访问控制列表(华为).ppt

《访问控制列表(华为).ppt》由会员分享，可在线阅读，更多相关《访问控制列表(华为).ppt（34页珍藏版）》请在三一办公上搜索。

1、访问控制列表和地址转换,学习目标,理解访问控制列表的基本原理掌握标准和扩展访问控制列表的配置方法掌握地址转换的基本原理和配置方法,学习完本课程，您应该能够：,IP包过滤技术介绍,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表的作用,访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；在DDR中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换

2、；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,访问控制列表是什么？,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：,如何标识访问控制列表？,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,标准访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,标准访问控制列表的配置,配置标准访问列表的命令格式如下：acl acl-number match-order config|auto rule normal|special permit|deny source source-addr source-wildcard|any,怎样利用 IP

3、 地址 和 反掩码wildcard-mask 来表示一个网段?,如何使用反掩码,反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,路由器,扩展访问控制列表的配置命令,配置TCP/UDP协议的扩展访问列表：rule normal|special permit|deny tcp|udp source source-addr source-wildcard|any source-port operator port1 port2 destinati

4、on dest-addr dest-wildcard|any destination-port operator port1 port2 logging配置ICMP协议的扩展访问列表：rule normal|special permit|deny icmp source source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-code logging配置其它协议的扩展访问列表：rule normal|special permit|deny ip|ospf|i

5、gmp|gre source source-addr source-wildcard|any destination dest-addr dest-wildcard|any logging,扩展访问控制列表操作符的含义,扩展访问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 equal www logging,TCP报文,WWW 端口

6、,问题:下面这条访问控制列表表示什么意思?rule deny udp source 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 great-than 128,如何使用访问控制列表,按照实际需求可以扩展以下应用：设置防火墙的缺省过滤模式允许或禁止时间段过滤设定特殊时间段指定日志主机,Internet,公司总部网络,启用防火墙,将访问控制列表应用到接口上,防火墙的属性配置命令,打开或者关闭防火墙firewall enable|disable 设置防火墙的缺省过滤模式firewall default permit|deny 显示防火墙的状态信息display

7、 firewall,在接口上应用访问控制列表,将访问控制列表应用到接口上指明在接口上是OUT还是IN方向,Ethernet0,Serial0,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,Internet,上班时间（上午8：00 下午5：00）只能访问特定的站点；其余时间可以访问其他站点,时间段的配置命令,time range 命令timerange enable|disable undo settr 命令settr begin-time end-time begin-time end-time.undo settr显示 isintr 命令display isintr显示 timeran

8、ge 命令display timerange,日志功能的配置命令,日志功能是允许在特定的主机上记录下来防火墙的操作：“info-center enable”命令用于开启日志系统。“info-center loghost”命令用于配置日志主机地址等相关属性。“display debugging”命令用于显示日志配置信息。,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list 4 deny 20

9、2.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主 机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,地址转换的提出背景,地址转换是在IP地址日益短缺的情况下提出的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。同时地址转换可以按照用户的

10、需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。,私有地址和公有地址,Internet,LAN1,LAN2,LAN3,私有地址范围：172.16.0.0-172.31.255.255,地址转换的原理,Internet,局域网,PC2,PC1,Port:3000,IP 报文,Port:4000,Port:3010,Port:4001,地址转换,利用ACL控制地址转换,可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。,Internet,局域网,PC2,PC1,设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。,Easy IP特性

11、,Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。,Internet,局域网,PC2,PC1,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,使用地址池进行地址转换,地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。地址池可以支持更多的局域网用户同时上Internet。,Internet,局域网,PC2,PC1,地址池,内部服务器的应用,Internet,内部服务器,外部用户,E0,Serial 0,内部地址内部端口:80,外部地址外部端口:80,配置地址转换:IP地址:端

12、口:8080,地址转换的缺点,地址转换对于报文内容中含有有用的地址信息的情况很难处理。地址转换不能处理IP报头加密的情况。地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。,地址转换的配置任务列表,定义一个访问控制列表，规定什么样的主机可以访问Internet。采用EASY IP或地址池方式提供公有地址。根据选择的方式（地址池方式还是easy ip方式），在连接Internet接口上允许地址转换。根据局域网的需要，定义合适的内部服务器。,NAT的监控与维护,显示地址转换配置display nat设置地址转换连接有效时间nat aging-time tcp|udp|icmp time-valuenat aging-time default清除地址转换连接nat reset,典型访问列表和地址转换综合应用配置案例,Internet,FTP 服务器,Telnet 服务器,WWW 服务器,公司内部局域网,特定的外部用户,配置步骤,按照实际情况具有以下几个步骤：允许/禁止防火墙（Quidway系列路由器默认是禁止防火墙功能）定义扩展的访问控制列表在接口上应用访问控制列表在接口上利用访问控制列表定义地址转换配置内部服务器的地址映射关系,本章总结,包过滤技术的基本规则和原理标准和扩展访问控制列表的配置方法访问控制列表用于防火墙地址转换的基本概念和规则地址转换的配置方法,谢谢大家！,