acl(网络安全).ppt

1、项目六 网络安全 任务二 标准访问控制列表,网络安全任务分解,任务3 扩展访问控制列表,网络安全,任务1 交换机端口安全,任务4 网络地址转换,任务6 VPN,任务1 交换机端口安全,任务2 标准访问控制列表,任务5 防火墙基本配置,1、任务目标,知识目标： 理解标准ACL的作用 理解标准ACL的工作过程 掌握标准ACL的应用位置能力目标： 能够根据企业需求在交换机和路 由器上配置标准ACL，从而使网络更加安全,因财务处的一些核心数据属于机密数据，学校为保证财务处数据的安全性，现要求财务处不能访问外网，允许其他的部门访问外网。,2、任务描述,一、标准ACL(Access Control Lis

2、t,访问控制列表)的定义 是网络边缘设备上定义的应用在网络接口上的一组有序的关于数据包过滤的规则。,3、支撑知识,二、标准ACL的工作过程 标准ACL通过使用IP包中的源IP地址过滤网络流量。,3、支撑知识,分数达到清华大学的分数线,分数未达到清华大学的分数线,二、标准ACL的工作过程 标准ACL是一系列的判断语句，这些语句是一种自上而下的逻辑排列关系。,3、支撑知识,（2）、标准ACL的工作过程 标准ACL是一系列的判断语句，这些语句是一种自上而下的逻辑排列关系。,三、支撑知识,三、配置标准ACL标准ACL的配置分两个步骤：1、在全局配置模式下，使用下列命令创建ACLRouter(confi

3、g)#access-list access-list-number permit | deny test conditions 注： 1）IP 访问列表的标号为 1-99 2）test conditions： 检查相应的地址位0表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值,3、支撑知识,2、在接口配置模式下，使用access-group命令将ACL应用到某一接口（注意方向） Router(config-if)#ip access-group access-list-number in|out,3、支撑知识,in,out,步骤1 在网络中心交换机上配置标准ACL，拒绝192.168

4、.2.0（财务处）网络中的PC，允许其他所有主机：R2(config)#access-list 1 deny 192.168.2.0 0.0.0.255R2(config)#access-list 1 permit any 步骤2 将创建好的ACL应用于网络中心交换机的F0/0接口，潜在的流量会流入该接口，故在入站方向应用ACL：R2(config)#interface fastethernet0/0R2(config)#ip access-group 1 in 步骤3 测试ACL应用后的效果,4、任务实现步骤,注意事项：1、认真区分in和out的应用场合2、配置标准ACL时要特别注意先后顺序

5、3、标准ACL是根据IP地址进行过滤，故只能在三层交换机或路由器上创建和应用。,5、任务总结,若要实现财务处PC能访问OA服务器，其他所有PC机和服务器不能访问财务处的PC机，请问该如何配置。,6、课后训练,NAT,知识目标： 理解NAT的作用 理解NAT的工作原理能力目标： 能够配置静态地址转换 能够配置动态地址转换 能够配置端口地址复用（PAT）,1、一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 2、一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过N

6、AT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。,NAT技术实质是改写原IP地址的技术。将原来Internet不可路由的IP地址转换为Internet可路由的地址。,NAT原理数据包发送过程,NAT原理数据包接收过程,NAT术语,内部本地地址（Inside local address）：分配给内部网络中的主机的IP地址。 内部全局地址（Inside global address）：对外进行IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 外部本地地址（Outside local address）：外部网络中内部的IP地址，一般是不可知

7、的。外部全局地址（Outside global address）：外部网络通过地址转换后得到的IP地址。内部端口（Inside）：连接内部网络的接口。外部端口（Outside）：连接外部网络的接口。,静态NAT,要求：内部的主机数与全局IP的数量相同。配置方法：1、指定连接网络的内部端口在端口设置状态下输入：ip nat inside2、指定连接外部网络的外部端口在端口设置状态下输入：ip nat outside3、Ip nat inside source static 私有地址 全局地址例：Router(config)#int f0/0Router(config-if)#ip nat ins

8、ideRouter(config)#int s0/0Router(config-if)#ip nat outsideRouter(config)#ip nat inside source static 192.168.1.2 210.31.235.1,动态NAT,动态意味着可以为内部的用户组提供真实的IP地址池。不使用端口号，故必须为每个尝试连接外网的用户提供真实的IP.（1）在全局设置模式下，定义内部合法地址池：ip nat pool 地址池名称 起始IP地址终止IP地址 子网掩码例：Router(config)#ip nat pool nanbo 210.31.235.1 210.31.2

9、35.6 netmask 255.255.255.0（2）在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。例：Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255（3）在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。ip nat inside source list 访问列表标号 pool内部合法地址池名字。例：Router(config)#ip nat inside source list 1 pool nanbo,接口复用NAT,

10、接口复用NAT属于端口地址转换（Port Address Translation,PAT）。可将内部本地地址转换为唯一一个内部全局地址。为区分内部不同主机，使用端口号来标识不同的NAT转换条目。,（1）在全局设置模式下，定义内部合地址池：ip nat pool 地址池名字 起始IP地址 终止IP地址子网掩码Router(config)#ip nat nanbo 210.31.235.1 210.31.235.6 netmask 255.255.255.0（2）在全局设置模式下，定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。Router(config)# a

11、ccess-list 1 permit 192.168.1.0 0.0.0.255（3）在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overloadRouter(config)# ip nat inside source list 1 pool nanbo overload,交换机端口安全,1、MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时 ，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Tru

12、nk状态。Switch (config)#int f0/1Switch (config-if)#switchport mode access /指定端口模式。 Switch (config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1 Switch (config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。Switch (config-if)#switchport port-security violation shutdown

13、/当发现与上述配置不符时，端口down掉。,2、通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。Switch(config)#int f0/1Switch (config-if)#switchport trunk encapsulation dot1qSwitch (config-if)#switchport mode trunk /配置端口模式为TRUNK。Switch (config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。S

14、witch (config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。,任务5 防火墙基本配置,知识目标：熟悉防火墙的有关概念和基本功能理解防火墙系统工作原理能力目标：能够安装与配置防火墙掌握防火墙的基本参数配置方法和安全策略配置方法。,使用防火墙的必要性,（1）保护企业内部网络：任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络

15、互相隔离，并限制网络互访从而保护企业内部网络。 （2）简化网络的安全管理：设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。,防火墙的定义,防火墙即Firewall是加强Internet与Intranet（内部网）之间安全防范的一个或一组系统。具体来说是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活

16、动，保证了内部网络的安全。,16.3 防火墙的五大功能,1. 允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2可以很方便地监视网络的安全性，并报警.3可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。,4是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 5. 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。,防火墙的五大功能,防火墙的应用位置,防火墙一般安放在,