任务11用访问控制列表(ACL)限制计算机访问.ppt

任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（1）,访问控制列表（Access List,ACL）是Cisco IOS所提供的一种访问控制技术，是应用到路由器接口的一组指令列表，路由器根据这些指令列表来决定是接收数据包还是拒绝数据包。,ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对数据包进行过滤，从而达到访问控制的目的。,ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，还需要和系统级以及应用级的访问权限控制结合使用。,任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（2）,1、了解访问控制列表（ACL）的分类,标准访问控制列表利用源IP地址来做过滤决定，配置简单，但应用场合有限，不能够进行复杂条件的过滤；而扩展访问控制列表则可以利用多个条件来做过滤：源IP地址、目标IP地址、网络层的协议字段和传输层的端口号。,标准号码式访问控制列表的表号范围为199，而扩展号码式访问控制列表的表号范围为100199。,任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（3）,2、了解访问控制列表（ACL）设置规则,设置ACL的目的一方面是保护资源结点，阻止非法用户对资源结点的访问；另一方面是限制特定的用户结点所能具备的访问权限。,任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（4）,3、了解访问控制列表中的协议,从图中可以看出Telnet、FTP、SMTP协议依赖于TCP协议，而TCP协议又依赖于IP协议。,因此，如果我们在访问控制列表中只禁止FTP报文通过路由器，那么，其他的报文，如Telnet、SMTP的报文仍然可以通过路由器。,下面的扩展访问控制列表就是只禁止依赖于TCP协议的FTP报文通过路由器，其他报文都可以通过路由器。,如果没有后面的eq ftp，所有依赖于TCP协议的报文都不能通过路由器，那么Telnet、SMTP和FTP的报文也就都不能通过路由器。,任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（5）,4、理解访问控制列表中的端口号,端口分为硬件领域的端口和软件领域的端口。硬件领域的端口又称接口，如计算机的COM口、USB口、路由器的局域网口等；软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议接口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。,访问控制列表中的端口号指的是软件领域的端口编号。按端口号可分为3大类：,公认端口（WellKnown ports）。编号从0到1023，它们紧密绑定（binding）于一些服务，明确表明了某种服务的协议。例如：21端口总是FTP通讯，80端口总是HTTP通讯。注册端口（Registered ports）。编号从1024到49151，它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。以下是计算机端口的介绍以及防止被黑客攻击的简要办法。动态/私有端口（Dynamic and/or private ports）。从49152到65535。理论上，不应为服务分配这些端口。实际上，计算机通常从1024起分配动态端口。,任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（6）,一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行攻击，了解这些端口可以帮助网络管理员针对这些端口进行限制。,l8080端口 8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号。,l21端口 FTP服务，FTP服务器所开放的端口。用于上传、下载文件。,l23端口 Telnet远程登录服务。,l25端口 SMTP简单邮件传输服务。SMTP服务器所开放的端口，用于发送邮件。,l80端口 HTTP服务，用于网页浏览。,l110端口 POP3服务，POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。,任务11：用访问控制列表（ACL）限制计算机访问 了解访问控制列表（7）,l119端口 NEWS新闻组传输协议端口，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。,l135端口 Location Service服务。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些Dos攻击直接针对这个端口。,l137、138、139端口 NETbIOS Name Service服务。,l161端口 SNMP服务,SNMP允许远程管理设备。所有配置和运行的信息都储存在数据库中，通过SNMP可获得这些信息。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（1）,号码式ACL分为标准号码式ACL和扩展号码式ACL两种。前者基于源地址过滤，后者可以基于源地址、目标地址、第三层协议和第四层端口进行复杂的组合过滤。,当网络管理员想要阻止来自某一网络的所有通信流量，或者允许某一特定网络的所有流量通过某个路由器的出口时可以使用标准号码式ACL。,由于标准号码式ACL只基于源地址来过滤数据包，所以一些复杂的过滤要求就不能实现，这时就需要使用扩展号码式ACL来进行过滤。,1、配置标准号码式ACL 限制计算机访问,（1）了解标准号码式ACL的设置命令,标准号码式ACL的配置是使用全局配置命令access-list来定义访问控制列表。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（2）,可以在全局配置模式下通过执行access-list命令前面加no的形式，来移去一个已经遍历的标准ACL。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（3）,为了说明对通配符掩码的操作，假设企业拥有一个C类网络192.168.1.0。如果不使用子网，当配置网络中的工作站时，使用的子网掩码为255.255.255.0。在这种情况下，TCP/IP协议栈只匹配报文中的网络地址，而不匹配主机地址。而标准访问列表中，如果是192.168.1.0 0.0.0.255，则表示匹配源网络地址中的所有报文。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（4）,（2）了解在路由器接口上应用标准号码式ACL的命令,将一个访问控制列表应用于接口分为三步：首先要定义一个访问控制列表，然后指定应用的接口，最后用ip access-group命令定义数据流的方向。,要将访问列表1应用于快速以太网接口0/1的出口方向需要使用如下命令定义接口：,要将访问列表50应用于串行接口0/1的入口方向需要使用如下命令定义接口：,在接口上应用访问列表时需要指定方向，用ip access-group命令来定义。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（5）,（2）了解在路由器接口上应用标准号码式ACL的命令,如果是在VTY线路上使用访问控制列表则使用access-class list-numberin|out格式的命令。而不是使用ip access-group命令。,例如，只允许指定的计算机telnet登录到路由器，可以用以下方式：,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（6）,（3）配置标准号码式ACL并应用于路由器端口,企业的财务部、销售部和其他部门分属于三个不同的网段，部门之间的数据通过路由器，企业规定只有销售部可以访问财务部，其他部门的计算机不允许访问财务部。网络管理员分配财务部地址192.168.2.0/24，网络接入路由器的F0/0接口；销售部地址192.168.1.0/24，销售部网络接入路由器的F0/1接口；其他部门地址为192.168.3.0/24，网络接入路由器的F1/0接口。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（7）,2、配置扩展号码式ACL限制计算机访问,标准号码式ACL只是利用报文字段中源地址进行过滤，而扩展号码式ACL则可以根据源和目的地址、协议、源和目的的端口号以及一些选项来进行过滤，提供了更广阔的控制范围，应用也更为广泛。,（1）了解扩展号码式ACL的设置命令,扩展号码式ACL中的参数有些和标准号码式ACL中的参数一样。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（8）,eq、gt、lt、neq、range等操作符的意思解释如表所示。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（9）,（2）配置扩展号码式ACL并应用于路由器端口,某企业销售部网络地址192.168.1.0/24，连接于路由器的F0/0口；研发部网络地址192.168.2.0/24，连接于路由器的F0/1口；服务器群地址为192.168.3.0/24，连接于路由器的F1/0口。销售部禁止访问FTP服务器，允许其他访问。,注意扩展号码式ACL尽量应用在离源地址近的接口上。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（10）,（3）按要求完成扩展号码式ACL配置,路由器r1、r2、r3按下图连接，r1的局域网口E1/0、E1/1、E1/2和E1/3分别连接A、B、C和D四台计算机，地址分配如图中所示，所有路由器运行RIP协议。网络已经可以互联互通。以下的几个要求都是基于这个网络环境，我们根据不同要求来配置扩展号码式访问控制列表。,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（11）,任务11：用访问控制列表（ACL）限制计算机访问 配置号码式访问控制列表（ACL）限制计算机访问（12）,任务11：用访问控制列表（ACL）限制计算机访问 配置命名式访问控制列表（ACL）限制计算机访问（1）,号码式ACL不能从列表中删除某一条控制条目，删除一条相当于去除整个访问控制列表。而命名式访问控制列表可以删除某一特定的条目，有助于网络管理员修改ACL。,命名式访问控制列表分为标准命名式访问控制列表和扩展命名式访问控制列表。,命名式访问控制列表是在标准ACL和扩展ACL中，使用一个名称来代替列表号。这个名称是字母和数字的组合字符串。这个字符串可以用一个有意义的名字来帮助网络管理员记忆所设置的访问控制列表的用途。,1、配置标准命名式ACL限制计算机访问,命名式访问控制列表分为标准命名式访问控制列表和扩展命名式访问控制列表。,List-name是标准命名式访问控制列表的表名，可以是199的数字或是字母和数字的任意组合。,任务11：用访问控制列表（ACL）限制计算机访问 配置命名式访问控制列表（ACL）限制计算机访问（2）,还是拿前面标准号码式的例子来做对比，标准号码式配置如下：,而如果采用标准命名式，配置就变为如下：,列表号20被名称denyqtbm代替了。,任务11：用访问控制列表（ACL）限制计算机访问 配置命名式访问控制列表（ACL）限制计算机访问（3）,2、配置扩展命名式ACL限制计算机访问,list-name是扩展命名式访问控制列表的表名，可以是100199的数字，也可以是字母和数字的任意组合。,扩展命名式访问控制列表分两步来定义：,下面将扩展命名式访问控制列表的配置与扩展号码式做一个比较。还是利用前面的例子，扩展号码式配置如下：,而采用扩展命名式访问控制列表，利用名称denyftp来代替列表号101，配置变成如下：,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（1）,一、实训名称 用访问控制列表实现企业网中部分计算机访问互联网二、实训目的1、了解号码式访问控制列表和命名式访问控制列表。2、掌握标准号码式访问列表的配置方法。3、掌握访问控制列表的查看方法。三、实训内容 企业内部部门和部门之间的访问经常需要加以限制，如销售部经理可以访问财务部，而销售部其他成员不允许访问财务部；有些企业只允许部分计算机访问互联网；学校里教师办公室的计算机允许访问FTP服务器，而学生宿舍计算机不允许访问FTP服务器。学生可以根据自己的实训条件模拟各种情况。本实训就是模拟一个企业的部分计算机可以访问互联网的情境。,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（2）,四、实训环境1、用两台CISCO2621路由器、一台二层交换机和两台计算机按如图所示的方式连接，组成实验环境。其中，一台路由器模拟互联网环境，打开一个环回接口loopback 0，供计算机访问；另一台路由器作为企业网络的接入路由器。2、交换机上有没有划分VLAN，如果有划分，删除划分的VLAN。3、配置路由器主机名、接口和路由表，配置计算机的IP地址、网关等，在两台计算机上可以ping通ISP路由器的loopback 0口。4、RouterB上配置访问列表,禁止PC1访问RouterA上的loopback 0口(模拟互联网),而允许192.168.1.0/24网络上的其他计算机访问RouterA上的loopback 0口。,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（3）,五、实训要求分析和设备准备,1、分析实训要求。2、要完成这个实训任务，就需要首先找到满足实训要求的路由器2台，每个路由器至少要有一个广域网接口，需要准备一根公头的连接广域网口的电缆，和一根母头的连接广域网口的电缆，把两个路由器连接起来。3、需要一台没有划分VLAN的交换机。由于学校实训室的交换机经常被使用的学生划分VLAN,可能导致实训无法完成，所以，学生要注意查看有没有划分VLAN。4、至少需要两台计算机。因为要实现部分计算机能访问互联网，其他计算机不能访问互联网。5、要根据实验环境考虑使用直通双绞线还是交叉双绞线、需要几根。6、需要预先规划好每个网络的IP地址。以表格的形式填写路由器每个接口需要配置的信息，并对照要求检查配置是否完整。分析工作要有一个组织者，要统一大家的意见。这个组织者最终也是这个实训任务的决策、计划、实施、检查的组织者和调度者。,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（4）,六、决策和计划,1、准备网络拓扑图。,2、规划IP地址。必须在规划好IP地址后能够完成后续的工作。,3、准备各种表格。这一点是很重要的，因为没有预先准备好各种表格，大家就无法协同完成任务。,4、进行任务分配。谁来完成线缆的准备、谁来完成设备的连接、谁来完成设备的配置。,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（5）,七、实施与检查步骤,1、路由器A的参考配置（模拟互联网）,2、路由器B的参考配置,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（6）,3、配置访问列表,这里定义了一个标准号码式访问控制列表，表号50，这个访问列表被应用于快速以太网口F0/0，并指定了数据流进入的访问为in。该访问控制列表禁止主机192.168.1.1的IP数据包进入路由器的F0/0端口，而允许网络192.168.1.0/24内的其他主机的IP数据包流入。,可以用如下命令查看某个指定的访问控制列表。Show access-list list-number|list-name,也可以用Show access-list命令查看所有的访问控制列表。如果只想显示IP的访问控制列表，也可以用show ip access-list命令。,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（7）,4、验证访问控制列表,此时，从PC1(IP地址为192.168.1.1)上已经不能ping通ISP路由器的loopback 0口，而PC2（IP地址为192.168.1.2）可以ping通ISP路由器的loopback 0口。说明访问控制列表已经生效。,到这里，我们的任务就已经完成了。下面开始我们来进行一些探究性的研究，有助于我们更好地掌握访问控制列表知识。,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（8）,5、删除访问列表，看看从PC1上能不能ping通ISP路由器的loopback 0口?应该是可以ping通的。RouterB(config)#no access-list 50执行上述命令后，50号访问控制列表就被去除了。,6、如果在路由器B上再做如下配置，又重新加上了50号访问控制列表，只是这次50号访问控制列表中只有一条语句。这样配置后，PC1和PC2都不能ping通200.200.2.1，因为在访问列表中没有peimit语句,而在访问控制列表的最后隐含了deny语句。也就是说，访问控制列表拒绝了所有的IP数据包，不仅仅是拒绝PC1的访问。RouterB(config,7、再加上以下配置，PC1不能ping通200.200.2.1，而PC2能ping通200.200.2.1。想想为什么。RouterB(config,8、此时如果执行以下配置，PC1和PC2又都能ping通200.200.2.1，想想为什么。RouterB(config,任务11：用访问控制列表（ACL）限制计算机访问 访问控制列表（ACL）配置实训（9）,9、此时如果执行以下配置，PC1和PC2也还是都能ping通200.200.2.1，想想为什么。RouterB(configRouterB(configRouterB(config)#interface f0/0RouterB(config-if)#ip access-group 50 in,在具体的操作过程中，可能会遇到各种各样的问题。我们可以根据所出现的具体问题用相应的命令来检查。常用的命令有：Show running-config，可以查看所有的配置信息，包括ACL信息。Show ip interface,通过这条命令可以查看到应用了ACL的接口。Show ip interface interface-number，可以查看具体接口的ACL信息。,大家还可以使用命名式访问控制列表来重新完成上面的任务，会发现命名式访问控制列表可以删除一个列表中的某一条语句。而不像号码式控制列表那样，删除一条就删除了整个访问控制列表。,谢谢！,