1、,园区网的安全设计 - IP访问列表,ISP,什么是访问列表,IP Access-list:IP访问列表或访问控制列表,简称IP ACL IP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。,为什么要使用访问列表,网络安全性,可以是路由器或三层交换机或防火墙,接入层交换机 RG-S2126,核心交换机 RG-S3512G /RG-S4009,服务器群,路由器 RG-NBR1000,Internet,交换机堆叠,接入层交换机 RG-S2126,不同部门所属VLAN不同,技术部 VLAN20,财务部 VLAN10,隔离病毒源,隔离外网病毒,WWW EMAIL FTP,为什么要使用
2、访问列表,访问列表的组成,定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表的分类: 1、标准访问控制列表 2、扩展访问控制列表 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 2.出栈应用(out),访问列表的入栈应用,N,Y,是否允许 ?,Y,是否应用 访问列表 ?,N,查找路由表 进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口 S0,路由表中是否 存在记录 ?
3、,N,Y,查看访问列表 的陈述,是否允许 ?,Y,是否应用 访问列表 ?,N,S0,S0,访问列表的出栈应用,IP ACL的基本准则,一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,ACL分类,标准的访问
4、列表 只能根据源IP地址进行数据包的过滤。例在校园网中,学生网段不可以访问教研网段,但校领导网段可以访问教研网段,学生网段,校领导网段,教研网段,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,ACL分类,扩展的访问列表 扩展的ACL可以根据数据包内的源、目的地址,应用服务进行过滤。例教师网段可以访问内网的邮件服务器,而学生网不可以访问,但可以访问内网的网站。,邮件server,WEBserver,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,IP标准访问列表的配置,1.定义标准ACL
5、 编号的标准访问列表 Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表ip access-list standard namedeny source source-wildcard|host source|any or permit source source-wildcard|host source|any 2.应用ACL到接口 Router(config-if)#ip access-group |name in | out ,0表示检查相应的地址比特1表示不检查相应的地址比特 比如:0.0.0.255 只比较前24位,0,0,
6、0,0,0,0,0,0,反掩码(通配符),access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0 ip access-group 1 out,172.16.3.0,172.16.4.0,F0,S0,F1,172.17.0.0,IP标准访问列表配置实例,IP扩展访问列表的配置,1.定义扩展的ACL 编号的扩展ACLRouter(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的
7、端口 命名的扩展ACLip access-list extended namedeny|permit protocol source source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port 2.应用ACL到接口 Router(config-if)#ip access-group |name in | out ,IP扩展访问列表配置实例,下例显示如何创建一条Extended IP ACL,该ACL有一条ABC,用于允许指定
8、网络(192.168.x.x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络。 Switch (config)# ip access-list extended abc Switch (config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch (config-ext-nacl)#end,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135acce
9、ss-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any an
10、y eq 4444access-list 115 permit ip any anyinterface ip access-group 115 in ip access-group 115 out,扩展访问列表的应用,利用ACL隔离冲击波病毒,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface ,访问列表的注意事项,在进行规则匹配时,从上至下,匹配成功马上停止,不会继续匹配下面的规则。 所有访问列表默认规则是拒绝所有数据包 处理方式只有允许通过和拒绝通过 一个端口在某一方向只能应用一组访问列表,谢 谢!,
