返回
路由器的高级功能访问控制列表配置课件.ppt

路由器的高级功能访问控制列表配置课件.ppt

ID:57050662

大小:936.50 KB

页数:26页

时间:2020-07-28

路由器的高级功能访问控制列表配置课件.ppt_第1页
路由器的高级功能访问控制列表配置课件.ppt_第2页
路由器的高级功能访问控制列表配置课件.ppt_第3页
路由器的高级功能访问控制列表配置课件.ppt_第4页
路由器的高级功能访问控制列表配置课件.ppt_第5页
资源描述:

《路由器的高级功能访问控制列表配置课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第七章路由器的高级功能-访问控制列表配置路由器的高级功能访问控制列表配置主讲:唐中剑1ACL配置路由器的高级功能-访问控制列表配置本课目录ACL概述27.1.1ACL概述ACL概述防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。一般应将防火墙置于被保护网络的入口点来执行访问控制。例如,将防火墙设置在内部网和外部网的连接处,以保护内部网络或数据免于为未认证或未授权的用户访问,防止来自外网

2、的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来,对受保护数据的访问都必须经过防火墙的过滤,即使该访问是来自组织内部。37.1.1ACL概述ACL概述防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。现在的许多防火墙同时还具有一些其它特点,如进行用户身份鉴别,对信息进行安全(加密)处理等等。在路由器上配置了防火墙特性后,路由器就成了一个健壮而有效的防火墙。47.1.1ACL概述ACL概述2.防火墙的分类一般把防火墙分为两类:网络

3、层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息,如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数据,而应用层的防火墙则对整个信息流进行分析。57.1.1ACL概述ACL概述常见的防火墙有以下几类:应用网关:检验通过网关的所有数据包中的应用层数据。包过滤:对每个数据包按照用户所定义的项目进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态,也不分析数据。如用户规定允许端口是21或者大于等于1024的数据包通过,则只要端口符合该条件,数据包便可以通过此防火墙。若配置的规则比较符

4、合实际应用的话,在这一层能过滤掉很多有安全隐患的数据包。代理:一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须通过它来实现,这样可以控制对内部网络中具有重要资源的机器的访问。6IP包过滤技术介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处ACL概述7访问控

5、制列表的作用访问控制列表可以用于防火墙;访问控制列表可以用于Qos(QualityofService),对数据流量进行控制;在DCC中,访问控制列表还可用来规定触发拨号的条件;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。ACL概述8访问控制列表是什么?一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规

6、则ACL概述9如何标识访问控制列表?利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist1-99IPextendedlist100-199ACL概述10标准访问控制列表标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器ACL概述11标准访问控制列表的配置配置标准访问列表的命令格式如下:aclacl-number[match-orderauto

7、confi

8、g]rule{normal

9、special}{permit

10、deny}[sourcesource-addrsource-wildcard

11、any]怎样利用IP地址和反掩码wildcard-mask来表示一个网段?ACL配置12如何使用反掩码反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位ACL配置13扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒

12、绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器ACL配置14扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表:rule{normal

13、special}{permit

14、deny}{

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。