資源簡介

(共21張PPT)
網(wǎng)絡(luò)安全技術(shù)實現(xiàn)
05
知識目標(biāo)
技能目標(biāo)
圖5-1 項目5拓?fù)鋱D1
IP訪問控制列表
任務(wù)5.1
5.1.1 標(biāo)準(zhǔn)IP訪問控制列表的配置
鵬博公司的經(jīng)理部、銷售部和財務(wù)部分別屬于3個不同的網(wǎng)段，現(xiàn)階段3個部門之間能相互通信。為了網(wǎng)絡(luò)安全的需要，公司領(lǐng)導(dǎo)要求銷售部不能訪問財務(wù)部，經(jīng)理部能訪問財務(wù)部。
本節(jié)內(nèi)容使用Cisco 3560交換機1臺，PC 3臺，直通雙絞線3根，拓?fù)鋱D如圖5-1所示。
情境描述
IP訪問控制列表
任務(wù)5.1
5.1.1 標(biāo)準(zhǔn)IP訪問控制列表的配置
實 現(xiàn) 步 驟
（1）按照拓?fù)鋱D連接網(wǎng)絡(luò)，劃分VLAN并將端口添加到對應(yīng)VLAN中，配置VLAN和3臺計算機的IP地址，見表5-1。
表5-1 參數(shù)設(shè)置表1
IP訪問控制列表
任務(wù)5.1
5.1.1 標(biāo)準(zhǔn)IP訪問控制列表的配置
實 現(xiàn) 步 驟
（2）開啟交換機路由功能，使全網(wǎng)互通。
Switch(config)#ip routing
（3）配置標(biāo)準(zhǔn)IP訪問控制列表。
Switch(config)#access-list 1 deny 192.168.30.0 0.0.0.255
Switch(config)#access-list 1 permit 192.168.10.0 0.0.0.255
（4）應(yīng)用IP訪問控制列表。
Switch(config)#interface vlan 20
Switch(config-if)#ip access?group 1 out
（5）分別在PC1和PC2測試與PC3的連通性，驗證實驗結(jié)果。
IP訪問控制列表
任務(wù)5.1
5.1.1 標(biāo)準(zhǔn)IP訪問控制列表的配置
采用編號創(chuàng)建的IP訪問控制列表，一旦應(yīng)用后，就不能再向里面添加新的規(guī)則，只能刪除整個訪問控制列表再重新創(chuàng)建。
知識點撥
IP訪問控制列表
任務(wù)5.1
5.1.1 標(biāo)準(zhǔn)IP訪問控制列表的配置
知識儲備
標(biāo)準(zhǔn)IP訪問控制列表
標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕和允許兩個操作。采用編號的IP訪問控制列表，其編號范圍為1～99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。
標(biāo)準(zhǔn)IP訪問控制列表的語法
Switch(config)#access?list access-list-number {permit|deny} source ［source-wildcard］
IP訪問控制列表的應(yīng)用
IP訪問控制列表是基于接口進行規(guī)則的應(yīng)用，分為入站應(yīng)用和出站應(yīng)用。入站應(yīng)用是對經(jīng)該接口進入的數(shù)據(jù)包進行過濾；出站應(yīng)用是對經(jīng)該接口向外轉(zhuǎn)發(fā)的數(shù)據(jù)包進行過濾。
01
02
03
IP訪問控制列表
任務(wù)5.1
5.1.1 標(biāo)準(zhǔn)IP訪問控制列表的配置
學(xué)習(xí)小結(jié)
本小節(jié)講解了標(biāo)準(zhǔn)IP訪問控制列表的配置方法，在配置過程中要注意IP訪問控制列表的網(wǎng)絡(luò)掩碼是反碼。標(biāo)準(zhǔn)IP訪問控制列表要盡量應(yīng)用在靠近目的地址的接口。
IP訪問控制列表
任務(wù)5.1
5.1.2 擴展IP訪問控制列表的配置
情境描述
鵬博公司部署了一臺提供FTP和Web服務(wù)的服務(wù)器，為了保證相關(guān)業(yè)務(wù)資料的安全，要求財務(wù)部不能訪問服務(wù)器的FTP服務(wù)，銷售部則沒有限制，可以訪問所有服務(wù)。
本節(jié)內(nèi)容使用Cisco 3560交換機1臺，PC 2臺，服務(wù)器1臺，拓?fù)鋱D如圖5-2所示。
圖5-2 項目5拓?fù)鋱D2
IP訪問控制列表
任務(wù)5.1
5.1.2 擴展IP訪問控制列表的配置
實 現(xiàn) 步 驟
（1）按照拓?fù)鋱D連接網(wǎng)絡(luò)，劃分VLAN并將端口添加到對應(yīng)VLAN中，配置VLAN和設(shè)備的IP地址，如表5-2所示。
表5-2 參數(shù)設(shè)置表2
IP訪問控制列表
任務(wù)5.1
5.1.2 擴展IP訪問控制列表的配置
實 現(xiàn) 步 驟
（2）開啟交換機路由功能，使全網(wǎng)互通。
Switch(config)#ip routing
（3）配置擴展IP訪問控制列表。
Switch(config)#access-list 100 deny tcp 192.168.20.0 0.0.0.255 192.168.30.10 0.0.0.0 eq ftp
！禁止FTP服務(wù)
Switch(config)#access-list 100 permit ip any any ！允許其他服務(wù)
Switch(config)#int vlan 20
Switch(config-if)#ip access-group 100 in
（4）應(yīng)用IP訪問控制列表。
IP訪問控制列表
任務(wù)5.1
5.1.2 擴展IP訪問控制列表的配置
實 現(xiàn) 步 驟
（5）測試。利用銷售部和財務(wù)部的PC分別訪問服務(wù)器的Web服務(wù)和FTP服務(wù)，兩個部門都能訪問Web服務(wù)，銷售部能訪問FTP服務(wù)，財務(wù)部不能訪問FTP服務(wù)，如圖5-3所示。
圖5-3 FTP服務(wù)測試結(jié)果
IP訪問控制列表
任務(wù)5.1
5.1.2 擴展IP訪問控制列表的配置
知識儲備
1.擴展IP訪問控制列表
擴展IP訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、端口和標(biāo)志，來允許或拒絕數(shù)據(jù)包。采用編號IP的訪問控制列表，其編號范圍是100～199的訪問控制列表是擴展IP訪問控制列表。
2.擴展IP訪問控制列表的語法
Switch(config)#access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} ［operator operan］
IP訪問控制列表
任務(wù)5.1
5.1.2 擴展IP訪問控制列表的配置
學(xué)習(xí)小結(jié)
本小節(jié)講解了擴展IP訪問控制列表的配置方法，在配置過程中要注意拒絕某個網(wǎng)段后要允許其他網(wǎng)段。擴展IP訪問控制列表要盡量應(yīng)用在靠近源地址的接口。
IP訪問控制列表
任務(wù)5.1
5.1.3 命名訪問控制列表的配置
情境描述
鵬博公司的網(wǎng)絡(luò)管理員在維護網(wǎng)絡(luò)的過程中發(fā)現(xiàn)，通過訪問控制列表編號創(chuàng)建的訪問控制列表在維護的過程中，如果需要修改某條規(guī)則，需要刪除整個訪問控制列表。因此，管理員想用命名訪問控制列表的配置來取代原有的利用編號創(chuàng)建的訪問控制列表，命名訪問控制列表可隨時添加和刪除規(guī)則而不用刪除整個訪問控制列表。
本節(jié)內(nèi)容使用5.1.1和5.1.2的需求和拓?fù)鋱D，通過創(chuàng)建命名訪問控制列表完成實驗。
IP訪問控制列表
任務(wù)5.1
5.1.3 命名訪問控制列表的配置
實 現(xiàn) 步 驟
（1）創(chuàng)建標(biāo)準(zhǔn)命名訪問控制列表，允許192.168.10.0/24網(wǎng)段訪問192.168.20.0/24網(wǎng)段，拒絕192.168.30.0/24網(wǎng)段訪問192.168.20.0/24網(wǎng)段。
（2）創(chuàng)建擴展命名訪問控制列表，拒絕192.168.20.0/24網(wǎng)段訪問192.168.30.10服務(wù)器的FTP服務(wù)。
IP訪問控制列表
任務(wù)5.1
5.1.3 命名訪問控制列表的配置
知識儲備
1.創(chuàng)建命名訪問控制列表的語法
Switch (config)#ip access-list {standard|extended} access-list-name
standard:創(chuàng)建標(biāo)準(zhǔn)的命名訪問控制列表。
extended:創(chuàng)建擴展的命名訪問控制列表。
Access-list-name:命名訪問控制列表的名字，可以是任意字母和數(shù)字的組合。
IP訪問控制列表
任務(wù)5.1
5.1.3 命名訪問控制列表的配置
知識儲備
2.標(biāo)準(zhǔn)命名訪問控制列表規(guī)則的語法
Router(config-std-nacl)#{permit|deny} source ［source-wildcard］
permit|deny：若滿足規(guī)則，則允許/拒絕通過。
source：數(shù)據(jù)包的源地址，可以是主機地址，也可以是網(wǎng)絡(luò)地址。
Source-wildcard：通配符掩碼。
IP訪問控制列表
任務(wù)5.1
5.1.3 命名訪問控制列表的配置
知識儲備
3.擴展命名訪問控制列表規(guī)則的語法
Router(config-ext-nacl)#{permit|deny} protocol {source source-wildcard destination destination-wildcard} ［operator operan］
permit|deny：若滿足規(guī)則，則允許/拒絕通過。
protocol：用來指定協(xié)議的類型，如IP、TCP、UDP、ICMP等。
source、destination：源和目的，分別用來標(biāo)示源地址和目的地址。
Source-wildcard、destination-wildcard：子網(wǎng)反碼，前者是源反碼，后者是目標(biāo)反碼。
operator operan：lt(小于)、gt(大于)、eq(等于)、neq(不等于)一個端口號。
IP訪問控制列表
任務(wù)5.1
5.1.3 命名訪問控制列表的配置
學(xué)習(xí)小結(jié)
本小節(jié)講解了命名訪問控制列表的配置方法，與編號訪問控制列表相比，命名訪問控制列表更便于管理員的維護。

展開更多......

收起↑