安全策略與數(shù)據(jù)流量過濾,1.教學目標掌握網(wǎng)絡(luò)安全策略布置原則，掌握IP標準及擴展訪問控制列表配置技能，能夠根據(jù)實際需求準確配置IP訪問控制列表，具體如下：（1）了解IP標準及擴展訪問控制列表的功能及用途（2）掌握IP標準訪問控制列表配置技能（3）掌握IP擴展訪問控制列表配置技能,2.工作任務(wù)根據(jù)客戶工作任務(wù)的具體要求，配置IP標準或擴展訪問控制列表，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控制。,模塊1IP標準訪問控制列表的建立及應(yīng)用,.教學目標了解IP標準訪問控制列表的功能及用途掌握路由器IP標準訪問控制列表配置技能掌握交換機IP標準訪問控制列表配置技能,2.工作任務(wù)你是學校網(wǎng)絡(luò)管理員，學校的財務(wù)處、教師辦公室和校辦企業(yè)財務(wù)科分屬不同的3個網(wǎng)段，三個部門之間通過路由器進行信息傳遞，為了安全起見，學校領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進行控制，實現(xiàn)校辦企業(yè)財務(wù)科的主機可以訪問財務(wù)處的主機，但是教師辦公室主機不能訪問財務(wù)處主機。,3.相關(guān)實踐知識首先對兩路由器進行基本配置，實現(xiàn)三個網(wǎng)段可以相互訪問；然后對距離控制目的地址較近的路由器RouterB配置IP標準訪問控制列表，允許192.168.1.0網(wǎng)段（校辦企業(yè)財務(wù)科）主機發(fā)出的數(shù)據(jù)包通過，不允許192.168.2.0網(wǎng)段（教師辦公室）主機發(fā)出的數(shù)據(jù)包通過，最后將這一策略加到路由器RouterB的Fa0端口，如圖12.1所示。,圖12.1路由器IP標準訪問控制列表,第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit,RouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置,第2步：在路由器RouterB上配置IP標準訪問控制列表RouterB(config)#access-list1deny192.168.2.00.0.0.255RouterB(config)#access-list1permit192.168.1.00.0.0.255驗證測試RouterB#showaccess-list1第3步：應(yīng)用在路由器RouterB的Fa0接口輸出方向上RouterB(config)#interfacefastethernet0RouterB(config-if)#ipaccess-group1out驗證測試RouterB#showipinterfacefastethernet0,4.相關(guān)理論知識ACL概述訪問控制列表（ACL）是在交換機或路由器上定義一些規(guī)則，對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定規(guī)則進行過濾。ACL分類（1）編號訪問控制列表：在路由器配置的訪問控制列表是由編號來命名的，包括IP標準訪問控制列表和IP擴展訪問控制列表。（2）命名訪問控制列表：在三層交換機配置的訪問控制列表是由字符串名字來命令的，包括IP標準訪問控制列表和IP擴展訪問控制列表。,編號標準訪問控制列表（1）標準訪問控制列表在路由器上建立的訪問控制列表，其編號取值范圍為199之間整數(shù)值，只根據(jù)源IP地址過濾流量。在標準或擴展訪問列表的末尾，總有一個隱含的Denyall。這意味著如果數(shù)據(jù)包源地址與任何允許語句不匹配，則隱含的Denyall將會禁止該數(shù)據(jù)包通過。（2）定義訪問控制列表R(config)#access-listaccess-listnumberpermit/denysourcesourcemask其中：access-listnumber：訪問列表序號,范圍是1-99；Permit/deny：允許/禁止?jié)M足條件的數(shù)據(jù)包通過；Source：過濾數(shù)據(jù)包的源IP地址；Sourcemask：通配屏蔽碼，1：不檢查位，0：必須匹配位。,【例12.3】定義訪問控制列表1拒絕特定主機192.168.10.1的流量，但允許其它的所有主機。R(config)#access-list1denyhost192.168.10.1R(config)#access-list1permitany（3）應(yīng)用訪問控制列表訪問控制列表需要應(yīng)用到路由器的一個接口上，應(yīng)用到一個接口上可選擇入棧（IN）或出棧（OUT）二個方向?！纠?2.5】將訪問控制列表1應(yīng)用到路由器的接口fastethernet0的入棧方向上。R#configureterminalR(config)#interfacefastethernet0R(config-if)#ipaccess-group1inR(config-if)#end,命名標準訪問控制列表在三層交換機上配置命名標準訪問控制列表，也是采用定義ACL、在接口上應(yīng)用ACL、查看ACL等步驟進行。第1步：進入Access-list配置模式，用名字來定義一條標準訪問控制列表。Switch(config)#ipaccess-liststandardnameSwitch(config-std-nacl)#第2步：定義訪問控制列表條件Switch(config-std-nacl)#denysourcesource-wildcard|hostsource|any或permitsourcesource-wildcard|hostsource|any。Switch(config-std-nacl)#exitSwitch(config)#,其中：permit允許通過；deny禁止通過；Source是要被過濾數(shù)據(jù)包的源IP地址；source-wildcard是通配屏蔽碼，指出該域中哪些位進行匹配，1表示允許這些位不同，0表示這些位必須匹配；Hostsource代表一臺源主機，其source-wildcard為0.0.0.0；any代表任意主機，即source為0.0.0.0，source-wildcard為255.255.255.255。第3步：應(yīng)用訪問控制列表Switch(config)#interfacevlann其中：n是指Vlann，以實現(xiàn)進入SVI模式Switch(config-if)#ipaccess-groupnamein|out其中：name為訪問控制列表名稱，in或out為控制接口流量方向。Switch(config-if)#,【例12.7】在交換機上配置訪問控制列表，實現(xiàn)只禁止192.168.2.0網(wǎng)段上主機發(fā)出的數(shù)據(jù)，而允許其它任意主機。Switch#configureterminalSwitch(config)#Switch(config)#ipaccess-liststandarddeny_2.0Switch(config-std-nacl)#deny192.168.2.00.0.0.255Switch(config-std-nacl)#permitanySwitch(config-std-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_2.0inSwitch(config-if)#endSwitch#showaccess-lists,模塊2IP擴展訪問控制列表的建立及應(yīng)用,.教學目標了解IP擴展訪問控制列表功能及用途掌握路由器IP擴展訪問控制列表配置技能掌握交換機IP擴展訪問控制列表配置技能,2.工作任務(wù)你是學校網(wǎng)絡(luò)管理員，學校的網(wǎng)管中心分別架設(shè)FTP、Web服務(wù)器，其中FTP服務(wù)器供教師專用，學生不可使用；Web服務(wù)器教師和學生都可訪問。FTP及Web服務(wù)器、教師辦公室和學生宿舍分屬不同的3個網(wǎng)段，三個網(wǎng)段之間通過路由器進行信息傳遞，要求你對路由器進行適當設(shè)置實現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。,3.相關(guān)實踐知識首先對兩路由器進行基本配置，實現(xiàn)三個網(wǎng)段相互訪問；然后對離控制源地址較近的路由器RouterA配置IP擴展訪問控制列表，不允許192.168.1.0網(wǎng)段（學生宿舍）主機發(fā)出的去192.168.3.0網(wǎng)段的FTP數(shù)據(jù)包通過，允許192.168.1.0網(wǎng)段主機發(fā)出的其它服務(wù)數(shù)據(jù)包通過，最后將這一策略加到路由器RouterA的Fa0端口，如圖12.4所示。,圖12.4路由器IP擴展訪問控制列表,第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit,RouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置,第2步：在路由器RouterA上配置IP擴展訪問控制列表拒絕來自192.168.1.0網(wǎng)段去192.168.3.0網(wǎng)段的FTP流量通過RouterA(config)#access-list101denyTCP192.168.1.00.0.0.255192.168.3.00.0.0.255eqFTP允許其它服務(wù)的流量通過RouterA(config)#access-list101permitIPanyany驗證測試RouterA#showaccess-list101第3步：把訪問控制列表應(yīng)用在路由器RouterA的Fa0接口輸入方向上。RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaccess-group101in,4.相關(guān)理論知識編號擴展訪問控制列表擴展編號訪問控制列表同標準編號訪問控制列表一樣也是在路由器上創(chuàng)建的，其編號范圍為100到199之間。擴展IP訪問控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。配置編號擴展訪問控制列表R(config)#access-listlistnumberpermit|denyprotocolsourcesource-wildcard-maskdestinationdestination-wildcard-maskoperatoroperand,其中：Listnumber：規(guī)則序號，范圍為100-199。Permit/deny：允許/或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過。protocol：0-255之間協(xié)議號，也可用協(xié)議名（如IP、TCP和UDP。operatoroperand：用于指定端口范圍，缺省為全部端口號0-65535，只有TCP和UDP協(xié)議需要指定端口范圍。【例12.8】在路由器R上配置訪問控制列表，實現(xiàn)只允許從129.8.0.0網(wǎng)段的主機向202.39.160.0網(wǎng)段的主機發(fā)送WWW報文，禁止其它報文通過。R(config)#Access-list100permittcp129.8.0.00.0.255.255202.39.160.00.0.0.255eqwwwR(config)#interfacefastethernet0R(config-if)#ipaccess-group100inR#showaccess-lists,命名擴展訪問控制列表第1步：用名字來定義一個命名擴展訪問控制表，并進入擴展訪問控制列表配置模式Switch(config)#ipaccess-listextendednamewitch(config-ext-nacl)#第2步：定義訪問控制列表條件Switch(config-ext-nacl)#deny|permitprotocolsourcesource-wildcard|hostsource|anyoperatorportdestinationdestination-wildcard|hostdestination|anyoperatorport。Switch(config-ext-nacl)#exitSwitch(config)#,其中：Deny：禁止通過；Permit：允許通過；Protocol：協(xié)議類型。TCP：tcp；UDP：udp；IP：ip；Source：源IP地址；source-wildcard：源IP地址通配符；Hostsource：源主機，其source-wildcard為0.0.0.0；hostdestination：目標主機，其destination-wildcard為0.0.0.0；Any：任意主機，即source或destination為0.0.0.0，source-wildcard或destination-wildcard為255.255.255.255；Operator：操作符，只能為eq。Port：TCP或UDP的端口號，范圍為0-65535。,【例12.9】在交換機上配置訪問控制列表，實現(xiàn)只允許192.168.2.0網(wǎng)段上主機訪問IP地址為172.16.1.100的Web服務(wù)器，而禁止其它任意主機使用。Switch(config)#ipaccess-listextendedallow_2.0Switch(config-ext-nacl)#permittcp192.168.2.00.0.0.255host172.16.1.100eqwwwSwitch(config-ext-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupallow_2.0inSwitch(config-if)#end,模塊3基于時間的訪問列表建立與應(yīng)用,.教學目標了解基于時間訪問控制列表的功能及用途掌握路由器基本時間訪問控制列表配置技能,2.工作任務(wù)你是某公司的網(wǎng)管，為了保證公司上班時間的工作效率，公司要求上班時間只可以訪問公司的內(nèi)部網(wǎng)站。下班后員工可以隨意放松，訪問網(wǎng)絡(luò)不受限制。,3.相關(guān)實踐知識在路由器上進行基本配置，然后設(shè)置基于時間的訪問控制列表，把這個訪問控制列表應(yīng)用于路由器的Fa0接口，如圖12.5所示。,圖12.5基于時間的訪問控制列表,第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdown,RouterA(config-if)#ExitRouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#Exit第2步：配置路由器的時鐘RouterA#showclockClock:1987-1-165:19:9重新設(shè)置路由器當前時鐘和實際時鐘同步RouterA(config)#clockset16:03:4027april2006-4-27RouterA#showclockClock:2006-4-2716:04-9,第3步：定義時間段RouterA(config)#time-rangefreetime定義絕對時間段RouterA(config-time-range)#absolutestart8:001jan2006end18:0030dec2010定義周期性時間段RouterA(config-time-range)#periodicdaily0:00to9:00RouterA(config-time-range)#periodicdaily17:00to23:59RouterA#showtime-rangeTime-rangeentry:freetime(inactive)Absolutestart8:0001january2006end18:0030december2010Periodicdaily0:00to9:00Periodicdaily17:00to23:59,第4步：定義訪問控制列表任務(wù)時間允許訪問服務(wù)器192.168.2.10RouterA(config)#access-list102permitipanyhost192.168.2.10允許在規(guī)定時間段內(nèi)訪問任何網(wǎng)絡(luò)RouterA(config)#access-list102permitipanyanytime-rangefreetime查看訪問控制列表配置RouterA#showaccess-lists第5步：訪問控制列表應(yīng)用在路由器RouterAFa0接口輸入方向上RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaccess-group102in查看Fa0接口上應(yīng)用的規(guī)則RouterA#showipinterfacefastethernet0,4.相關(guān)理論知識基于時間的訪問列表基于時間的ACL功能使管理員可以依據(jù)時間來控制用戶對網(wǎng)絡(luò)資源的訪問，即可以根據(jù)時間來禁止/允許用戶訪問網(wǎng)絡(luò)資源。創(chuàng)建并定義Time-range接口Router(config)#time-rangetime-range-nameRouter(config-time-range)#absolutestarttimedateendtimedateand/orperiodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mm其中：time-range-name為定義的接口名,關(guān)聯(lián)Time-range接口與ACL只允許擴展訪問控制列表ACL關(guān)聯(lián)Time-range接口。創(chuàng)建并定義Time-range接口Router(config)#access-listnumberdeny|permitprotocolsourcesrc-wildcarddestinationdesti-wildcardtime-rangetime-range-name,項目結(jié)束,