项目十二安全策略与数据流量过滤

项目十二

安全策略与数据流量过滤

1. 教学目标

□ 掌握网络安全策略布置原则，掌握 IP 标准及扩展访问控制列表配置技能，能够根据实际需求准确配置 IP 访问控制列表，具体如下：（ 1 ）了解 IP 标准及扩展访问控制列表的功能及用途（ 2 ）掌握 IP 标准访问控制列表配置技能（ 3 ）掌握 IP 扩展访问控制列表配置技能

2. 工作任务

□ 根据客户工作任务的具体要求，配置 IP 标准或扩展访问控制列表，实现网络数据流量控制。

模块 1

IP 标准访问控制列表的建立及应用

１ . 教学目标

□ 了解 IP 标准访问控制列表的功能及用途

□ 掌握路由器 IP 标准访问控制列表配置技能

□ 掌握交换机 IP 标准访问控制列表配置技能

2. 工作任务　　　　你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的 3 个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

3. 相关实践知识　　　 □ 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器 RouterB 配置 IP 标准访问控制列表，允许 192.168.1.0 网段（校办企业财务科）主机发出的数据包通过，不允许 192.168.2.0 网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器 RouterB 的 Fa 0 端口，如图 12.1 所示。

RouterB

PC1

PC３Fa2

Fa0

Fa1Fa1

192. 168. 12. 0/ 24

12. 2

192. 168. 3. 0/ 24

12. 1

1. 1

3. 1

校企财务科

财务处

PC２

教师办公室

1. 10Fa0

2. 12. 10

3. 10

RouterA

图 12.1 　路由器 IP 标准访问控制列表

第 1 步：基本配置路由器 RouterA ：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#Exit

RouterA (config)#interface fastethernet 1RouterA (config-if)#ip address 192.168.12.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2路由器 RouterB 同理配置

第 2 步：在路由器 RouterB 上配置 IP 标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第 3 步：应用在路由器 RouterB 的 Fa 0 接口输出方向上RouterB (config)#interface fastethernet 0RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0

4. 相关理论知识

□ACL 概述　访问控制列表（ ACL ）是在交换机或路由器上定义一些规则，对经过网络设备的数据包根据一定规则进行过滤。 □ACL 分类（ 1 ）编号访问控制列表：在路由器配置的访问控制列表是由编号来命名的，包括 IP 标准访问控制列表和 IP 扩展访问控制列表。（ 2 ）命名访问控制列表：在三层交换机配置的访问控制列表是由字符串名字来命令的，包括 IP 标准访问控制列表和 IP 扩展访问控制列表。

□ 编号标准访问控制列表（ 1 ）标准访问控制列表在路由器上建立的访问控制列表，其编号取值范围为 1 － 99 之间整数值，只根据源 IP 地址过滤流量。在标准或扩展访问列表的末尾，总有一个隐含的 Deny all 。这意味着如果数据包源地址与任何允许语句不匹配，则隐含的 Deny all 将会禁止该数据包通过。（ 2 ）定义访问控制列表 R (config)#access-list access-list number {permit/deny} source {source mask} 其中： access-list number ：访问列表序号 ,范围是 1-99 ； Permit/deny ：允许 / 禁止满足条件的数据包通过； Source ：过滤数据包的源 IP 地址； Source mask：通配屏蔽码， 1 ：不检查位， 0 ：必须匹配位。

【例 12.3】定义访问控制列表 1拒绝特定主机 192.168.10.1 的流量，但允许其它的所有主机。R(config)#access-list 1 deny host 192.168.10.1R(config)#access-list 1 permit any

（ 3 ）应用访问控制列表访问控制列表需要应用到路由器的一个接口上，应用到一个接口上可选择入栈（ IN）或出栈（ OUT）二个方向。【例 12.5】将访问控制列表 1 应用到路由器的接口 fastethernet 0 的入栈方向上。R#configure terminalR(config)# interface fastethernet 0R(config-if)#ip access-group 1 inR(config-if)#end

□ 命名标准访问控制列表在三层交换机上配置命名标准访问控制列表，也是采用定义 ACL 、在接口上应用 ACL 、查看 ACL等步骤进行。第 1 步：进入 Access-list 配置模式，用名字来定义一条标准访问控制列表。Switch(config)#ip access-list standard ｛ name｝ Switch(config-std-nacl)#第 2 步：定义访问控制列表条件Switch(config-std-nacl)#deny {source source-wildcard|host source |any}或 permit{source source-wildcard|host source|any}。Switch(config-std-nacl)#exitSwitch(config)#

其中： permit 允许通过； deny 　禁止通过；Source 是要被过滤数据包的源 IP 地址；source-wildcard 是通配屏蔽码，指出该域中哪些位进行匹配，1 表示允许这些位不同， 0 表示这些位必须匹配；Host source代表一台源主机，其 source-wildcard 为 0.0.0.0 ；any代表任意主机，即 source 为 0.0.0.0 ， source-wildcard 为255.255.255.255 。第 3 步：应用访问控制列表Switch(config)#interface vlan n其中： n 是指 Vlan n ，以实现进入 SVI模式Switch(config-if)#ip access-group [name] ［ in|out］其中： name 为访问控制列表名称， in 或 out 为控制接口流量方向。Switch(config-if)#

【例 12.7 】在交换机上配置访问控制列表，实现只禁止 192.168.2.0 网段上主机发出的数据，而允许其它任意主机。Switch#configure terminalSwitch(config)#Switch(config)#ip access-list standard deny_2.0Switch(config-std-nacl)#deny 192.168.2.0 0.0.0.255Switch(config-std-nacl)#permit any Switch(config-std-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group deny_2.0 inSwitch(config-if)#endSwitch#show access-lists

模块 2

IP 扩展访问控制列表的建立及应用

１ . 教学目标

□ 了解 IP 扩展访问控制列表功能及用途

□ 掌握路由器 IP 扩展访问控制列表配置技能

□ 掌握交换机 IP 扩展访问控制列表配置技能

2. 工作任务　　　　你是学校网络管理员，学校的网管中心分别架设 FTP 、Web服务器，其中 FTP服务器供教师专用，学生不可使用；Web服务器教师和学生都可访问。 FTP 及Web服务器、教师办公室和学生宿舍分属不同的 3 个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络的数据流量控制。

3. 相关实践知识　　　 □ 首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器 RouterA 配置 IP 扩展访问控制列表，不允许 192.168.1.0网段（学生宿舍）主机发出的去 192.168.3.0 网段的FTP 数据包通过，允许 192.168.1.0 网段主机发出的其它服务数据包通过，最后将这一策略加到路由器 RouterA 的 Fa 0 端口，如图 12.4 所示。

RouterB

PC1

FTP

Fa2

Fa0

Fa1Fa1

192. 168. 12. 0/ 24

12. 2

192. 168. 1. 0/ 24

192. 168. 3. 0/ 24

12. 1

1. 1

3. 1

学生宿舍

网管中心

PC２

教师办公室

1. 10Fa0

2. 1

192. 16

8. 2. 0/

24

2. 10

3. 10

RouterA

WEB3. 11

图 12.4 　路由器 IP 扩展访问控制列表

第 1 步：基本配置路由器 RouterA ：R>enableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#Exit

RouterA (config)#interface fastethernet 1RouterA (config-if)#ip address 192.168.12.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2路由器 RouterB 同理配置

第 2 步：在路由器 RouterA 上配置 IP 扩展访问控制列表拒绝来自 192.168.1.0 网段去 192.168.3.0 网段的 FTP 流量通过RouterA (config)#access-list 101 deny TCP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP允许其它服务的流量通过RouterA (config)#access-list 101 permit IP any any 验证测试RouterA #show access-list 101第 3 步：把访问控制列表应用在路由器 RouterA 的 Fa 0 接口输入方向上。RouterA(config)#interface fastethernet 0RouterA (config-if)#ip access-group 101 in


□ 编号扩展访问控制列表　扩展编号访问控制列表同标准编号访问控制列表一样也是在路由器上创建的，其编号范围为 100 到 199 之间。扩展 IP 访问控制列表可以基于数据包源 IP 地址、目的 IP地址、协议及端口号等信息来过滤流量。 □ 配置编号扩展访问控制列表

R(config)#access-list listnumber { permit | deny } protocol source source-wildcard-mask destination destination-wildcard-mask [ operator operand ]

其中：Listnumber ：规则序号，范围为 100-199 。 Permit/deny ：允许 /或禁止满足该规则的数据包通过。protocol ： 0-255 之间协议号，也可用协议名（如 IP 、TCP 和 UDP 。operator operand ：用于指定端口范围，缺省为全部端口号 0-65535 ，只有 TCP 和 UDP 协议需要指定端口范围。【例 12.8】在路由器 R 上配置访问控制列表，实现只允许从 129.8.0.0 网段的主机向 202.39.160.0 网段的主机发送WWW报文，禁止其它报文通过。R(config)#Access-list 100 permit tcp 129.8.0.0 0.0.255.255 202.39.160.0 0.0.0.255 eq wwwR(config)#interface fastethernet 0R(config-if )#ip access-group 100 inR#show access-lists

□ 命名扩展访问控制列表第 1 步：用名字来定义一个命名扩展访问控制表，并进入扩展访问控制列表配置模式Switch(config)#ip access-list 　 extended {name}witch(config-ext-nacl)#第 2 步：定义访问控制列表条件Switch(config-ext-nacl)#{deny|permit} protocol {source source-wildcard|host source |any}[operator port]{destination destination-wildcard|host destination|any}[operator port]。Switch(config-ext-nacl)#exitSwitch(config)#

其中：Deny ：禁止通过； Permit ：允许通过；Protocol ：协议类型。 TCP ： tcp ； UDP ： udp ； IP ：ip ；Source ：源 IP 地址；source-wildcard ：源 IP 地址通配符；Host source ：源主机，其 source-wildcard 为 0.0.0.0 ；host destination ：目标主机，其 destination-wildcard为 0.0.0.0 ；Any ：任意主机，即 source 或 destination 为 0.0.0.0 ，source-wildcard 或 destination-wildcard 为 255.255.255.255 ；Operator ：操作符，只能为 eq。Port ： TCP 或 UDP 的端口号，范围为 0-65535 。

【例 12.9】在交换机上配置访问控制列表，实现只允许192.168.2.0 网段上主机访问 IP 地址为 172.16.1.100 的Web服务器，而禁止其它任意主机使用。

Switch(config)#ip access-list extended allow_2.0 Switch(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.255 host 172.16.1.100 eq wwwSwitch(config-ext-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group allow_2.0 inSwitch(config-if)#end

模块 3

基于时间的访问列表建立与应用

１ . 教学目标

□ 了解基于时间访问控制列表的功能及用途

□ 掌握路由器基本时间访问控制列表配置技能

2. 工作任务　　　　你是某公司的网管，为了保证公司上班时间的工作效率，公司要求上班时间只可以访问公司的内部网站。下班后员工可以随意放松，访问网络不受限制。

3. 相关实践知识　　　 □ 在路由器上进行基本配置，然后设置基于时间的访问控制列表，把这个访问控制列表应用于路由器的 Fa 0 接口，如图 12.5 所示。

RouterA

PC1 WEB

192. 168. 1. 0/ 24 192. 168. 2. 0/ 24

Fa0 Fa1

1. 11. 10 2. 1 2. 10

图 12.5 　基于时间的访问控制列表

第 1 步：基本配置路由器 RouterA ：R >enableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdown

RouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#Exit第 2 步：配置路由器的时钟RouterA#show clockClock:1987-1-16 5:19:9重新设置路由器当前时钟和实际时钟同步RouterA(config)#clock set 16:03:40 27 april 2006-4-27RouterA#show clockClock:2006-4-27 16:04-9

第 3 步：定义时间段RouterA(config)#time-range freetime定义绝对时间段RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010定义周期性时间段RouterA(config-time-range)#periodic daily 0:00 to 9:00RouterA(config-time-range)#periodic daily 17:00 to 23:59RouterA#show time-rangeTime-range entry:freetime(inactive)Absolute start 8:00 01 january 2006 end 18:00 30 december 2010Periodic daily 0:00 to 9:00Periodic daily 17:00 to 23:59

第 4 步：定义访问控制列表任务时间允许访问服务器 192.168.2.10RouterA (config)#access-list 102 permit ip any host 192.168.2.10允许在规定时间段内访问任何网络RouterA (config)#access-list 102 permit ip any any time-range freetime查看访问控制列表配置RouterA #show access-lists第 5 步：访问控制列表应用在路由器 RouterAFa 0 接口输入方向上RouterA (config)#interface fastethernet 0RouterA (config-if)#ip access-group 102 in查看 Fa 0 接口上应用的规则RouterA #show ip interface fastethernet 0


□ 基于时间的访问列表　基于时间的 ACL 功能使管理员可以依据时间来控制用户对网络资源的访问，即可以根据时间来禁止/允许用户访问网络资源。 □创建并定义 Time-range 接口 Router(config)# time-range time-range-name Router(config-time-range)# absolute [start time date] [end time date] and/or periodic days-of-the-week hh:mm to [days-of-the- week] hh:mm 其中： time-range-name 为定义的接口名

□ 关联 Time-range 接口与 ACL 　只允许扩展访问控制列表 ACL 关联Time- range接口。 □创建并定义 Time-range 接口 Router(config)# access-list number {deny | permit} protocol source src-wildcard destination desti-wildcard [time-range time-range- name]

项目结束

Documents

项目十二 安全策略与数据流量过滤

项目十二安全策略与数据流量过滤