《网络安全配置》PPT课件.ppt

第5章 网络安全配置,中原工学院 计算机学院 网络工程系,学习目标,掌握NAT动态转换配置方法,掌握NAT静态转换配置方法,掌握应用IP ACL配置方法,掌握扩展IP ACL定义方法,掌握标准IP ACL定义方法,5.1 ACL配置,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,ACL通过应用访问控制列表到路由器接口 来管理流量和审视特定分组。ACL适用于所有的路由协议，当分组经过 路由器时进行过滤。可在路由器上配置ACL以控制对某一网络 或子网的访问。ACL的定义必须基于协议。,访问控制列表（Access Control List，ACL）,是一个连续的允许和拒绝语句的集合，关系 到地址或上层协议。,（2）一个ACL的配置是每协议、每接口、每 方向的。（3）ACL的语句顺序决定了对数据包的控制 顺序。（4）最有限制性的语句应放在ACL语句的首 行。（5）在将ACL应用到接口之前，一定要先建 立访问控制列表。（6）ACL的语句 能被逐条地删除，只能一次 性地删除整个访问控制列表。（7）在ACL的最后，有一条隐含的“全部拒绝”的命令。（8）ACL只能过滤穿过路由器的数据流量，不 能过滤路由器本身发出的数据包。,5.1 ACL配置,（1）ACL的列表号指出是哪种协议的ACL,定义ACL时所应遵循的规范：,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义标准IP访问列表,access-list access-list-number deny|permit source source-wildcard,access-list-number,deny,permit,source,source-wildcard,访问列表编号,在匹配条件语句时，拒绝分组通过,在匹配条件语句时，允许分组通过,发送分组的源地址，指定源地址方式如下：32位点分十进制。使用关键字any，作为的源地址和源地址通配符的缩写字。,（可选项）通配符掩码，指定源地址通配符掩码方式如下：32位点分十进制。使用关键字any，作为的源地址和源地址通配符的缩写字。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,通配符掩码:,一个32比特的数字字符串。0 表示检查相应位 1 表示不检查相应位,通配符掩码跟IP地址是成对出现的。在通配符 掩码的地址位使用1或0表明如何处理相应的IP 地址位。ACL使用通配符掩码来标志一个或几个地址是 被允许，还是被拒绝。,所有主机,简写,any,特定的主机：,简写,host,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 标准访问列表允许IP地址范围从到的设备访问。,例 标准访问列表允许来自三个指定网络上的 主机访问。,例 为了更容易地指定大量单独地址，如果通 配符掩码都为0，可以忽略。因此，如下三个 配置效果是一样的。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 来自网络的主机被限制访问该路由 器，但网络中所有其它IP主机被允许。另外，地址主机允许访问该路由器。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 应用列表101过滤从以太网接口0出站的分组。,在接口配置模式下,前提模式：,命令格式：,功能：,应用一个IP访问列表到一个接口,ip access-group access-list-name|access-list-number in|out,access-list-number,in,out,IP访问列表的号码,入站过滤分组,出站过滤分组,access-list-name,IP访问列表名字,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 定义访问列表只允许在网络上 的主机连接到路由器上虚拟终端端口。,在线路配置模式下,前提模式：,命令格式：,功能：,限制一个特定的vty之间的传入和 传出连接和在访问列表中的地址,access-class access-list-number in|out,in,out,在传入连接限制,在传出连接限制,access-list-number,IP访问列表的号码,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,扩展ACL,既可检查分组的源地址和目的地址，也 检查协议类型和TCP或UDP的端口号。可以基于分组的源地址、目的地址、协 议类型、端口地址和应用来决定访问是 被允许或者被拒绝。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义扩展IP访问列表,access-list access-list-number deny|permit protocol source source-wildcard destination destination-wildcard,access-list-number,deny,permit,protocol,source,source-wildcard,destination,destination-wildcard,访问控制列表编号,如果条件符合就拒绝访问,如果条件符合就允许访问,Internet协议名称或号码,发送分组的网络号或主机,应用于源地址的反向掩码,分组的目的网络号或主机,应用于目的地址的反向掩码,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 串行接口0是地址为的B类网络的一 部分，邮件主机的地址为。established 关键字只用在TCP协议，表示一个建立的连接。如果TCP数据包中的ACK或RST被设置，那么匹 配发生，表明分组属于一个存在的连接。,例 允许DNS分组和ICMP回送和回送回答分组。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 串行接口0连接路由器到Internet。IGMP 的host-report报文被禁止在任何内部主机与 任何Internet上外部主机之间传送。,例 以太网接口0连接路由器到防火墙以访问 Internet。为了确保Internet RIP报文不进入 路由器，应用了ACL104的拒绝RIP UDP报 文的入站过滤器。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,使用命名ACL有以下好处：,（1）直观（2）不受99条标准ACL和100条扩展ACL的限制（3）方便修改,在全局配置模式下,前提模式：,命令格式：,功能：,定义一个使用名称或编号的IP访问列表,ip access-list standard|extended access-list-name|access-list-number,standard,extended,access-list-name,access-list-number,标准IP访问列表,扩展IP访问列表,IP访问列表名称,访问列表的编号,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 定义标准访问列表，命名为Internetfilter。,在实现命名ACL之前，需要考虑：,（1）11.2之前版本的Cisco IOS软件不支持 命名ACL。（2）不能够以同一名字命名多个ACL。,例 定义扩展访问列表，命名为server-access,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 定义扩展访问列表，命名为server-access,例 从标准命名ACL中删除单独的ACE。,例 从标准命名ACL中删除单独的ACE。,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,命令如下：,扩展的ACL命令如下：,放置ACL的一般原则是：,扩展ACL尽可能放置在距离要被拒绝的 通信量近的地方。标准ACL应该尽可能放置在距离目的地 最近的地方。如果要禁止PC3访问PC1，可以在网络中 使用标准的ACL,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,使用的位置,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 查看全部ACL。,在用户模式或特权模式下,前提模式：,命令格式：,功能：,显示当前访问列表的内容,show access-lists access-list-number|access-list-name,access-list-number,access-list-name,(可选项)访问列表编号,(可选项)访问列表名称,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,在特权模式下,前提模式：,命令格式：,功能：,显示所有当前IP访问列表的内容,show ip access-list access-list-number|access-list-name|interface interface-name in|out,access-list-number,access-list-name,interface interface-name,in,out,(可选项)IP访问列表编号,(可选项)IP访问列表名称,(可选项)接口名称,(可选项)输入接口统计信息,(可选项)输出接口统计信息,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 显示所有访问列表。,例 显示指定名称的访问列表。,例 显示快速以太网接口0/0的输入统计信息,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.1 ACL配置,例 清除访问列表101的计数器。,在特权模式下,前提模式：,命令格式：,功能：,清除访问列表的计数器,clear access-list counters access-list-number|access-list-name,access-list-number,access-list-name,访问列表编号,访问列表名称,ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL NAT配置 实验练习,5.2 NAT配置,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,网络地址转换(NAT,Network Address Translation),静态转换Static Nat动态转换Dynamic Nat端口多路复用OverLoad,NAT的实现方式:,仅以增强的网络状态作为补充，而忽略了IP地址端对端的重要性。,NAT解决方法的不足:,Inside Local IP Address，内部本地地址Inside Global IP Address，内部全局地址Outside Local IP Address，外部本地地址Outside Glocal IP Address，外部全局地址,NAT使用下列地址定义：,5.2 NAT配置,静态NAT转换,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在全局配置模式下,前提模式：,静态NAT命令格式：,功能：,启用内部源地址的NAT静态转换,ip nat inside source static local-ip global-ip,内部网络主机本地IP地址,内部主机全局IP地址,local-ip,global-ip,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,端口静态NAT命令格式：,ip nat inside source static tcp|udp local-ip local-port global-ip global-port|interface global-port,网络静态NAT命令格式：,ip nat inside source static network local-network global-network mask,tcp,udp,local-port,global-port,传输控制协议,用户数据报协议,本地TCP/UDP端口号,全局TCP/UDP端口号,local-network,global-network,mask,本地子网转换,全局子网转换,子网转换使用的IP网络掩码,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在接口配置模式下,前提模式：,命令格式：,功能：,指定接口对NAT是流量来源或者目的,ip nat inside|outside,inside,outside,（可选项）表明接口连接到外部网络,（可选项）表明接口连接到内部网络,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,例 静态NAT配置,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,（1）配置静态NAT映射,（2）配置NAT内部接口,（3）配置NAT外部接口,在PC0和PC1上（路由器Router1的 串行接口1/0）,此时应该是通的，路由器Router0 的输出信息如下：,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,查看NAT表,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,动态NAT转换,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义NAT的IP地址池,ip nat pool name start-ip end-ip netmask netmask|prefix-length prefix-length,name,start-ip,end-ip,netmask netmask,prefix-length prefix-length,地址池名,地址池中起始IP地址,地址池中结束IP地址,地址池所属网络的网络掩码,地址池所属网络的网络掩码前缀长度,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,定义一个标准访问控制列表以允许地址被转换,access-list access-list-number deny|permit source source-wildcard,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,功能：,启用内部源地址的NAT,ip nat inside source list access-list-number|access-list-name interface type number|pool name overload,access-list-number,access-list-name,interface type number,pool name,overload,标准IP访问列表的编号,标准IP访问列表的名称,全局地址的接口类型、编号,全局IP地址动态分配的地址池的名称,（可选项）多个本地地址使用一个全局地址,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,例 动态NAT配置,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,配置动态NAT转换的地址池。,配置动态NAT映射。,允许动态NAT转换的内部地址范围。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在PC0和PC1上（路由器 Router1的串行接口1/0）,此时应该是通的，路由器Router0的输出信息如下：,如果动态地址池中的没有足够的地址进行动 态映射，则会出现类似下面的信息，提示 NAT转换失败，并丢弃数据包。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,查看NAT转换的统计信息。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,PAT转换,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,例 配置PAT,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,（1）配置动态NAT转换的地址池,（2）配置PAT,（3）配置允许动态NAT转换的内部地址范围,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在PC0和PC1上（路由器 Router1的串行接口1/0）,此时应该是通的，路由器Router0的输出信息如下：,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,以上输出表明进行PAT转换使用的是同一个IP 地址的不同端口号。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,动态NAT的过期时间是86400s，PAT的过期 时间是60s，通过show ip nat tranlastions verbose命令可以查看，也可以通过下面的命 令修改超时时间：,如果主机的数量不是很多，可以直接使用 outside接口地址配置PAT，不必定义地址池，命令如下：参数timeout的范围是0到2147486。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,ip nat translation timeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout|icmp-timeout|pptp-timeout|syn-timeout|port-timeout|arp-ping-timeout seconds|never,5.2 NAT配置,在全局配置模式下,前提模式：,命令格式：,改变NAT转换超时时间,timeout,功能：,udp-timeout,dns-timeout,tcp-timeout,finrst-timeout,icmp-timeout,pptp-timeout,syn-timeout,port-timeout,arp-ping-timeout,seconds,never,应用于动态转换的超时值，除复用转换外，默认为86400秒（24小时）,应用于UDP端口的超时值，默认为300秒（5分钟）。,应用于DNS连接的超时值，默认为60秒,应用于TCP端口的超时值，默认为86400秒（24小时）,应用于结束（FIN）和复位（RST）中止连接的TCP包超时值，默认为60秒,ICMP流的超时值，默认为60秒,NAT PPTP流的超时值，默认为86400秒（24小时）。,紧接SYN传输消息后TCP流的超时值，默认为60秒。,应用于TCP/UDP端口的超时值,端口转换超时的秒数，默认为0,没有端口转换超时,应用于arp ping的超时值,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在用户模式或特权模式下,前提模式：,命令格式：,功能：,显示活动的NAT转换,show ip nat translations protocol verbose,protocol,verbose,(可选项)显示协议项目，协议参数关键字如下：esp：ESP协议项目。icmp：ICMP协议项目。pptp：PPTP协议项目。tcp：TCP协议项目。udp：UDP协议项目。,(可选项)显示每个转换表项目的额外信息。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,例 show ip nat translations命令输出,协议,源全局地址,源本地地址,目的本地地址,目的全局地址,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在特权模式下,前提模式：,命令格式：,功能：,显示NAT统计信息,show ip nat translations,例 show ip nat statistics命令输出,系统活动的转换数,外部接口列表,内部接口列表,转换表查询找到表项的次数,转换表查询没有找到表项的次数,过期的转换数,动态映射信息,内部源转换信息,访问列表编号,地址池的名称,使用地址池的转换数,地址池IP网络掩码,地址池起始IP地址,地址池终止IP地址,地址池的类型，可能的类型为generic或rotary。,地址池可用的地址数,被使用的地址数,地址池分配失败数,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,在特权模式下,前提模式：,命令格式：,功能：,从转换表中清除动态NAT转换,clear ip nat translation*|inside global-ip global-port local-ip local-port|outside local-ip global-ip esp|tcp|udp,*,inside,global-ip,global-port,local-ip,local-port,outside,esp,tcp,udp,清除所有动态转换,(可选项)清除含有指定global-ip和local-ip地址的内部转换,(可选项)全局IP地址,(可选项)全局端口,(可选项)本地IP地址,(可选项)本地端口,(可选项)清除含有指定global-ip和local-ip地址的外部转换,(可选项)从转换表清除ESP项目,(可选项)从转换表清除TCP项目,(可选项)从转换表清除UDP项目,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.2 NAT配置,例 显示UDP项目被清除前后的NAT项目。,ACL配置NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT实验练习,5.3实验练习,ACL配置NAT配置实验练习,实验拓扑如图所示：,5.3实验练习,路由器配置步骤如下：（1）ACL配置在Router1上，创建标准ACL，只允许来自网络的数据包被转发,其余的数据包都将被阻止；将ACL绑定到serial0的入口上。,在Router1上，创建扩展ACL，只允许来自router3的Telnet服务，允许来自router4的ping命令；移除以前的访问控制列表，将新创建的扩展ACL绑定到serial0的入口上。,ACL配置NAT配置实验练习,5.3实验练习,通过从router3和router4 ping和telnet到router2测试访问控制列表100。router3（）应该能够telnet到router2，而不能ping通router2。Router4（）应该能ping通router2，而不能telnet到router2。,（2）NAT配置在Router1上，配置静态NAT映射，配置NAT内部接口，配置NAT外部接口，查看NAT表；配置PAT,ACL配置NAT配置实验练习,5.3实验练习,ACL配置NAT配置实验练习,