路由器安全管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IN|OUT 表示对流入海是流出路由器的数据包进行检查
标准IP访问控制列表配置实例1
标准IP访问控制列表配置
Ra#conf t Ra(config)#access-list 1 permit host 210.31.10.20 Ra(config)#access-list 1 deny any Ra(config)#interface ethernet0 Ra(config-if)#ip access-group 1 in
例如:210.31.10.0 0.0.0.255 表示前三位域必须是210.31.10,最后一 个位域什么值都可以(1~255)
4.2 访问控制——ACL
2.IP访问控制组语句(首先进入路由器的某个接口)
IP ACCESS-GROUP access-list-number {IN|OUT} access-list-number 列表号码,范围1~99之间
4.2 访问控制列表——ACL
4.2.1 访问控制列表概述
1.访问控制列表
• 访问控制列表是控制流入、流出路由器数据包的一种方法。 它通过在数据流入或流出路由器时进行检查、过滤达到流 量管理的目的,而且在很大程度上起到保护网络设备和服 务器的关键作用。
• 是一个有序的语句集合,它通过匹配报文信息与访问列表 参数来允许报文或拒接报文通过某个接口。
1~99 100~199 200~299 300~399 400~499 500~599 600~699 700~799 800~899 900~999 1000~1099 1100~1199 1200~1299
范围
标准IP协议:1300~1999(IOS v12.0 and later) 扩展IP协议:2000~2699(IOS v12.0 and later)
4.2 访问控制——ACL
4.2.4 命名访问控制列表
1.标准命名访问控制列表
ip access-list standard aclname ip access-group aclname [in|out]
2.扩展命名访问控制列表
ip access-list extended aclname ip access-group aclname [in|out]
第7章 路由器安全管理
4.1 Telnet会话管理
4.1.1 呼出Telnet会话管理
图4-1 远程登录
使用主机名直接远程登录
当登陆到目标主机后,可使用以下命令断开当 前Telnet回话:
exit,回到本地设备;
不退出当前回话连接而暂时回到原设备: Ctrl+Shift+6+x;
显示呼出Telnet会话
标准IP访问控制列表配置实例2
Ra#conf t Ra(config)#access-list 1 permit host 210.31.10.0 0.0.0.255 Ra(config)#access-list 1 deny any Ra(config)#interface serial 0 Ra(config-if)#ip access-group 1 out
IP访问控制列表:
• 标准IP访问控制列表:仅依据IP数据包的源地 址决定是否过滤数据包;
• 扩展IP访问控制列表:不但可以检查源地址、 目标地址,而且可以检查源和目标的端口号等 字段。
4.2 访问控制——ACL
4.2.2 标准ACL配置方法
1.标准IP访问控制列表语句
ACCESS-LIST access-list-number {DENY|PERMIT|REMARK} {SOURCE [source-wildcard]|ANY}
断开呼出Telnet会话
disconnect命令
此断开回话是从本地断开到目标本机的telnet回话。
同时发起多个Telnet会话
返回某次Telnet会话过程
断开指定Telnet连接
4.1 Telnet会话管理
4.1.2 呼入Telnet会话管理
采用相对线号断开远程Telnet连接
用绝对线号断开远程Telnet连接
access-list-number 列表号码,范围1~99之间
DENY|PERMIT 指出该访问控制列表是允许还是拒绝数据包
SOURCE [source-wildcard]|ANY 主机或网络的源地址,或者是任何主机
注意:要匹配某个主机则需要输入该主机的IP地址;若要匹配某个网络, 则需要输入网络号,后面跟上通配符掩码。通配符掩码为“1”,表示 IP地址的对应位可以是1也可以是0,若通配符掩码为“0”,则表示IP 地址对应位必须被精确匹配。
4.2 访问控制——ACL
4.2.3 扩展ACL配置方法
1.扩展IP访问控制列表语句
ACCESS-LIST access-list-number {DENY|PERMIT|REMARK} protocol source source-wildcard destination destination-wildcard option
2.配置访问控制列表步骤:
Step1:定义允许或禁止报文的描述语句(访问列表); Step2:将访问列表应用到路由器的具体接口(应用访问组)。
表4-1 通过编号指定的访问列表所支持的协议
协议 标准IP协议 扩展IP协议 Ethernet类型码 DELeabharlann Baidunet XNS 扩展XNS AppleTalk Ethernet地址 IPX 扩展IPX IPX SAP MAC IPX汇总地址
access-list-number 列表号码,范围100~199之间
Protocol 指明要匹配使用的协议
2.IP访问控制组语句
IP ACCESS-GROUP access-list-number {IN|OUT}
扩展IP访问控制列表配置实例
需要注意的问题
在访问控制列表中除了可以用eq关键字指出单一的端口号外, 也可以规定端口号范围。 例如:gt 1024表示端口号大于1024;用lt 1024表示端口号小 于1024;range 100 200则表示端口号介于100和200之间。 在每个访问控制列表的底端都可以有一个默认的DENY ANY。 所以,建议在每个访问控制列表的最后一条语句明确地指出对 其余通信量的出来方式。
标准IP访问控制列表配置实例1
标准IP访问控制列表配置
Ra#conf t Ra(config)#access-list 1 permit host 210.31.10.20 Ra(config)#access-list 1 deny any Ra(config)#interface ethernet0 Ra(config-if)#ip access-group 1 in
例如:210.31.10.0 0.0.0.255 表示前三位域必须是210.31.10,最后一 个位域什么值都可以(1~255)
4.2 访问控制——ACL
2.IP访问控制组语句(首先进入路由器的某个接口)
IP ACCESS-GROUP access-list-number {IN|OUT} access-list-number 列表号码,范围1~99之间
4.2 访问控制列表——ACL
4.2.1 访问控制列表概述
1.访问控制列表
• 访问控制列表是控制流入、流出路由器数据包的一种方法。 它通过在数据流入或流出路由器时进行检查、过滤达到流 量管理的目的,而且在很大程度上起到保护网络设备和服 务器的关键作用。
• 是一个有序的语句集合,它通过匹配报文信息与访问列表 参数来允许报文或拒接报文通过某个接口。
1~99 100~199 200~299 300~399 400~499 500~599 600~699 700~799 800~899 900~999 1000~1099 1100~1199 1200~1299
范围
标准IP协议:1300~1999(IOS v12.0 and later) 扩展IP协议:2000~2699(IOS v12.0 and later)
4.2 访问控制——ACL
4.2.4 命名访问控制列表
1.标准命名访问控制列表
ip access-list standard aclname ip access-group aclname [in|out]
2.扩展命名访问控制列表
ip access-list extended aclname ip access-group aclname [in|out]
第7章 路由器安全管理
4.1 Telnet会话管理
4.1.1 呼出Telnet会话管理
图4-1 远程登录
使用主机名直接远程登录
当登陆到目标主机后,可使用以下命令断开当 前Telnet回话:
exit,回到本地设备;
不退出当前回话连接而暂时回到原设备: Ctrl+Shift+6+x;
显示呼出Telnet会话
标准IP访问控制列表配置实例2
Ra#conf t Ra(config)#access-list 1 permit host 210.31.10.0 0.0.0.255 Ra(config)#access-list 1 deny any Ra(config)#interface serial 0 Ra(config-if)#ip access-group 1 out
IP访问控制列表:
• 标准IP访问控制列表:仅依据IP数据包的源地 址决定是否过滤数据包;
• 扩展IP访问控制列表:不但可以检查源地址、 目标地址,而且可以检查源和目标的端口号等 字段。
4.2 访问控制——ACL
4.2.2 标准ACL配置方法
1.标准IP访问控制列表语句
ACCESS-LIST access-list-number {DENY|PERMIT|REMARK} {SOURCE [source-wildcard]|ANY}
断开呼出Telnet会话
disconnect命令
此断开回话是从本地断开到目标本机的telnet回话。
同时发起多个Telnet会话
返回某次Telnet会话过程
断开指定Telnet连接
4.1 Telnet会话管理
4.1.2 呼入Telnet会话管理
采用相对线号断开远程Telnet连接
用绝对线号断开远程Telnet连接
access-list-number 列表号码,范围1~99之间
DENY|PERMIT 指出该访问控制列表是允许还是拒绝数据包
SOURCE [source-wildcard]|ANY 主机或网络的源地址,或者是任何主机
注意:要匹配某个主机则需要输入该主机的IP地址;若要匹配某个网络, 则需要输入网络号,后面跟上通配符掩码。通配符掩码为“1”,表示 IP地址的对应位可以是1也可以是0,若通配符掩码为“0”,则表示IP 地址对应位必须被精确匹配。
4.2 访问控制——ACL
4.2.3 扩展ACL配置方法
1.扩展IP访问控制列表语句
ACCESS-LIST access-list-number {DENY|PERMIT|REMARK} protocol source source-wildcard destination destination-wildcard option
2.配置访问控制列表步骤:
Step1:定义允许或禁止报文的描述语句(访问列表); Step2:将访问列表应用到路由器的具体接口(应用访问组)。
表4-1 通过编号指定的访问列表所支持的协议
协议 标准IP协议 扩展IP协议 Ethernet类型码 DELeabharlann Baidunet XNS 扩展XNS AppleTalk Ethernet地址 IPX 扩展IPX IPX SAP MAC IPX汇总地址
access-list-number 列表号码,范围100~199之间
Protocol 指明要匹配使用的协议
2.IP访问控制组语句
IP ACCESS-GROUP access-list-number {IN|OUT}
扩展IP访问控制列表配置实例
需要注意的问题
在访问控制列表中除了可以用eq关键字指出单一的端口号外, 也可以规定端口号范围。 例如:gt 1024表示端口号大于1024;用lt 1024表示端口号小 于1024;range 100 200则表示端口号介于100和200之间。 在每个访问控制列表的底端都可以有一个默认的DENY ANY。 所以,建议在每个访问控制列表的最后一条语句明确地指出对 其余通信量的出来方式。