欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公

热门搜索:

上传我的资源
三一办公
上传我的资源
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • 首页
  • 专题
  • 专家
  • 资讯
    • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载
    		 

    项目十二安全策略与数据流量过滤.ppt

    • 资源ID:6034808       资源大小:853KB        全文页数:42页
    • 资源格式: PPT        下载积分:15金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    1、下载资料失败解决办法   
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
    客服网站客服投诉侵权投诉

    项目十二安全策略与数据流量过滤.ppt

    项目十二 安全策略与数据流量过滤,1.教学目标 掌握网络安全策略布置原则,掌握IP标准及扩展访问控制列表配置技能,能够根据实际需求准确配置IP访问控制列表,具体如下:(1)了解IP标准及扩展访问控制列表的功能及用途(2)掌握IP标准访问控制列表配置技能(3)掌握IP扩展访问控制列表配置技能,2.工作任务 根据客户工作任务的具体要求,配置IP标准或扩展访问控制列表,实现网络数据流量控制。,模块1 IP标准访问控制列表的建立及应用,.教学目标 了解IP标准访问控制列表的功能及用途 掌握路由器IP标准访问控制列表配置技能 掌握交换机IP标准访问控制列表配置技能,2.工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。,3.相关实践知识 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许网段(校办企业财务科)主机发出的数据包通过,不允许网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa 0端口,如图12.1所示。,图12.1路由器IP标准访问控制列表,第1步:基本配置路由器RouterA:R enableR#configure terminalR(config)#hostname RouterARouterA(config)#line vty 0 4 RouterA(config-line)#loginRouterA(config-line)#password 100RouterA(config-line)#exitRouterA(config)#enable password 100RouterA(config)#interface fastethernet 0RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#Exit,RouterA(config)#interface fastethernet 1RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#ExitRouterA(config)#interface fastethernet 2RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#ExitRouterA(config)#ip路由器RouterB同理配置,第2步:在路由器RouterB上配置IP标准访问控制列表RouterB(config)#accessRouterB(config)#access验证测试RouterB#show access-list 1第3步:应用在路由器RouterB的Fa 0接口输出方向上RouterB(config)#interface fastethernet 0RouterB(config-if)#ip access-group 1 out验证测试RouterB#show ip interface fastethernet 0,4.相关理论知识 ACL概述 访问控制列表(ACL)是在交换机或路由器上定义一些规则,对经过网络设备的数据包根据一定规则进行过滤。ACL分类(1)编号访问控制列表:在路由器配置的访问控制列表是由编号来命名的,包括IP标准访问控制列表和IP扩展访问控制列表。(2)命名访问控制列表:在三层交换机配置的访问控制列表是由字符串名字来命令的,包括IP标准访问控制列表和IP扩展访问控制列表。,编号标准访问控制列表(1)标准访问控制列表 在路由器上建立的访问控制列表,其编号取值范围为199之间整数值,只根据源IP地址过滤流量。在标准或扩展访问列表的末尾,总有一个隐含的Deny all。这意味着如果数据包源地址与任何允许语句不匹配,则隐含的Deny all将会禁止该数据包通过。(2)定义访问控制列表 R(config)#access-list access-list number permit/deny source source mask 其中:access-list number:访问列表序号,范围是1-99;Permit/deny:允许/禁止满足条件的数据包通过;Source:过滤数据包的源IP地址;Source mask:通配屏蔽码,1:不检查位,0:必须匹配位。,【例12.3】定义访问控制列表1拒绝特定主机的流量,但允许其它的所有主机。R(config)#accessR(config)#access-list 1 permit any(3)应用访问控制列表 访问控制列表需要应用到路由器的一个接口上,应用到一个接口上可选择入栈(IN)或出栈(OUT)二个方向。【例12.5】将访问控制列表1应用到路由器的接口fastethernet 0的入栈方向上。R#configure terminalR(config)#interface fastethernet 0R(config-if)#ip access-group 1 inR(config-if)#end,命名标准访问控制列表 在三层交换机上配置命名标准访问控制列表,也是采用定义ACL、在接口上应用ACL、查看ACL等步骤进行。第1步:进入Access-list配置模式,用名字来定义一条标准访问控制列表。Switch(config)#ip access-list standard name Switch(config-std-nacl)#第2步:定义访问控制列表条件Switch(config-std-nacl)#deny source source-wildcard|host source|any或permitsource source-wildcard|host source|any。Switch(config-std-nacl)#exitSwitch(config)#,其中:permit允许通过;deny禁止通过;Source 是要被过滤数据包的源IP地址;source-wildcard 是通配屏蔽码,指出该域中哪些位进行匹配,1表示允许这些位不同,0表示这些位必须匹配;Host source代表一台源主机,其source-wildcard为;any代表任意主机,即source为,source-wildcard为。第3步:应用访问控制列表Switch(config)#interface vlan n其中:n是指Vlan n,以实现进入SVI模式Switch(config-if)#ip access-group namein|out其中:name为访问控制列表名称,in或out为控制接口流量方向。Switch(config-if)#,【例12.7】在交换机上配置访问控制列表,实现只禁止网段上主机发出的数据,而允许其它任意主机。Switch#configure terminalSwitch(config)#Switch(config)#ip access-list standard deny_2.0Switch(config-std-nacl)#denySwitch(config-std-nacl)#permit any Switch(config-std-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group deny_2.0 inSwitch(config-if)#endSwitch#show access-lists,模块2 IP扩展访问控制列表的建立及应用,.教学目标 了解IP扩展访问控制列表功能及用途 掌握路由器IP扩展访问控制列表配置技能 掌握交换机IP扩展访问控制列表配置技能,2.工作任务 你是学校网络管理员,学校的网管中心分别架设FTP、Web服务器,其中FTP服务器供教师专用,学生不可使用;Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段,三个网段之间通过路由器进行信息传递,要求你对路由器进行适当设置实现网络的数据流量控制。,3.相关实践知识 首先对两路由器进行基本配置,实现三个网段相互访问;然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表,不允许网段(学生宿舍)主机发出的去网段的FTP数据包通过,允许网段主机发出的其它服务数据包通过,最后将这一策略加到路由器RouterA的Fa 0端口,如图12.4所示。,图12.4路由器IP扩展访问控制列表,第1步:基本配置路由器RouterA:RenableR#configure terminalR(config)#hostname RouterARouterA(config)#line vty 0 4 RouterA(config-line)#loginRouterA(config-line)#password 100RouterA(config-line)#exitRouterA(config)#enable password 100RouterA(config)#interface fastethernet 0RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#Exit,RouterA(config)#interface fastethernet 1RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#ExitRouterA(config)#interface fastethernet 2RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#ExitRouterA(config)#ip路由器RouterB同理配置,第2步:在路由器RouterA上配置IP扩展访问控制列表拒绝来自192.168.1.0 网段去网段的FTP流量通过RouterA(config)#access-list 101 deny TCP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP允许其它服务的流量通过RouterA(config)#access-list 101 permit IP any any 验证测试RouterA#show access-list 101第3步:把访问控制列表应用在路由器RouterA的Fa 0接口输入方向上。RouterA(config)#interface fastethernet 0RouterA(config-if)#ip access-group 101 in,4.相关理论知识 编号扩展访问控制列表 扩展编号访问控制列表同标准编号访问控制列表一样也是在路由器上创建的,其编号范围为100到199之间。扩展IP访问控制列表可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。配置编号扩展访问控制列表 R(config)#access-list listnumber permit|deny protocol source source-wildcard-mask destination destination-wildcard-mask operator operand,其中:Listnumber:规则序号,范围为100-199。Permit/deny:允许/或禁止满足该规则的数据包通过。protocol:0-255之间协议号,也可用协议名(如IP、TCP和UDP。operator operand:用于指定端口范围,缺省为全部端口号0-65535,只有 TCP 和 UDP 协议需要指定端口范围。【例12.8】在路由器R上配置访问控制列表,实现只允许从网段的主机向网段的主机发送WWW报文,禁止其它报文通过。R(config)#Access-list 100 permit tcp 129.8.0.0 0.0.255.255 202.39.160.0 0.0.0.255 eq wwwR(config)#interface fastethernet 0R(config-if)#ip access-group 100 inR#show access-lists,命名扩展访问控制列表第1步:用名字来定义一个命名扩展访问控制表,并进入扩展访问控制列表配置模式Switch(config)#ip access-listextended namewitch(config-ext-nacl)#第2步:定义访问控制列表条件Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source|anyoperator portdestination destination-wildcard|host destination|anyoperator port。Switch(config-ext-nacl)#exitSwitch(config)#,其中:Deny:禁止通过;Permit:允许通过;Protocol:协议类型。TCP:tcp;UDP:udp;IP:ip;Source:源IP地址;source-wildcard:源IP地址通配符;Host source:源主机,其source-wildcard为;host destination:目标主机,其destination-wildcard为;Any:任意主机,即source或destination为,source-wildcard或destination-wildcard为;Operator:操作符,只能为eq。Port:TCP或UDP的端口号,范围为0-65535。,【例12.9】在交换机上配置访问控制列表,实现只允许网段上主机访问IP地址为的Web服务器,而禁止其它任意主机使用。Switch(config)#ip access-list extended allow_2.0 Switch(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.255 host 172.16.1.100 eq wwwSwitch(config-ext-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group allow_2.0 inSwitch(config-if)#end,模块3 基于时间的访问列表建立与应用,.教学目标 了解基于时间访问控制列表的功能及用途 掌握路由器基本时间访问控制列表配置技能,2.工作任务 你是某公司的网管,为了保证公司上班时间的工作效率,公司要求上班时间只可以访问公司的内部网站。下班后员工可以随意放松,访问网络不受限制。,3.相关实践知识 在路由器上进行基本配置,然后设置基于时间的访问控制列表,把这个访问控制列表应用于路由器的Fa 0接口,如图12.5所示。,图12.5基于时间的访问控制列表,第1步:基本配置路由器RouterA:R enableR#configure terminalR(config)#hostname RouterARouterA(config)#line vty 0 4 RouterA(config-line)#loginRouterA(config-line)#password 100RouterA(config-line)#exitRouterA(config)#enable password 100RouterA(config)#interface fastethernet 0RouterA(config-if)#ipRouterA(config-if)#no shutdown,RouterA(config-if)#ExitRouterA(config)#interface fastethernet 1RouterA(config-if)#ipRouterA(config-if)#no shutdownRouterA(config-if)#Exit第2步:配置路由器的时钟RouterA#show clockClock:1987-1-16 5:19:9重新设置路由器当前时钟和实际时钟同步RouterA(config)#clock set 16:03:40 27 april 2006-4-27RouterA#show clockClock:2006-4-27 16:04-9,第3步:定义时间段RouterA(config)#time-range freetime定义绝对时间段RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010定义周期性时间段RouterA(config-time-range)#periodic daily 0:00 to 9:00RouterA(config-time-range)#periodic daily 17:00 to 23:59RouterA#show time-rangeTime-range entry:freetime(inactive)Absolute start 8:00 01 january 2006 end 18:00 30 december 2010Periodic daily 0:00 to 9:00Periodic daily 17:00 to 23:59,第4步:定义访问控制列表任务时间允许访问服务器RouterA(config)#access-list 102 permit ip允许在规定时间段内访问任何网络RouterA(config)#access-list 102 permit ip any any time-range freetime查看访问控制列表配置RouterA#show access-lists第5步:访问控制列表应用在路由器RouterAFa 0接口输入方向上RouterA(config)#interface fastethernet 0RouterA(config-if)#ip access-group 102 in查看Fa 0接口上应用的规则RouterA#show ip interface fastethernet 0,4.相关理论知识 基于时间的访问列表 基于时间的ACL功能使管理员可以依据时间来控制用户对网络资源的访问,即可以根据时间来禁止/允许用户访问网络资源。创建并定义Time-range接口 Router(config)#time-range time-range-name Router(config-time-range)#absolute start time date end time date and/or periodic days-of-the-week hh:mm to days-of-the-week hh:mm 其中:time-range-name为定义的接口名,关联Time-range接口与ACL 只允许扩展访问控制列表ACL关联Time-range接口。创建并定义Time-range接口 Router(config)#access-list number deny|permit protocol source src-wildcard destination desti-wildcard time-range time-range-name,项目结束,

    注意事项

    本文(项目十二安全策略与数据流量过滤.ppt)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    在线客服
    意见反馈
    返回顶部
    展开
    QQ交谈
    返回顶部