【正文】 的 ACL情況 Router show accesslists Router show ip accessgroup 沖擊波（ MS Blaster）病毒 －－蠕蟲(chóng)病毒，大量 ICMP掃描，導(dǎo)致網(wǎng)絡(luò)阻塞 ?利用 ACL關(guān)閉 ICMP服務(wù)，以及相應(yīng)端口。 標(biāo)準(zhǔn) ACL ?通過(guò)兩種方式創(chuàng)建標(biāo)準(zhǔn) ACL：編號(hào)或名稱 使用編號(hào) 使用編號(hào)創(chuàng)建 ACL 在接口上應(yīng)用 ? In：當(dāng)流量從網(wǎng)絡(luò)網(wǎng)段進(jìn)入路由器接口時(shí) ? Out：當(dāng)流量離開(kāi)接口到網(wǎng)絡(luò)網(wǎng)段時(shí) Router(config) accesslist listnumber { permit | deny } address [ wildcard–mask ] Router(configif) ip accessgroup {id|name} {in|out} 允許 /拒絕 標(biāo)準(zhǔn) ACL ?使用命名 ? 定義 ACL名稱 ? 定義規(guī)則 ? 在接口上應(yīng)用 Router(config) ip accesslist standard name Router(configstdnacl) {deny|permit [source wildcard any ]} Router(configif) ip accessgroup {id|name} {in|out} 配置標(biāo)準(zhǔn) ACL示例 訪問(wèn)控制列表 實(shí)習(xí)項(xiàng)目：配置標(biāo)準(zhǔn)訪問(wèn)列表控制網(wǎng)絡(luò)流量 【 工作任務(wù) 】 如圖所示的網(wǎng)絡(luò)拓?fù)涫悄炒髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場(chǎng)景 ， 要實(shí)現(xiàn)學(xué)生網(wǎng) （ ） 和行政辦公網(wǎng) （ ） 的隔離 ， 可以在其中 R1路由器上做標(biāo)準(zhǔn) ACL技術(shù)控制 ， 以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離 【 項(xiàng)目設(shè)備 】 路由器 （ 2臺(tái) ） ；網(wǎng)線 （ 若干 ） ；測(cè)試 PC（ 2臺(tái) ） ； 【 實(shí)施過(guò)程 】 ………… 階段總結(jié) ? ACL簡(jiǎn)介 ? 訪問(wèn)列表功能 、交換機(jī)支持的訪問(wèn)控制列表 、訪問(wèn)控制列表的類型、訪問(wèn)控制列表工作過(guò)程 ? 配置標(biāo)準(zhǔn)訪問(wèn)控制列表 ? 標(biāo)準(zhǔn) ACL的工作過(guò)程 、配置標(biāo)準(zhǔn) ACL 任務(wù)進(jìn)度 配置交換機(jī)端口安全 1 配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)安全技術(shù) 2 3 配置擴(kuò)展訪問(wèn)控制列表訪問(wèn)安全技術(shù) √ √ 擴(kuò)展型訪問(wèn)控制列表 ?擴(kuò)展型訪問(wèn)控制列表（ Extended IP ACL ）在數(shù)據(jù)包的過(guò)濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的 ACL更強(qiáng)大數(shù)據(jù)包檢查功能。 ACL工作原理及規(guī)則 ?入站 ACL ACL工作原理及規(guī)則 ?出站 ACL ACL工作原理及規(guī)則 ?基本規(guī)則、準(zhǔn)則和限制 ? ACL語(yǔ)句按名稱或編號(hào)分組； ? 每條 ACL語(yǔ)句都只有一組條件和操作，如果需要多個(gè)條件或多個(gè)行動(dòng)，則必須生成多個(gè) ACL語(yǔ)句； ? 如果一條語(yǔ)句的條件中沒(méi)有找到匹配，則處理列表中的下一條語(yǔ)句； ? 如果在 ACL組的一條語(yǔ)句中找到匹配，則不再處理后面的語(yǔ)句； ? 如果處理了列表中的所有語(yǔ)句而沒(méi)有指定匹配，不可見(jiàn)到的隱式拒絕語(yǔ)句拒絕該數(shù)據(jù)包； ? 由于在 ACL語(yǔ)句組的最后隱式拒絕，所以至少要有一個(gè)允許操作，否則，所有數(shù)據(jù)包都會(huì)被拒絕； ? 語(yǔ)句的順序很重要，約束性最強(qiáng)的語(yǔ)句應(yīng)該放在列表的頂部，約束性最弱的語(yǔ)句應(yīng)該放在列表的底部； ACL工作原理及規(guī)則 ?基本規(guī)則、準(zhǔn)則和限制 ? 一個(gè)空的 ACL組允許所有數(shù)據(jù)包，空的 ACL組已經(jīng)在路由器上被激活，但不包含語(yǔ)句的 ACL，要使隱式拒絕語(yǔ)句起作用，則在 ACL中至少要有一條允許或拒絕語(yǔ)句； ? 只能在每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACL； ? 在數(shù)據(jù)包被路由到其它接口之前，處理入站 ACL； ? 在數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開(kāi)接口之前，處理出站 ACL； ? 當(dāng) ACL應(yīng)用到一個(gè)接口時(shí)，這會(huì)影響通過(guò)接口的流量，但 ACL不會(huì)過(guò)濾路由器本身產(chǎn)生的流量。 32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用 host表示。 在 IP子網(wǎng)掩碼中，數(shù)字 1和 0用來(lái)決定是網(wǎng)絡(luò)，還是主機(jī)的 IP地址。當(dāng)網(wǎng)絡(luò)管理員要允許或阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，可以使用標(biāo)準(zhǔn) ACL來(lái)實(shí)現(xiàn)這一目標(biāo)。 VLAN訪問(wèn)控制列表的配置與訪問(wèn)控制均基于 IP地址，不支持基于 MAC地址的訪問(wèn)控制。 ? 路由訪問(wèn)控制列表：對(duì) VLAN之間以及三層接口之間通信實(shí)施訪問(wèn)控制。 ACL檢查數(shù)據(jù)包 幀報(bào)頭 數(shù)據(jù)包 段 數(shù)據(jù) 源地址 目的地址 協(xié)議 端口號(hào) 拒絕 允許 使用 ACL規(guī)則來(lái)檢驗(yàn)數(shù)據(jù)包 交換機(jī)支持的訪問(wèn)控制列表 ?交換機(jī)支持三種訪問(wèn)控制列表的應(yīng)用過(guò)濾傳輸： ? 端口訪問(wèn)控制列表：也稱 MAC訪問(wèn)控制列表。 財(cái)務(wù)部 業(yè)務(wù)部 PC1 PC2 PC3 F0/1 F0/2 F0/1 F0/2 F0/3 階段總結(jié) ? 網(wǎng)絡(luò)安全概述 ? 安全威脅 、網(wǎng)絡(luò)攻擊方法 、網(wǎng)絡(luò)攻擊的防御技術(shù) ? 管理設(shè)備控制臺(tái)安全 ? 保護(hù)設(shè)備控制臺(tái)的安全措施 、配置交換機(jī)遠(yuǎn)程登錄的安全措施 ? 交換機(jī)端口安全 ? 端口安全概述 、端口安全的配置和維護(hù) 任務(wù)進(jìn)度 配置交換機(jī)端口安全 1 配置標(biāo)準(zhǔn)訪問(wèn)控制列表訪問(wèn)安全技術(shù) 2 √ ISP 什么是訪問(wèn)列表 ? ACL對(duì)經(jīng)過(guò)設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。這時(shí)，安全MAC地址表中可能會(huì)有一些 MAC地址長(zhǎng)期處于不活動(dòng)狀態(tài)。端口獲得的 IP和 MAC地址將匹配該表，不符合則丟棄該端口發(fā)送的數(shù)據(jù)幀。安全端口由于違例被關(guān)閉后處在 errordisable狀態(tài)。 ?如果一個(gè)站點(diǎn)試圖訪問(wèn)這個(gè)端口，而這個(gè)站點(diǎn)的源MAC地址已被配置為其他的端口的安全地址。 ? Switchconfig terminal ? Switch(config)interface interfaceid ！進(jìn)入端口 ? Switch(configif)switchport mode access ！配置端口為交換模式 ? Switch(configif)switchport portsecurity ！打開(kāi)端口安全模式 ? Switch(configif)switchport portsecurity violation protect！設(shè)置違例處理 配置端口安全 MAC地址 （ 2）設(shè)定一端口只接受某一特定計(jì)算機(jī) MAC地址，其他計(jì)算機(jī)均無(wú)法接入到此端口。 ?交換機(jī)端口安全的基本功能 端口安全地址綁定 , 解決網(wǎng)中 IP地址沖突、 ARP欺騙 例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改 IP地址，造成 IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行 ARP地址欺騙。 端口安全的配置和維護(hù) ?配置安全端口的過(guò)程包括啟用端口安全，設(shè)置安全 MAC地址的最大數(shù)量、配置安全地址、設(shè)置違例發(fā)生后的處理方式、配置老化時(shí)間和將 MAC地址與 IP地址綁定等。 ? 配置安全地址數(shù)：交換機(jī)安全端口不僅可以配置安全 MAC地址，也可以設(shè)置安全地址數(shù)目，也就是說(shuō)，一個(gè)安全端口可以配置多個(gè)安全 MAC地址。這些針對(duì)交換機(jī)端口產(chǎn)生的攻擊行為，可以通過(guò)啟用交換機(jī)端口安全功能特性加以防范。 ? 據(jù)國(guó)外調(diào)查顯示， 80%的安全破壞事件都是由薄弱的口令引起的，因此為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個(gè)恰當(dāng)口令，是保護(hù)網(wǎng)絡(luò)不受侵犯最根本保護(hù) 保護(hù)設(shè)備控制臺(tái)的安全措施 通過(guò)一根配置線纜連接到交換機(jī)的配置端口（ Console），另一端連接到配置計(jì)算機(jī)的串口。企業(yè)內(nèi)網(wǎng)安全控制 學(xué)習(xí)情境 2 復(fù)雜程度 Inter飛速增長(zhǎng) Inter Email Web