返回
第09章 网络设备安全技术(acl nat)

第09章 网络设备安全技术(acl nat)

ID:1473885

大小:1.83 MB

页数:89页

时间:2017-11-11

第09章 网络设备安全技术(acl nat)_第1页
第09章 网络设备安全技术(acl nat)_第2页
第09章 网络设备安全技术(acl nat)_第3页
第09章 网络设备安全技术(acl nat)_第4页
第09章 网络设备安全技术(acl nat)_第5页
资源描述:

《第09章 网络设备安全技术(acl nat)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第09章网络设备安全技术ACL与NAT第一节TCP/IP传输层与应用层应用层传输层Internet层网络访问层TCP/IPOSITCP/IP:网络访问层协议TCP/IP:互联网络层协议Internet层的功能互联网络层给每个网络的每台网络设备和主机配置所属的IP地址,实现逻辑寻址。能够建立网络与网络、主机与主机之间的连通性,但不保证数据传输的可靠性。10.20.30.2/24172.16.1.2/24172.31.255.2/24TCP/IP:传输层协议传输控制协议(TCP)面向连接,每传输一个数据分段,都建立一个连接可

2、靠的传输用户数据报协议(UDP)无连接,将数据分段发送出去后不确认对方是否已接收到不可靠,需要应用层协议提供可靠性TCP与UDP协议TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。TCP端口号范围为:0~65535UDP端口号范围为:0~65535传输层提供从源主机到目的主机的传输服务,在网络端点之间建立逻辑连接。传输层TCP协议能够实现数据传输的可靠性。传输层能够实现数据传输时的流控制。源端口和目的端口主机之间的多会话一台服务器可能提供多种服务,如Web和FTP,在传输层用端口来区分每个应用服务。客户端也需

3、要向多个目的发送不同的数据连接,使用端口区分每个连接。服务器使用知名端口号0~1023提供服务。客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求,并为每一个连接分配不同的源端口号。目的端口为服务器所开放的知名端口,如HTTP:TCP80,FTP:TCP21。TCP/IP:应用层协议Web服务:HTTP---TCP80号端口文件传输服务:FTP---TCP20、21号端口TFTP---UDP69号端口电子邮件服务:SMTP---TCP25号端口POP3---TCP110号端口IMAP4---TCP143号端

4、口域名服务:DNS---TCP、UDP53号端口远程登录:Telnet---TCP23号端口SSH---TCP22号端口网络管理:SNMP---UDP161号端口第二节访问控制列表?问题1能否实现以下限制:除了老板以外,其他员工只能访问互联网上的Web、FTP和电子邮件等常用服务,拒绝BT、电驴、在线电影、网络游戏甚至QQ、MSN等与工作无关的数据。?问题210.1.1.0/24172.16.1.0/24172.16.2.0/2410.1.2.0/24192.168.1.0/30R1R2.1.1.1.2.1.1172.1

5、6.1.8/24172.16.1.9/24财务应用服务器财务数据库服务器深圳上海财务部要求实现:总公司和分公司只有财务部的员工可以访问财务应用服务器。分公司财务部不可以访问财务数据库服务器财务部ACL的作用ACL(AccessControlList,访问控制列表),是应用在路由器接口上的指令列表。这些指令告诉路由器哪些数据包分组可以接收,哪些数据包分组需要拒绝。接收或拒绝基于一定的条件标准访问控制列表基于源地址做为判断依据。扩展访问控制列表基于源地址、目标地址、源端口、目标端口等做为判断依据。先创建ACL,再把ACL应用

6、到路由器接口上。先看一个简单的ACL例子172.16.1.0/24172.16.2.0/24R1172.16.1.8/24财务应用服务器财务部R1(config)#ipaccess-liststandardpermit_172.16.2.2R1(config-std-nacl)#permit172.16.2.30.0.0.0R1(config-std-nacl)#deny0.0.0.0255.255.255.255R1(config-std-nacl)#exitR1(config)#interfacee1 R1(conf

7、ig-if)#ipaccess-grouppermit_172.16.2.2out172.16.1.9/24财务数据库服务器.1.1172.16.2.2/24172.16.2.3/24标准ACL的语法Router(config)#ipaccess-liststandard访问控制列表名字(创建命名访问控制列表)Router(config-std-nacl)#permit源地址源地址的反掩码或Router(config-std-nacl)#deny源地址源地址的反掩码(源地址可以是子网地址或主机地址)标准访问控制列表只以数

8、据包的源地址做为判断条件可以配置多个允许或拒绝的条件判断语句列表,路由器对每一个数据包都按照列表顺序逐条检查,如果匹配某一条语句,就按照语句执行,要么允许数据包通过,要么拒绝通过。不再检查后面的语句。如果所有的语句都不匹配,就拒绝数据包通过。ACL对数据包检查的过程到达访问控制组接口的数据包目的接口匹配第一条匹配下一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。