交换机端口安全及认证
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• IP ACL执行如下基本准则,执行顺序如下图所示:
– – – – 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝……” 一切未被允许的就是禁止的。
• 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省 封锁所有的信息流,然后对希望提供的服务逐项开放。
– 按规则链来进行匹配
18
5.2.3 ACL配置
•
–
命名ACL配置
命名的标准访问列表
命令格式为: ①定义命名的标准访问列表: ip access-list standard { name} deny {source source-wildcard|host source|any} orpermit {source source-wildcard|host source|any} ②应用ACL到接口 Router(config-if)#ip access-group {name} { in | out }
6
访问列表的入栈应用
查找路由表 进行选路转发
是否应用 访问列表 ?
Y
N
是否允许 Y ?
N
以ICMP信息通知源发送方
7
访问列表的出栈应用
Y 路由表中是 否存在记录
选择出口 S0 查看访问列表 的陈述
S0
S0 是否应用 N 访问列表 ?
Y
?
N
是否允许 ?
N
Y
以ICMP信息通知源发送方
ACL的工作原理
100-199 号列表
反掩码(通配符)
128 64 32 16 8 4 2 1
0 0 0 1 0 0 0 1 0 1 0 1 0 1 0 1 0 1 1 1 0 1 1 1 0 1 1 1 0 1 1 1
0表示检查相应的地址比特 1表示不检查相应的地址比特
IP标准访问列表的配置
1.定义标准ACL
• 使用源地址、目的地址、源端口、目的端口、协议、时间段进行 匹配
– 按规则链来进行匹配
• 使用源地址、目的地址、源端口、目的端口、协议、时间段进行 匹配
9
一个访问列表多条过滤规则
是否匹配 测试条件1 ?
Y
Yห้องสมุดไป่ตู้
N 拒绝 Y 拒绝
是否匹配 测试条件2
允许 Y 允许 允许 通过
?
N
是否匹配 最后一个 测试条件
5
访问列表规则的应用
• 路由器(或交换机)应用访问列表对流经接口的数据包进行控制
– 1.入栈应用(in)
• 经某接口进入设备内部的数据包进行安全规则过滤 – 2.出栈应用(out)
• 设备从某接口向外发送数据时进行安全规则过滤
• 一个接口在一个方向只能应用一组访问控制列表
IN
F1/0
OUT
F1/1
– 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
2.应用ACL到接口
– Router(config-if)#ip access-group <1-99> { in | out }
第5章 交换机端口安全及认证
• 5.1 交换机端口安全及配置 • 5.2 在三层交换机上配置访问控制列表ACL • 5.3 交换机端口安全认证简介
1
5.2 在三层交换机上配置访问 控制列表ACL
• 5.2.1 ACL概述 • 5.2.2 ACL的类型 • 5.2.3 ACL配置
2
什么是访问列表
• Access Control List:访问列表或访问控制 列表,简称 ACL
拒绝
Y 允许
?
N
被系统隐 含拒绝
10
5.2.2 ACL的类型
• 分类:
– 1、IP标准访问控制列表(Standard IP ACL) – 2、IP扩展访问控制列表(Extended IP ACL)
• 动作:
– 允许(Permit) – 拒绝(Deny)
• 应用方法:
– 入栈(Out) – 出栈(In)
11
访问列表规则的定义
• 标准访问列表
– 根据数据包源IP地址进行规则定义
• 扩展访问列表
– 根据数据包中源IP、目的IP、源端口、目的端 口、协议进行规则定义
12
IP标准访问列表
eg.HDLC IP TCP/UDP 数据
源地址
1-99 号列表
IP扩展访问列表
eg.HDLC IP TCP/UDP 端口号 协议 源地址 目的地址 数据
2.应用ACL到接口
– Router(config-if)#ip access-group <100199> { in | out }
基于名称的访问控制列表
• ip access-list [standard|extended] [ACL名称] 其中standard为标准命名ACL,extended为扩 展命名ACL • deny | permit {source-net source-wildcard | host source-address | any} 标准命名ACL规则 • deny | permit protocol{source-net sourcewildcard | host source-address| any}[operator port] {destination-net destination-wildcard |host destination-address |any}[operator port] 扩展命 名ACL规则
– ACL就是对经过网络设备的数据包根据一定的 规则进行数据包的过滤
√
ISP
访问列表
• 访问控制列表的作用:
– 内网布署安全策略,保证内网安全权限的资源 访问 – 内网访问外网时,进行安全的数据过滤 – 防止常见病毒、木马、攻击对用户的破坏
4
访问列表的组成
• 定义访问列表的步骤
– 第一步,定义规则(哪些数据允许通过,哪些 数据不允许通过) – 第二步,将规则应用在路由器(或交换机)的 接口上
IP扩展访问列表的配置
1.定义扩展的ACL
– 编号的扩展ACL
• Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
– 命名的扩展ACL
• ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ]
– – – – 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝……” 一切未被允许的就是禁止的。
• 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省 封锁所有的信息流,然后对希望提供的服务逐项开放。
– 按规则链来进行匹配
18
5.2.3 ACL配置
•
–
命名ACL配置
命名的标准访问列表
命令格式为: ①定义命名的标准访问列表: ip access-list standard { name} deny {source source-wildcard|host source|any} orpermit {source source-wildcard|host source|any} ②应用ACL到接口 Router(config-if)#ip access-group {name} { in | out }
6
访问列表的入栈应用
查找路由表 进行选路转发
是否应用 访问列表 ?
Y
N
是否允许 Y ?
N
以ICMP信息通知源发送方
7
访问列表的出栈应用
Y 路由表中是 否存在记录
选择出口 S0 查看访问列表 的陈述
S0
S0 是否应用 N 访问列表 ?
Y
?
N
是否允许 ?
N
Y
以ICMP信息通知源发送方
ACL的工作原理
100-199 号列表
反掩码(通配符)
128 64 32 16 8 4 2 1
0 0 0 1 0 0 0 1 0 1 0 1 0 1 0 1 0 1 1 1 0 1 1 1 0 1 1 1 0 1 1 1
0表示检查相应的地址比特 1表示不检查相应的地址比特
IP标准访问列表的配置
1.定义标准ACL
• 使用源地址、目的地址、源端口、目的端口、协议、时间段进行 匹配
– 按规则链来进行匹配
• 使用源地址、目的地址、源端口、目的端口、协议、时间段进行 匹配
9
一个访问列表多条过滤规则
是否匹配 测试条件1 ?
Y
Yห้องสมุดไป่ตู้
N 拒绝 Y 拒绝
是否匹配 测试条件2
允许 Y 允许 允许 通过
?
N
是否匹配 最后一个 测试条件
5
访问列表规则的应用
• 路由器(或交换机)应用访问列表对流经接口的数据包进行控制
– 1.入栈应用(in)
• 经某接口进入设备内部的数据包进行安全规则过滤 – 2.出栈应用(out)
• 设备从某接口向外发送数据时进行安全规则过滤
• 一个接口在一个方向只能应用一组访问控制列表
IN
F1/0
OUT
F1/1
– 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
2.应用ACL到接口
– Router(config-if)#ip access-group <1-99> { in | out }
第5章 交换机端口安全及认证
• 5.1 交换机端口安全及配置 • 5.2 在三层交换机上配置访问控制列表ACL • 5.3 交换机端口安全认证简介
1
5.2 在三层交换机上配置访问 控制列表ACL
• 5.2.1 ACL概述 • 5.2.2 ACL的类型 • 5.2.3 ACL配置
2
什么是访问列表
• Access Control List:访问列表或访问控制 列表,简称 ACL
拒绝
Y 允许
?
N
被系统隐 含拒绝
10
5.2.2 ACL的类型
• 分类:
– 1、IP标准访问控制列表(Standard IP ACL) – 2、IP扩展访问控制列表(Extended IP ACL)
• 动作:
– 允许(Permit) – 拒绝(Deny)
• 应用方法:
– 入栈(Out) – 出栈(In)
11
访问列表规则的定义
• 标准访问列表
– 根据数据包源IP地址进行规则定义
• 扩展访问列表
– 根据数据包中源IP、目的IP、源端口、目的端 口、协议进行规则定义
12
IP标准访问列表
eg.HDLC IP TCP/UDP 数据
源地址
1-99 号列表
IP扩展访问列表
eg.HDLC IP TCP/UDP 端口号 协议 源地址 目的地址 数据
2.应用ACL到接口
– Router(config-if)#ip access-group <100199> { in | out }
基于名称的访问控制列表
• ip access-list [standard|extended] [ACL名称] 其中standard为标准命名ACL,extended为扩 展命名ACL • deny | permit {source-net source-wildcard | host source-address | any} 标准命名ACL规则 • deny | permit protocol{source-net sourcewildcard | host source-address| any}[operator port] {destination-net destination-wildcard |host destination-address |any}[operator port] 扩展命 名ACL规则
– ACL就是对经过网络设备的数据包根据一定的 规则进行数据包的过滤
√
ISP
访问列表
• 访问控制列表的作用:
– 内网布署安全策略,保证内网安全权限的资源 访问 – 内网访问外网时,进行安全的数据过滤 – 防止常见病毒、木马、攻击对用户的破坏
4
访问列表的组成
• 定义访问列表的步骤
– 第一步,定义规则(哪些数据允许通过,哪些 数据不允许通过) – 第二步,将规则应用在路由器(或交换机)的 接口上
IP扩展访问列表的配置
1.定义扩展的ACL
– 编号的扩展ACL
• Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
– 命名的扩展ACL
• ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ]