合理安排规则的顺序。在报文匹配过程中，一旦遇到相匹配的规则，就按照其指定的处理方式进行报文处理，后面的规则会被忽略。因此，在设计ACL时，要合理安排规则的顺序。二、ACL工作原理

（3）ACL应用的位置。基本ACL针对源IP地址定义