第7章路由器安全管理4.1Telnet会话管理4.1.1呼出Telnet会话管理图4-1远程登录使用主机名直接远程登录当登陆到目标主机后,可使用以下命令断开当前Telnet回话:exit,回到本地设备;不退出当前回话连接而暂时回到原设备:Ctrl+Shift+6+x;显示呼出Telnet会话断开呼出Telnet会话此断开回话是从本地断开到目标本机的telnet回话。disconnect命令同时发起多个Telnet会话返回某次Telnet会话过程断开指定Telnet连接4.1Telnet会话管理4.1.2呼入Telnet会话管理采用相对线号断开远程Telnet连接用绝对线号断开远程Telnet连接4.2访问控制列表——ACL4.2.1访问控制列表概述1.访问控制列表•访问控制列表是控制流入、流出路由器数据包的一种方法。它通过在数据流入或流出路由器时进行检查、过滤达到流量管理的目的,而且在很大程度上起到保护网络设备和服务器的关键作用。•是一个有序的语句集合,它通过匹配报文信息与访问列表参数来允许报文或拒接报文通过某个接口。2.配置访问控制列表步骤:Step1:定义允许或禁止报文的描述语句(访问列表);Step2:将访问列表应用到路由器的具体接口(应用访问组)。表4-1通过编号指定的访问列表所支持的协议协议范围标准IP协议1~99扩展IP协议100~199Ethernet类型码200~299DECnet300~399XNS400~499扩展XNS500~599AppleTalk600~699Ethernet地址700~799IPX800~899扩展IPX900~999IPXSAP1000~1099MAC1100~1199IPX汇总地址1200~1299标准IP协议:1300~1999(IOSv12.0andlater)扩展IP协议:2000~2699(IOSv12.0andlater)IP访问控制列表:•标准IP访问控制列表:仅依据IP数据包的源地址决定是否过滤数据包;•扩展IP访问控制列表:不但可以检查源地址、目标地址,而且可以检查源和目标的端口号等字段。4.2访问控制——ACL4.2.2标准ACL配置方法1.标准IP访问控制列表语句ACCESS-LISTaccess-list-number{DENY|PERMIT|REMARK}{SOURCE[source-wildcard]|ANY}access-list-number列表号码,范围1~99之间DENY|PERMIT指出该访问控制列表是允许还是拒绝数据包SOURCE[source-wildcard]|ANY主机或网络的源地址,或者是任何主机注意:要匹配某个主机则需要输入该主机的IP地址;若要匹配某个网络,则需要输入网络号,后面跟上通配符掩码。通配符掩码为“1”,表示IP地址的对应位可以是1也可以是0,若通配符掩码为“0”,则表示IP地址对应位必须被精确匹配。例如:210.31.10.00.0.0.255表示前三位域必须是210.31.10,最后一个位域什么值都可以(1~255)2.IP访问控制组语句(首先进入路由器的某个接口)IPACCESS-GROUPaccess-list-number{IN|OUT}access-list-number列表号码,范围1~99之间IN|OUT表示对流入海是流出路由器的数据包进行检查4.2访问控制——ACL标准IP访问控制列表配置实例1标准IP访问控制列表配置Ra#conftRa(config)#access-list1permithost210.31.10.20Ra(config)#access-list1denyanyRa(config)#interfaceethernet0Ra(config-if)#ipaccess-group1in标准IP访问控制列表配置实例2Ra#conftRa(config)#access-list1permithost210.31.10.00.0.0.255Ra(config)#access-list1denyanyRa(config)#interfaceserial0Ra(config-if)#ipaccess-group1out4.2访问控制——ACL4.2.3扩展ACL配置方法1.扩展IP访问控制列表语句ACCESS-LISTaccess-list-number{DENY|PERMIT|REMARK}protocolsourcesource-wildcarddestinationdestination-wildcardoptionaccess-list-number列表号码,范围100~199之间Protocol指明要匹配使用的协议2.IP访问控制组语句IPACCESS-GROUPaccess-list-number{IN|OUT}扩展IP访问控制列表配置实例Rb#conftRb(config)#access-list101permittcp210.31.225.00.0.0.255host210.31.224.11eqtelent(23)Rb(config)#access-list101permittcp210.31.226.00.0.0.255host210.31.224.11eq(80)Rb(config)#access-list101permiticmp210.31.0.00.0.0.255anyRb(config)#access-list101denyipanyanyRb(config)#interfaceserial0Rb(config-if)#ipaccess-group101out需要注意的问题在访问控制列表中除了可以用eq关键字指出单一的端口号外,也可以规定端口号范围。例如:gt1024表示端口号大于1024;用lt1024表示端口号小于1024;range100200则表示端口号介于100和200之间。在每个访问控制列表的底端都可以有一个默认的DENYANY。所以,建议在每个访问控制列表的最后一条语句明确地指出对其余通信量的出来方式。4.2访问控制——ACL4.2.4命名访问控制列表1.标准命名访问控制列表ipaccess-liststandardaclnameipaccess-groupaclname[in|out]2.扩展命名访问控制列表ipaccess-listextendedaclnameipaccess-groupaclname[in|out]3.命名访问控制列表的修改4.2.5.ACL日志ACL语句中的关键字“log”及其作用4.3路由器的安全管理4.3.1本地登录认证图4-23配置本地登录认证4.3路由器的安全管理4.3.1本地登录认证图4-24本地登录认证4.3.2访问类语句图4-25限制对路由器的管理性访问4.3.2访问类语句图4-26进行VTY访问控制4.3.3HTTP/HTTPS1.HTTP管理方式图4-29HTTP访问本地认证配置图4-31限制HTTP访问位置图4-33关闭路由器上的HTTP服务4.3.3HTTP/HTTPS2.HTTPS管理方式图4-34配置路由器支持HTTPS访问方式4.3.4SSH图4-39配置路由器上的SSH服务的步骤4.3.4SSH2.SSH客户端图4-47SSH命令的上下文帮助信息图4-48以SSH方式登录到路由器R1思考与练习