资源简介

(共43张PPT)
*
项目5 网络安全技术配置　
任务2 IP访问控制列表的配置
任务2 IP访问控制列表的配置
IP访问控制列表（Access Control List，ACL）用于对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。其主要分为标准IP访问控制列表、扩展IP访问控制列表和命名访问控制列表等。本任务分为以下3个活动展开介绍。
活动1 标准访问控制列表的配置。
活动2 扩展访问控制列表的配置。
活动3 命名访问控制列表的配置。
*
任务2 IP访问控制列表的配置
活动1 标准访问控制列表的配置
活动1 标准访问控制列表的配置
任务描述
海成公司包括经理部、财务部和销售部，这3个部门分属3个不同的网段，3个部门之间使用路由器进行信息传递。为了安全起见，公司领导要求网络管理员对网络的数据流量进行控制，使销售部不能对财务部进行访问，但是经理部可以对财务部进行访问。
任务分析
财务部涉及公司许多重要的财务信息和数据，因此保障公司管理部门对财务部的安全访问，减少普通部门对财务部的访问很有必要，这样可以尽可能地减少网络安全隐患。
在路由器上应用标准访问控制列表，对访问财务部的数据流量进行限制，禁止销售部访问财务部的数据流量通过，但是对经理部访问账务部的数据流量不做限制，从而达到保护财务部主机安全的目的。
活动1 标准访问控制列表的配置
下面以2台型号为2911的路由器来模拟网络，使读者可以学习和掌握标准访问控制列表的配置方法，配置标准访问控制列表的拓扑图如图5.2.1所示。
图5.2.1 配置标准访问控制列表的拓扑图
活动1 标准访问控制列表的配置
具体要求如下：
（1）添加3台计算机，并将标签名分别更改为PC1、PC2和PC3。其中，PC1代表经理部的主机，PC2代表销售部的主机，PC3代表财务部的主机。
（2）添加2台型号为2911的路由器，将标签名分别更改为R1和R2，并将路由器的名称分别设置为R1和R2。
（3）为R1和R2添加HWIC-2T模块，并均添加在S0/0/0接口位置。
（4）PC1连接R1的G0/0接口，PC2连接R1的G0/1接口，PC3连接R2的G0/0接口，R1的S0/0/0接口连接R2的S0/0/0接口。
（5）根据如图5.2.1所示的拓扑图，使用直通线连接好所有计算机，并设置每台计算机的IP地址、子网掩码和默认网关。
（6）使用静态路由实现全网互通。
（7）配置标准访问控制列表，限制PC2所在的网络不能访问PC3所在的网络，但是允许PC1所在的网络访问PC3所在的网络。
活动1 标准访问控制列表的配置
任务实施
步骤1：配置R1的主机名称和接口IP地址。
活动1 标准访问控制列表的配置
步骤2：配置R2的主机名称和接口IP地址。
步骤3：在R1上配置静态路由。
步骤4：在R2上配置静态路由。
活动1 标准访问控制列表的配置
步骤5：验证网络的连通性。
测试PC2（销售部）到PC3（财务部）的通信，发现可以连通，如图5.2.2所示。
图5.2.2 配置标准ACL前测试计算机之间的连通性
活动1 标准访问控制列表的配置
步骤6：配置标准访问控制列表，禁止PC2（销售部）访问PC3（财务部）。
活动1 标准访问控制列表的配置
任务验收
1．测试与查看访问控制列表信息
测试PC2（销售部）到PC3（财务部）的连通性，结果是无法连通的，如图5.2.3所示。
图5.2.3 配置ACL后测试计算机之间的连通性
活动1 标准访问控制列表的配置
2．查看访问控制列表信息
知识链接
1．IP访问控制列表
1）概述
IP访问控制列表用于对流经路由器或交换机的数据包根据一定的规则进行过滤，从而实现网络安全访问控制。
（1）ACL可以限制网络流量、提高网络性能。
（2）ACL可以限制或减少路由更新的内容。
（3）ACL提供网络安全访问的基本手段。
（4）ACL检查和过滤数据包。
活动1 标准访问控制列表的配置
3）工作原理
使用包过滤技术，在路由器或三层交换机上读取第3层或第4层包头中的信息，如源IP地址、目的IP地址、源端口、目的端口及上层协议等，根据预先定义的规则决定数据包的过滤，从而达到访问控制的目的，如图5.2.4所示。
图5.2.4 IP ACL的工作原理
活动1 标准访问控制列表的配置
例如，来自网络A的数据包使用端口23允许其通过，但会拒绝用户的其他访问，如图5.2.5所示。
定义访问控制列表的工作步骤，如图5.2.6所示。
（1）设置规则（哪些数据允许通过，哪些数据不允许通过）。
（2）执行规则。
图5.2.5 IP流量访问控制
活动1 标准访问控制列表的配置
图5.2.6 定义访问控制列表的工作步骤
活动1 标准访问控制列表的配置
4）IP访问控制列表的分类
（1）基本类型的访问控制列表有如下两类。
标准访问控制列表：只能通过IP数据包中的源IP地址进行过滤。
扩展访问控制列表：可以针对包括协议类型、源IP地址、目的IP地址、源端口、目的端口、TCP连接建立等进行过滤。
（2）其他类型的访问控制列表有如下两类。
命名访问控制列表：以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两类访问控制列表，定义过滤的语句与编号方式相似。
基于时间的访问控制列表：在原有的标准或扩展访问控制列表中，加入有效的时间范围来更合理地控制网络。
2．标准访问控制列表
1）概述
使用1～99及1300～1999中的数字作为访问控制列表的编号，并且只能通过IP数据包中的源IP地址进行过滤。
2）工作原理
当路由器收到一个数据包时，根据该数据包的源IP地址从访问控制列表的第一条语句开始逐条检查各语句。如果检查到匹配语句，则根据语句中是允许或禁止流量通过来处理该数据包；如果检查到最后还没有找到匹配的语句，则该数据包将被丢弃。标准访问控制列表的工作过程如图5.2.7所示。
活动1 标准访问控制列表的配置
图5.2.7 标准访问控制列表的工作过程
在标准或扩展访问控制列表的末尾，总有一条隐含的deny all语句。这意味着如果数据包的源IP地址与任意允许语句不匹配，则隐含的deny all语句将会禁止该数据包通过。
3）标准访问控制列表的配置
活动1 标准访问控制列表的配置
（1）配置标准ACL规则。
access-list-number：表示访问控制列表的编号。
permit/deny：表示访问控制列表是允许还是禁止满足条件的数据包通过。
source：表示被过滤数据包的源IP地址。
source-wildcard：表示通配符掩码，1表示不检查位，0表示必须匹配位。
any/host：表示任意主机或一台特定的主机。
（2）应用标准ACL到接口。
in：表示应用到接口的进入方向，对收到的报文进行检查。
out：表示应用到接口的外出方向，对发送的报文进行检查。
IP：访问控制列表只有被应用到某个接口才能达到报文过滤的目的。接口上通过的报文有两个方向：一个方向是通过接口进入路由器，即in方向；另一个方向是通过接口离开路由器，即out方向，out也是访问控制列表的默认方向。路由器一个接口的一个方向上只能应用一个IP访问控制列表。
（3）删除已经建立的标准ACL。
活动1 标准访问控制列表的配置
（4）显示访问控制列表配置。
access-list-number是可选参数，如果指定，则显示指定编号的访问控制列表的配置细节；如果不指定，则显示所有访问控制列表的配置细节。
任务小结
本活动介绍了通过配置标准访问控制列表，实现对公司安全级别较高的部门的网络安全访问的控制。标准访问控制列表占用路由器的资源很少，是一种最基本、最简单的访问控制列表格式，应用比较广泛，经常在要求控制级别较低的情况下使用。但是标准访问控制列表只能通过IP数据包中的源IP地址进行过滤，而更加复杂的控制数据包的传输则需要使用扩展访问控制列表来实现。
*
任务2 IP访问控制列表的配置
活动2 扩展访问控制列表的配置
活动2 扩展访问控制列表的配置
任务描述
由于业务规模的扩大，海成公司架设了一台服务器，为公司相关用户提供FTP服务和Web服务。其中，FTP服务只供技术部访问使用，而Web服务则市场部和技术部都能访问，其余针对服务器的访问均被拒绝。公司局域网通过路由器进行信息传递，通过配置访问控制列表来实现网络数据流量的控制。
任务分析
从公司需求上看，标准访问控制列表是无法实现所需功能的，因此只能使用扩展IP 访问控制列表。在路由器上应用扩展访问控制列表，对访问服务器的数据流量进行控制。禁止市场部访问FTP服务器的数据流量通过，但同时服务器又向公司市场部和技术部的用户提供了Web服务，除此之外，对服务器的其他访问均被拒绝，从而达到保护服务器和数据安全的目的。
活动2 扩展访问控制列表的配置
下面以2台型号为2911的路由器来模拟网络，使读者可以学习和掌握扩展访问控制列表的配置方法，配置扩展访问控制列表的拓扑图如图5.2.8所示。
具体要求如下：
（1）添加2台计算机，并将标签名分别更改为Tech和Market。其中，Tech代表技术部的主机，Market代表市场部的主机。
（2）添加1台服务器，并将标签名更改为Server。
图5.2.8 配置扩展访问控制列表的拓扑图
活动2 扩展访问控制列表的配置
（3）添加2台型号为2911为路由器，将标签名分别更改为R1和R2，并将路由器的名称分别设置为R1和R2。
（4）为R1和R2添加HWIC-2T模块，并均添加在S0/0/0接口位置。
（5）Tech连接R1的G0/1接口，Market连接R1的G0/0接口，Server连接R2的G0/0接口，R1的是S0/0/0接口连接R2的S0/0/0接口。
（6）根据如图5.2.8所示的拓扑图，使用双绞线连接好所有计算机和服务器，并设置两台Client计算机和1台Server服务器的IP地址、子网掩码和默认网关。
（7）使用静态路由实现全网互通。
（8）配置扩展访问控制列表，限制市场部不能访问FTP服务器，而技术部则不受限制，并且市场部和技术部都能访问Web服务器。
活动2 扩展访问控制列表的配置
任务实施
步骤1：配置R1的主机名称和接口IP地址。
活动2 扩展访问控制列表的配置
步骤2：配置R2的主机名称和接口IP地址。
步骤3：配置静态路由实现全网互通。
（1）在R1上配置静态路由。
（2）在R2上配置静态路由。
步骤4：测试市场部Market和技术部Tech到服务器的访问。
（1）测试Market到FTP服务器的访问，发现是可以访问的，如图5.2.9所示。
活动2 扩展访问控制列表的配置
图5.2.9 测试Market到FTP服务器的访问
（2）测试Market到Web服务器的访问，发现是可以访问的，如图5.2.10所示。
图5.2.10 测试Market到Web服务器的访问
活动2 扩展访问控制列表的配置
步骤5：配置扩展访问控制列表，针对服务器的访问流量进行控制。
步骤6：应用访问控制列表在接口上。
活动2 扩展访问控制列表的配置
任务验收
1．查看访问控制列表信息
2．测试公司各部门到PC3（服务器）的应用访问
（1）测试Tech到FTP服务器的访问，发现是可以访问的，如图5.2.11所示。
图5.2.11 测试Tech到FTP服务器的访问
活动2 扩展访问控制列表的配置
（2）测试Market到Web服务器的访问，发现是可以访问的，如图5.2.12所示。
图5.2.12 测试Market到Web服务器的访问
图5.2.13 测试Market到FTP服务器的访问
（3）测试Market对FTP服务器的访问，发现是不能访问的，如图5.2.13所示。
活动2 扩展访问控制列表的配置
（4）测试Tech到Web服务器的访问，发现是可以访问的，如图5.2.14所示。
图5.2.14 测试Tech到Web服务器的访问
活动2 扩展访问控制列表的配置
知识链接
1．扩展访问控制列表概述
扩展访问控制列表使用100～199及2000～2699中的数字作为访问控制列表的编号，可以通过IP数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口等进行过滤，常用于高级的、精确的访问控制。
2．扩展访问控制列表的工作原理
当路由器收到一个数据包时，路由器根据数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口等从访问控制列表中自上而下检查控制语句。如果检查到其与一条permit语句匹配，则允许该数据包通过；如果检查到其与一条deny语句匹配，则该数据包将被丢弃；如果检查到最后一条语句后还没有找到匹配的语句，则该数据包也将被丢弃。一旦控制列表允许数据包通过，路由器将数据包中的目的IP地址与路由器上的内部路由器表相比较，将数据包路由到它的目的地。扩展访问控制列表的工作过程如图 5.2.15所示。
图5.2.15 扩展访问控制列表的工作过程
活动2 扩展访问控制列表的配置
3．扩展访问控制列表的配置
（1）配置扩展ACL规则
access-list-number：访问控制列表的编号，扩展访问控制列表的编号的取值范围为100～199或2000～2699。
deny|permit：对符合匹配语句的数据包采取的动作。其中，permit允许数据包通过，deny拒绝数据包通过。
protocol：数据包采用的协议，可以是0～255中的任意协议号，如IP、TCP、UDP、IGMP等协议。
source-address：数据包的源地址，可以是某个网络、某个子网或某台主机。
source-wildcard：数据包源地址的通配符掩码。
destination-address：数据包的目的地址，可以是某个网络、某个子网或某台主机。
destination-wildcard：数据包目的地址的通配符掩码。
operator：用于指定逻辑操作，可以是 eq（等于）、neq（不等于）、gt（大于）、lt（小于）或一个range（范围）。
port：用于指定被匹配的应用层端口号，默认为全部端口号0～65535，只有TCP和UDP协议需要指定端口范围，如Telnet为23、Web为80、FTP为20和21等。
常见的TCP/UDP协议端口号如表5.2.1所示。
活动2 扩展访问控制列表的配置
表5.2.1 常见的TCP/UDP协议端口号
（2）在接口上应用标准ACL。
（3）删除已经建立的标准ACL。
（4）显示访问控制列表配置。
活动2 扩展访问控制列表的配置
任务小结
本活动介绍了如何配置扩展访问控制列表，实现针对不同部门或用户对公司服务器的网络安全访问的控制。扩展访问控制列表的功能很强大，但是它存在一个缺点，即在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中档和低档路由器时应尽量减少扩展ACL的条目数，即将其简化为标准ACL或将多条扩展ACL合为一条。
*
任务2 IP访问控制列表的配置
活动3 命名访问控制列表的配置
*
活动3 命名访问控制列表的配置
任务描述
海成公司架设了一台服务器，为公司相关用户提供FTP服务和Web服务。FTP服务器只为技术部提供服务，Web服务器为公司用户提供网站访问服务，针对服务器的其他访问流量都能通过。公司局域网通过路由器进行信息传递，通过配置访问控制列表实现网络数据流量的控制。
任务分析
为了提高网络管理效率，方便日后识别和管理不同部门的访问策略，可以考虑在部署网络安全访问策略时以命名访问控制列表来完成。
下面以2台型号为2911的路由器来模拟网络，使读者可以学习和掌握命名访问控制列表的配置方法，配置命名访问控制列表的拓扑图如图5.2.16所示。
*
活动3 命名访问控制列表的配置
图5.2.16 配置命名访问控制列表的拓扑图
*
活动3 命名访问控制列表的配置
具体要求如下：
（1）添加2台PC计算机，并将标签名分别更改为Tech和Market。其中，Tech代表技术部的主机，Market代表市场部的主机。
（2）添加1台服务器，并将标签名更改为Server。
（3）添加2台型号为2911的路由器，将标签名分别更改为R1和R2，并将路由器的名称设置为R1和R2。
（4）为R1和R2添加HWIC-2T模块，并将添加在S0/0/0接口位置。
（5）Tech连接R1的G0/1接口，Market连接R1的G0/0接口，Server连接R2的G0/0接口，R1的S0/0/0接口连接R2的S0/0/0接口。
（6）根据如图5.2.16所示的拓扑图，使用双绞线连接好所有计算机和服务器，并设置两台Client计算机和1台Server服务器的IP地址、子网掩码和默认网关。
（7）使用静态路由实现全网互通。
（8）配置命名访问控制列表，限制市场部不能访问FTP服务器，而技术部则不受限制，并且市场部和技术部都能访问Web服务器。
*
活动3 命名访问控制列表的配置
任务实施
步骤1：配置R1的主机名称和接口IP地址。
设置R1的名称和接口IP地址，具体的配置方法请参照本项目活动2中的R1的基本配置。
步骤2：配置R2的主机名称和接口IP地址。
设置路由器R2的名称和接口IP地址，具体的配置方法请参照本项目活动2中的R2的基本配置。
步骤3：配置静态路由实现全网互通。
具体的配置方法请参照本项目活动2中的静态路由的基本配置。
步骤4：配置命名访问控制列表，针对服务器的访问流量进行控制。
*
活动3 命名访问控制列表的配置
步骤5：在接口上应用访问控制列表。
任务验收
1．查看访问控制列表信息
2．测试公司各部门到PC3（服务器）的应用访问
（1）测试Tech到FTP服务器的访问，发现是可以访问的。
（2）测试Market到Web服务器的访问，发现是可以访问的。
（3）测试Market到FTP服务器的访问，发现是不能访问的。
（4）测试Tech到Web服务器的访问，发现是可以访问的。
*
活动3 命名访问控制列表的配置
知识链接
1．命名访问控制列表
在标准访问控制列表和扩展访问控制列表中使用一个字母数字组合的字符串（名称）代替前面使用的数字来表示访问控制列表的编号，便于识别编制的访问控制列表规则内容的功能。
（1）基于编号的访问控制列表和基于命名的访问控制列表的主要区别如下所述。
① 命名访问控制列表能更直观地反映出访问控制列表完成的功能。
② 命名访问控制列表能够定义更多的访问控制列表。
③ 单个路由器上的命名访问控制列表的名称在所有协议和类型的命名访问控制列表中必须是唯一的，而不同路由器上的命名访问控制列表的名称可以相同。
④ 命名访问控制列表是一个全局命令，它使用户进入命名IP列表的子模式，在该子模式下建立匹配和允许/拒绝动作的相关语句。
⑤ 命名访问控制列表允许删除个别语句，当一个命名访问控制列表中的语句需要被删除时，只需将该语句删除即可；而在编号访问控制列表中则需要先将访问控制列表中的所有语句都删除，再重新输入。
⑥ 命名访问控制列表的命令为ip access-list，在命令中用standard和extended来区别标准访问控制列表和扩展访问控制列表；而编号访问控制列表的配置命令为access-list，并且使用编号来区别标准访问控制列表和扩展访问控制列表。
（2）基于命名的标准访问控制列表的配置。
① 定义标准ACL名称。
*
活动3 命名访问控制列表的配置
② 配置ACL规则。
③ 应用ACL规则。
④ 显示访问控制列表配置。
（3）基于命名的扩展访问控制列表的配置。
① 定义扩展ACL名称。
② 配置ACL规则。
③ 应用ACL规则。
④ 显示访问控制列表的配置。
*
活动3 命名访问控制列表的配置
任务小结
本活动主要介绍了如何配置基于命名的访问控制列表，以针对不同部门或用户对公司FTP服务器不同的网络安全访问的控制。如果配置ACL的规则比较多，则应该使用基于名称的访问控制列表来进行管理，这样可以减轻很多后期维护的工作量，方便网络管理员随时调整ACL的规则。

展开更多......

收起↑