freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

基于acl的校園網(wǎng)絡安全策略(編輯修改稿)

2025-07-25 00:39 本頁面
 

【文章內(nèi)容簡介】 operator lt,gt,eq,neq(小于,大于,等于,不等于) operand一個端口號established如果數(shù)據(jù)包使用一個已建立連接,便可允許TCP信息通過表2 常見端口號端口號(Port Number)20文件傳輸協(xié)議(FTP)數(shù)據(jù)21文件傳輸協(xié)議(FTP)程序23遠程登錄(Telnet)25簡單郵件傳輸協(xié)議(SMTP)69普通文件傳送協(xié)議(TFTP)80超文本傳輸協(xié)議(HTTP)53域名服務系統(tǒng)(DNS)標準ACL與擴展ACL的比較:圖3 標準ACL與擴展ACL的比較 通配符掩碼通配符掩碼是一個32位的數(shù)字字符串,0表示“檢查相應的位”,1表示“不檢查(忽略)相應的位”。IP地址掩碼的作用:區(qū)分網(wǎng)絡為和主機位,使用的是與運算。0和任何數(shù)相乘都得0,1和任何數(shù)相乘都得任何數(shù)。通配符掩碼:把需要準確匹配的位設為0,其他位為1,進行或運算。1或任何數(shù)都得1,0或任何數(shù)都得任何數(shù)。特殊的通配符掩碼: Host 正確放置ACL ACL通過制定的規(guī)則過濾數(shù)據(jù)包,并且丟棄不希望抵達目的地址的不安全數(shù)據(jù)包來達到控制通信流量的目的。但是網(wǎng)絡能否有效地減少不必要的通信流量,同時達到保護內(nèi)部網(wǎng)絡的目的,將ACL放置在哪個位置也十分關(guān)鍵。假設存在著一個簡單的運行在TCP/IP協(xié)議的網(wǎng)絡環(huán)境,分成4個網(wǎng)絡,設置一個ACL拒絕從網(wǎng)絡1到網(wǎng)絡4的訪問。根據(jù)減少不必要通信流量的準則,應該把ACL放置于被拒絕的網(wǎng)絡,即網(wǎng)絡1處,在本例中是圖中的路由器A上。但如果按這個準則設置ACL后會發(fā)現(xiàn),不僅是網(wǎng)絡1與網(wǎng)絡4不能連通,網(wǎng)絡1與網(wǎng)絡2和3也都不能連通。回憶標準ACL的特性就能知道,標準ACL只檢查數(shù)據(jù)包的中的源地址部分,在本例子中,凡是發(fā)現(xiàn)源地址為網(wǎng)絡1網(wǎng)段的數(shù)據(jù)包都會被丟棄,造成了網(wǎng)絡1不能與其他網(wǎng)絡聯(lián)通的現(xiàn)象。由此可知,根據(jù)這個準則放置的ACL不能達到目的,只有將ACL放置在目的網(wǎng)絡,在本例子中即是網(wǎng)絡4中的路由器D上,才能達到禁止網(wǎng)絡1訪問網(wǎng)絡4的目的。由此可以得出一個結(jié)論,標準訪問控制列表應盡量放置在靠近目的端口的位置。在本例子中,如果使用擴展ACL來達到同樣的要求,則完全可以把ACL放置在網(wǎng)絡1的路由器A上。這是因為擴展訪問控制列表不僅檢查數(shù)據(jù)包中的源地址,還會檢查數(shù)據(jù)包中的目的地址、源端口、目的端口等參數(shù)。放置在路由器A中的訪問控制列表只要檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡4的網(wǎng)段,則會丟棄這個數(shù)據(jù)包,而檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡2和3的網(wǎng)段,則會讓這個數(shù)據(jù)包通過。既滿足了減少網(wǎng)絡通信流量的要求,又達到了阻擋某些網(wǎng)絡訪問的目的。由此,可以得出一個結(jié)論,擴展訪問控制列表應盡量放置在靠近源端口的位置。圖4 正確設置ACL編輯原則:標準ACL要盡量靠近目的端擴展ACL要盡量靠近源端3 訪問控制列表的配置 訪問控制列表配置 配置標準訪問控制列表以下是標準訪問列表的常用配置命令。跳過簡單的路由器和PC的IP地址設置R1(config)accesslist 1 deny R1(config)accesslist 1 permit anyR1(config)accesslist 2 permit 在PC1網(wǎng)絡所在的主機上ping ,應該通,在PC2網(wǎng)絡所在的主機上ping ,應該不通,在主機PC3上Telnet ,應該成功。 …… Outgoing access list is not set Inbound access list is 1……以上輸出表明在接口S2/0的入方向應用了訪問控制列表1。 配置擴展訪問控制列表相比基本訪問控制列表,擴展訪問控制列表更加復雜,不僅需要讀取數(shù)據(jù)包的源地址,還有目的地址、源端口和目的端口。圖5 用擴展ACL檢查數(shù)據(jù)包擴展訪問控制列表的常見配置命令。R1(config)accesslist 100 permit tcp host eq 分別在訪問路由器R2的Telnet和WWW服務,然后查看訪問控制列表100:R1show ip accesslists 100Extended IP access list 100 permit tcp host eq ……。命名ACL允許在標準ACL和擴展ACL中使用字符串代替前面所使用的數(shù)字來表示ACL,命名ACL還可以被用來從某一特定的ACL中刪除個別的控制條目,這樣可以讓網(wǎng)絡管理員方便地修改ACL。它提供的兩個主要優(yōu)點是:①解決ACL的號碼不足問題;②可以自由的刪除ACL中的一條語句,而不必刪除整個ACL。命名ACL的主要不足之處在于無法實現(xiàn)在任意位置加入新的ACL條目。語法為:Router(config)ip accesslist { standard | extended } name名字字符串要唯一Router(config {std | ext}nacl){ permit | deny } { ip access list test conditions }{ permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } 允許或拒絕陳述前沒有表號可以用“NO”命令去除特定的陳述Router(configif) ip accessgroup name { in | out } 在接口上激活命名ACL例如:ip accesslist extend server protectpermit tcp host eq 1521int vlan 2ip accessgroup server protect命名ACL還有一個很好的優(yōu)點就是可以為每個ACL取一個有意義的名字,便于日后的管理和維護。最后是命名ACL常用配置命令。1 在路由器R1上配置命名的標準ACLR1(config)ip accesslist standard standR1(configstdnacl)deny R1(configstdnacl)permit any創(chuàng)建名為stand的標準命名訪問控制列表2 在路由器R1上查看命名訪問控制列表R1show ip accesslists Standard IP access list 1 deny permit any (110 match(es))……3 在路由器R1配置命名的擴展ACL R1(config)ip accesslist extended ext1R1(configextnacl)permit tcp host eq 創(chuàng)建名為ext1的命名擴展訪問控制列表4 在路由器R1和R3上查看命名訪問
點擊復制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1