书签 分享 收藏 举报 版权申诉 / 375

类型《网络安全与管理实验教程》课件第4章.ppt

  • 文档编号:2336504
  • 上传时间:2024-09-02
  • 格式:PPT
  • 页数:375
  • 大小:4.61MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    网络安全与管理实验教程 网络安全 管理 实验 教程 课件
    资源描述:

    1、第 4 章 网络系统安全4.1 ACL概述4.2 标准ACL4.3 扩展ACL4.4 RACL4.5 防火墙概述4.6 PIX防火墙的基本配置4.7 PIX防火墙的NAT与PAT配置4.8 PIX防火墙的管理配置4.9 PIX防火墙的ACL配置4.10 PIX防火墙的对象分组配置4.11 PIX防火墙的DHCP服务器配置4.12 PIX防火墙的DHCP中断代理配置第 4 章 网络系统安全ACL可以为流过网络的流量提供一个基本级别的安全保护。默认情况下,路由器不过滤任何流量,可以通过为路由器配置和应用ACL来过滤通过路由器的流量。ACL通常用来阻止不同设备访问特定的服务、特定的设备或者特定的网络

    2、部分。ACL是应用于路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以进入或离开、哪些数据包要被拒绝。所以,ACL往往被看做是一种流量过滤工具。4.1 ACL概述概述第 4 章 网络系统安全4.1.1 ACL的工作原理的工作原理要实现流量过滤,必须通过ACL语句,在路由器上定义条件,根据这些条件来决定是否允许流量通过。ACL语句有两个组件:条件和操作。条件基本上是一组规则,用于匹配数据包内容,如在数据包源地址中查找匹配,或者在源地址、目的地址、协议类型和协议信息中查找匹配。当ACL语句条件与比较的数据包内容相匹配时,则会采取一个操作:允许或拒绝数据包。第 4 章 网络系统安全每条A

    3、CL语句只能列出一个条件和一个操作,如果需要多个条件或多个操作,则必须设置多条ACL语句。ACL语句组合在一起形成一个列表或策略,一个列表中包含的语句数量是没有限制的,零条、一条或多条都是允许的,当然列表越长,管理越复杂。ACL的基本工作过程是:路由器自上而下地处理列表,从第一条语句开始,如果数据包内容与当前语句条件不匹配,则处理列表中的下一条语句,以此类推;如果数据包内容与当前语句条件匹配,则不再处理后面的语句;如果数据包内容与列表中任何显式语句条件都不匹配,则丢弃该数据包,这是因为在每个访问控制列表的最后都跟随着一条看不见的语句,称为“隐式的拒绝”语句,致使所有没有找到显式匹配的数据包都被

    4、拒绝。第 4 章 网络系统安全所以,在ACL中应至少包含一条允许操作的语句,否则数据包即使没有与带有拒绝操作的语句条件匹配,也会因隐式的拒绝语句而被丢弃。但是,如果路由器激活了一个不包含任何语句的ACL,即空的ACL,它将允许所有的数据包通过,这意味着一个空的ACL是不包含隐式拒绝语句的,隐式拒绝语句只在非空的ACL(至少包含一条允许或拒绝语句)中起作用。ACL语句的排列顺序很重要,下面举例说明语句的顺序可能带来的问题。如图4-1所示,路由器分隔了两个网段,一个网段由用户使用,另一个网段放置服务器,过滤流量的目的是允许所有用户到达Web服务器,但只允许用户C到达FTP服务器。假设按照以下顺序将

    5、ACL过滤规则配置在路由器上:允许所有用户访问服务器网段;拒绝用户A访问FTP服务器;拒绝用户B访问FTP服务器。第 4 章 网络系统安全图4-1 ACL语句的排列顺序第 4 章 网络系统安全语句是自上而下处理的,当某一时刻用户A试图访问FTP服务器时,会因与第一条语句匹配而得到允许。因此,这样的排列顺序会造成每个用户都可以访问FTP服务器。为达到过滤流量的目的,ACL应该按照以下顺序配置:拒绝用户A访问FTP服务器;拒绝用户B访问FTP服务器;允许所有用户访问服务器网段。第 4 章 网络系统安全当新的ACL语句被添加到列表中时,默认会被添加到列表的最后,所以设置ACL前应先理清ACL语句顺序

    6、,一般规则是:按照条件约束由强到弱的顺序排列语句,将“条件约束最强的语句”放在列表的顶部,“条件约束最弱的语句”放在列表的底部。两种常用的配置方式是:如果想允许每个用户都能够访问大多数服务,只拒绝少数特定用户,则在设置ACL时,首先拒绝特定的连接,然后允许所有其他连接;反之,如果只允许少数用户的访问,而拒绝所有其他的访问,则在设置ACL时,首先指定允许语句,而隐式拒绝所有其他访问。第 4 章 网络系统安全4.1.2 ACL的类型的类型路由器接口可能支持多种网络层协议(如IP、IPX、AppleTalk),则对每种协议必须定义单独的ACL,如IP ACL用于匹配IP数据报内容,过滤IP数据流;而

    7、IPX ACL用于匹配IPX 数据包内容,过滤IPX数据流。实际应用时,只能在每个接口、每个协议、每个方向上应用一个ACL。例如,在某个接口的输入方向,不能有两个IP ACL,但是可以在该接口的输入和输出方向分别应用一个IP ACL,或者将一个IP ACL和IPX ACL同时应用到该接口的输入方向上。以下只讨论IP ACL的类型。第 4 章 网络系统安全依据过滤方式的差异,ACL大致可分为4种类型:标准ACL、扩展ACL、反射ACL(Reflexive ACL,RACL)和基于上下文的访问控制(Context-Based Access Control,CBAC)。其中,标准ACL和扩展ACL可

    8、以实现包过滤功能,RACL和CBAC可以实现有状态的过滤功能。标准ACL基于数据包的源地址过滤数据包,只能过滤网络层信息。标准ACL通常和VTY(Virtual TeletYpe)、HTTP一起使用,限制到路由器本身的访问。第 4 章 网络系统安全扩展ACL基于源IP地址和目的IP地址、协议类型(如ICMP、IP、OSPF、TCP、UDP等)及协议信息(如ICMP消息类型、TCP或UDP端口号、TCP标志代码)来过滤流量,可以过滤网络层和传输层信息。扩展ACL通常过滤通过路由器的流量。标准ACL和扩展ACL不跟踪连接的状态,当内部网络中有用户向外部网络发送流量时,对于返回流量的处理将是个问题。

    9、“允许某返回流量通过”的过滤条目必须预先静态设置好,否则相应的返回流量会被路由器阻挡。但这种静态指定的过滤条目往往会在边界路由器构成一个很大的安全漏洞。所以标准ACL和扩展ACL的局限性在于它们只善于过滤单向的流量,而不善于过滤双向的流量。第 4 章 网络系统安全RACL可以过滤网络层、传输层、会话层的信息。在路由器上使用RACL可以实现基本的有状态的过滤功能。在允许返回流量进入内部网络时,RACL会在路由器输入方向的ACL中建立一个临时入口,当会话完成或者超时之后,这个临时入口对应的过滤条目被自动删除。RACL在双向流量的过滤方面表现良好,但是RACL不提供一个完整的有状态的过滤解决方案,尤

    10、其在需要过滤多于两个路由器接口间的流量时,配置过程会变得复杂。另外,RACL对内存和处理器资源的使用效率也不高,多适用于小型网络环境。第 4 章 网络系统安全CBAC可以实现有状态的应用层过滤。CBAC提供了比RACL更好的有状态的过滤功能,实现多方向流量的过滤配置更简易,具有更多增强的安全特性(如流量审查),对内存和处理器资源的使用效率较高,局限性较少,多适用于大型网络环境。一般情况下,在一台路由器上使用相同类型的ACL来实施安全策略。第 4 章 网络系统安全标准ACL通常被用来限制通过VTY线路对路由器的访问(Telnet和SSH);限制通过HTTP或HTTPS对路由器的访问;限制从路由器

    11、本身发出的流量(如过滤路由选择更新)。可以通过两种形式来为标准ACL语句分组:编号和命名。4.2 标准标准ACL第 4 章 网络系统安全4.2.1 命令格式与说明命令格式与说明1.编号的标准编号的标准ACL1)建立编号的标准ACL命令格式如下:Router(config)#access-list ACL_num permit|deny source_IP_address wildcard_mask|any其中,ACL_num是ACL编号,用于组合同一列表中的语句,范围可以是199,或者是13001999。ACL编号后面的permit|deny是语句条件匹配时所要采取的操作,只有两种:允许或者拒

    12、绝。permit|deny后面跟着的是条件,使用标准ACL时,只能指定source_IP_address(源地址)和wildcard_mask(通配符掩码)。wildcard_mask是可选项,如果忽略不写,则默认是0.0.0.0,即精确匹配。如果想要匹配所有地址,可以用关键字any来替换源地址和通配符掩码两项。第 4 章 网络系统安全2)激活编号的标准ACL 如果想在流量进入或者离开路由器接口时过滤它们,则命令格式如下:Router(config)#interface typeslot_num/port_numRouter(config-if)#ip access-group ACL_num

    13、 in|out其中,ACL_num是要激活的ACL编号。in|out指定路由器过滤信息的方向:过滤进入路由器接口的流量时,使用参数in;过滤离开路由器接口的流量时,使用参数out。第 4 章 网络系统安全如果想要限制到路由器的Telnet或SSH连接,则使用以下命令激活ACL:Router(config)#line vty beginning_num ending_numRouter(config-if)#access-class ACL_num in|outVTY实质上是逻辑线路,而Cisco IOS从配置和操作的角度将它们作为物理线路来对待。Cisco IOS VTY允许很多类型的远程访问

    14、,如Telnet、Rlogin、SSH等。第 4 章 网络系统安全允许各种远程访问方式会给攻击者留下可乘之机,所以应该在VTY上配置某种限制,Cisco IOS通过标准ACL完成这种限制。为了在VTY上激活ACL,不能使用ip access-group命令,而要使用access-class命令。一台路由器有5个VTY线路,要将access-class应用到所有的VTY上,则beginning_num(开始编号)和ending_num(结束编号)分别为0和4。in|out用于指定限制方向:限制输入的VTY会话时,使用参数in;限制输出的VTY会话时,使用参数out。第 4 章 网络系统安全3)删

    15、除编号的标准ACL删除某个编号ACL的命令格式如下:Router(config)#no access-list ACL_num值得注意的是,不能删除编号ACL中的一个特定条目,如果想要通过no参数来删除一个特定条目,将会删除整个ACL,即与命令no access-list ACL_num的效果等同。编号的标准ACL和编号的扩展ACL都是如此。第 4 章 网络系统安全2.命名的标准命名的标准ACL与编号的标准ACL相比,命名的标准ACL的主要优点有:允许管理员给ACL指定一个描述性的名称;建立的ACL的数量不受数字编号最大值的限制;允许删除ACL中的特定条目。1)建立命名的标准ACL命令格式如下

    16、:Router(config)#ip access-list standard ACL_nameRouter(config-std-nacl)#deny source_IP_address wildcard_mask|anyRouter(config-std-nacl)#permit source_IP_address wildcard_mask|anyRouter(config-std-nacl)#exit第 4 章 网络系统安全使用ip access-list命令指定命名ACL。standard表示命名ACL的类型为标准。ACL_name指明ACL的名称,名称可以是描述性字符,也可以是一个号码(数字)。执行ip access-list命令后,将进入子配置模式,在这里输入permit和deny命令语句,基本语法与编号的标准ACL中的access-list命令相同。第 4 章 网络系统安全2)激活命名的标准ACL激活命名的标准ACL的命令格式与编号的标准ACL相同,如果想在流量进入或者离开路由器接口时过滤它们,则使用ip access-group命令在路由器接口上激活ACL;如果想要限

    展开阅读全文
    提示  兔兜文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《网络安全与管理实验教程》课件第4章.ppt
    链接地址:https://www.tudouwenku.com/doc/2336504.html

    若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理!

    copyright@2008-2024 兔兜文库 版权所有

    鲁公网安备37072502000182号  ICP备案号:鲁ICP备2021021588号-1  百度保障

    兔兜文库
    收起
    展开