项目十二 安全策略与数据流量过滤

项目十二安全策略与数据流量过滤1.教学目标□掌握网络安全策略布置原则，掌握IP标准及扩展访问控制列表配置技能，能够根据实际需求准确配置IP访问控制列表，具体如下：（1）了解IP标准及扩展访问控制列表的功能及用途（2）掌握IP标准访问控制列表配置技能（3）掌握IP扩展访问控制列表配置技能2.工作任务□根据客户工作任务的具体要求，配置IP标准或扩展访问控制列表，实现网络数据流量控制。模块1IP标准访问控制列表的建立及应用１.教学目标□了解IP标准访问控制列表的功能及用途□掌握路由器IP标准访问控制列表配置技能□掌握交换机IP标准访问控制列表配置技能2.工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。3.相关实践知识□首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa0端口，如图12.1所示。RouterBPC1PC３Fa2Fa0Fa1Fa1192.168.12.0/2412.2192.168.1.0/24192.168.3.0/2412.11.13.1校企财务科财务处PC２教师办公室1.10Fa02.1192.168.2.0/242.103.10RouterA图12.1路由器IP标准访问控制列表第1步：基本配置路由器RouterA：RenableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置第2步：在路由器RouterB上配置IP标准访问控制列表RouterB(config)#access-list1deny192.168.2.00.0.0.255RouterB(config)#access-list1permit192.168.1.00.0.0.255验证测试RouterB#showaccess-list1第3步：应用在路由器RouterB的Fa0接口输出方向上RouterB(config)#interfacefastethernet0RouterB(config-if)#ipaccess-group1out验证测试RouterB#showipinterfacefastethernet04.相关理论知识□ACL概述访问控制列表（ACL）是在交换机或路由器上定义一些规则，对经过网络设备的数据包根据一定规则进行过滤。□ACL分类（1）编号访问控制列表：在路由器配置的访问控制列表是由编号来命名的，包括IP标准访问控制列表和IP扩展访问控制列表。（2）命名访问控制列表：在三层交换机配置的访问控制列表是由字符串名字来命令的，包括IP标准访问控制列表和IP扩展访问控制列表。□编号标准访问控制列表（1）标准访问控制列表在路由器上建立的访问控制列表，其编号取值范围为1－99之间整数值，只根据源IP地址过滤流量。在标准或扩展访问列表的末尾，总有一个隐含的Denyall。这意味着如果数据包源地址与任何允许语句不匹配，则隐含的Denyall将会禁止该数据包通过。（2）定义访问控制列表R(config)#access-listaccess-listnumber{permit/deny}source{sourcemask}其中：access-listnumber：访问列表序号,范围是1-99；Permit/deny：允许/禁止满足条件的数据包通过；Source：过滤数据包的源IP地址；Sourcemask：通配屏蔽码，1：不检查位，0：必须匹配位。【例12.3】定义访问控制列表1拒绝特定主机192.168.10.1的流量，但允许其它的所有主机。R(config)#access-list1denyhost192.168.10.1R(config)#access-list1permitany（3）应用访问控制列表访问控制列表需要应用到路由器的一个接口上，应用到一个接口上可选择入栈（IN）或出栈（OUT）二个方向。【例12.5】将访问控制列表1应用到路由器的接口fastethernet0的入栈方向上。R#configureterminalR(config)#interfacefastethernet0R(config-if)#ipaccess-group1inR(config-if)#end□命名标准访问控制列表在三层交换机上配置命名标准访问控制列表，也是采用定义ACL、在接口上应用ACL、查看ACL等步骤进行。第1步：进入Access-list配置模式，用名字来定义一条标准访问控制列表。Switch(config)#ipaccess-liststandard｛name｝Switch(config-std-nacl)#第2步：定义访问控制列表条件Switch(config-std-nacl)#deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}。Switch(config-std-nacl)#exitSwitch(config)#其中：permit允许通过；deny禁止通过；Source是要被过滤数据包的源IP地址；source-wildcard是通配屏蔽码，指出该域中哪些位进行匹配，1表示允许这些位不同，0表示这些位必须匹配；Hostsource代表一台源主机，其source-wildcard为0.0.0.0；any代表任意主机，即source为0.0.0.0，source-wildcard为255.255.255.255。第3步：应用访问控制列表Switch(config)#interfacevlann其中：n是指Vlann，以实现进入SVI模式Switch(config-if)#ipaccess-group[name]［in|out］其中：name为访问控制列表名称，in或out为控制接口流量方向。Switch(config-if)#【例12.7】在交换机上配置访问控制列表，实现只禁止192.168.2.0网段上主机发出的数据，而允许其它任意主机。Switch#configureterminalSwitch(config)#Switch(config)#ipaccess-liststandarddeny_2.0Switch(config-std-nacl)#deny192.168.2.00.0.0.255Switch(config-std-nacl)#permitanySwitch(config-std-nacl)#exitSwitch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_2.0inSwitch(config-if)#endSwitch#showaccess-lists模块2IP扩展访问控制列表的建立及应用１.教学目标□了解IP扩展访问控制列表功能及用途□掌握路由器IP扩展访问控制列表配置技能□掌握交换机IP扩展访问控制列表配置技能2.工作任务你是学校网络管理员，学校的网管中心分别架设FTP、Web服务器，其中FTP服务器供教师专用，学生不可使用；Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络的数据流量控制。3.相关实践知识□首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许192.168.1.0网段（学生宿舍）主机发出的去192.168.3.0网段的FTP数据包通过，允许192.168.1.0网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa0端口，如图12.4所示。RouterBPC1FTPFa2Fa0Fa1Fa1192.168.12.0/2412.2192.168.1.0/24192.168.3.0/2412.11.13.1学生宿舍网管中心PC２教师办公室1.10Fa02.1192.168.2.0/242.103.10RouterAWEB3.11图12.4路由器IP扩展访问控制列表第1步：基本配置路由器RouterA：RenableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet1RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet2RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB同理配置第2步：在路由器RouterA上配置IP扩展访问控制列表拒绝来自192.