正文內(nèi)容

np_10園區(qū)網(wǎng)安全技術(編輯修改稿)

2025-03-31 17:02 本頁面

　

【文章內(nèi)容簡介】行訪問外網(wǎng)的安全控制訪問列表 ? 訪問控制列表的作用： ? 內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權限的資源訪問 ? 內(nèi)網(wǎng)訪問外網(wǎng)時，進行安全的數(shù)據(jù)過濾 ? 防止常見病毒、木馬、攻擊對用戶的破壞訪問列表規(guī)則的應用 ? 路由器應用訪問列表對流經(jīng)接口的數(shù)據(jù)包進行控制 ? 入站應用（ in）經(jīng)某接口進入設備內(nèi)部的數(shù)據(jù)包進行安全規(guī)則過濾 ? 出站應用（ out）設備從某接口向外發(fā)送數(shù)據(jù)時進行安全規(guī)則過濾 ? 一個接口在一個方向只能應用一組訪問控制列表 F1/0 F1/1 IN OUT 訪問列表的入站應用 N Y 是否允許 ? Y 是否應用訪問列表 ? N 查找路由表進行選路轉(zhuǎn)發(fā) 以 ICMP信息通知源發(fā)送方訪問列表的出站應用 N Y 選擇出口 S0 路由是否存在 ? N Y 是否允許 ? Y 是否應用訪問列表 ? N S0 S0 以 ICMP信息通知源發(fā)送方查看訪問列表的陳述 ACL工作原理及規(guī)則 ? 基本規(guī)則 ? ACL規(guī)則按名稱或編號進行分組 ? 列表中每條 ACL語句有一組條件和一個操作，如果需要多個條件或多個操作，則必須使用多個 ACL語句來完成 ? 如果當前語句的條件沒有匹配，則處理列表中的下一條語句 ? 如果條件匹配，則執(zhí)行語句后面的操作，且不再與其他ACL語句進行匹配 ? 如果列表中的所有語句都不匹配，那么丟棄該數(shù)據(jù)包 ACL工作原理及規(guī)則 ? 特點 ? 由于 ACL語句默認是拒絕不匹配的數(shù)據(jù)包，所以在列表中至少要有一個允許的操作。否則，所有數(shù)據(jù)包都會被拒絕掉 ? 注意語句的順序。條件嚴的語句應該放在列表的頂部，條件寬的語句應該放在列表的底部。從而，避免條件嚴的語句永遠也得不到執(zhí)行 ? 規(guī)則匹配原則 ? 從頭到尾，至頂向下的匹配方式 ? 匹配成功馬上停止 ? 立刻使用該規(guī)則的“允許 /拒絕 ……” ACL工作原理及規(guī)則 ? 注意事項 ? 一個 ACL列表中至少要有一條允許或拒絕的語句 ? 只能在設備的每個接口、每個協(xié)議、每個方向上應用一個 ACL ? ACL只能應用在接口上 ? 先處理入站 ACL，再進行數(shù)據(jù)路由 ? 先進行數(shù)據(jù)路由，再處理出站接口上的出站 ACL ? ACL會影響通過接口的流量和速度，但不會過濾路由器本身產(chǎn)生的流量 ACL工作原理及規(guī)則 ? 放置位置 ? 只過濾數(shù)據(jù)包源地址的 ACL應該放置在離目的地盡量近的地方 ? 過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應該盡量放在離源地址近的地方 Intra Intra ACL的種類 ? ACL種類： ? 標準 ACL：只能過濾 IP數(shù)據(jù)包頭中的源 IP地址 ? 擴展 ACL：可以過濾源 IP地址、目的 IP地址、協(xié)議（ TCP/IP）、協(xié)議信息（端口號、標志代碼）等 ? MAC ACL：可以過濾源 MAC、目標 MAC等 ? 專家 ACL：可以過濾源 IP、源 MAC、源端口、目標IP、目標 MAC、目標端口、時間等 ? 時間 ACL：可以根據(jù)時間段進行擴展 ACL過濾 IP標準 ACL ? IP標準 ACL只能過濾 IP數(shù)據(jù)包頭中的源 IP地址 ? 標準 ACL通常配置在路由器上實現(xiàn)以下功能： ? 限制通過 VTY線路對路由器的訪問（ tel、 SSH） ? 限制通過 HTTP或 HTTPS對路由器的訪問 ? 過濾路由更新源地址 TCP/UDP 數(shù)據(jù) IP IP標準 ACL ? 通過兩種方式創(chuàng)建標準 ACL：編號或名稱 ? 使用編號創(chuàng)建 ? 創(chuàng)建 ACL (config)accesslist listnumber { permit | deny } address [ wildcard–mask ] ? 在接口上應用 (configif)ip accessgroup {id|name} {in|out} ? In：當數(shù)據(jù)流入路由器接口時 ? Out：當數(shù)據(jù)流出路由器接口時 IP標準 ACL ? 通過兩種方式創(chuàng)建標準 ACL：編號或名稱 ? 使用命名創(chuàng)建 ? 定義 ACL名稱 (config)ip accesslist standard name ? 定義規(guī)則 (configstdnacl)deny|permit [ source wildcard |any ] ? 在接口上應用 (configif)ip accessgroup {id|name} {in|out} IP擴展 ACL ? 擴展的 IP訪問表用于擴展報文過濾的能力。 ? 擴展訪問列表允許過濾內(nèi)容： ? 源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。目的地址源地址協(xié)議端口號 TCP/UDP 數(shù)據(jù) IP IP擴展 ACL ? 通過兩種方式創(chuàng)建擴展 ACL：編號或名稱 ? 使用編號創(chuàng)建 ? 創(chuàng)建 ACL (config)accesslist listnumber { permit | deny } protocol { source sourcewildcard–mask |host source| any} { destination destinationwildcard–mask |host destination | any} [operator operand] ? 在接口上應用 (configif)ip accessgroup {id|name} {in|out} IP擴展 ACL ? 通過兩種方式創(chuàng)建擴展 ACL：編號或名稱 ? 使用命名創(chuàng)建 ? 定義 ACL名稱 (config)ip accesslist extended name ? 定義規(guī)則 (configextnacl){permit | deny } protocol {source sourcewildcard |host source| any} { destination destinationwildcard |host destination | any} [operator port] ? 在接口上應用 (configif)ip accessgroup {id|name} {in|out} 反掩碼（通配符） ? 0表示檢查相應的地址比特 ? 1表示不檢查相應的地址比特 0 0 1 1 1 1 1 1 128 64 32 16 8 4 2 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 0 0 1 1 1 1 1 1 1 1 do not check address (ignore bits in octet) ignore last 6 address bits check all address bits (match all) ignore last 4 address bits check last 2 address bits Examples ACL 編號 ACL類型編號范圍 IP 標準 ACL 199,13001999 IP擴展 ACL 100199,20232699 MAC擴展 ACL 700799 專家擴展 ACL 27002899 IPX標準 ACL 800899 IPX擴展 ACL 900999 IPX SAP 10001099 課程議題 IP 訪問控制列表配置示例 IP標準 ACL配置示例 E0 S0 E1 Non accesslist 1 permit (implicit deny all not visible in the list) (accesslist 1 deny ) interface ether 0 ip accessgroup 1 out interface ether 1 ip accessgroup 1 out ? Permit my work only IP標準 ACL配置示例 E0 S0 E1 Non acc

點擊復制文檔內(nèi)容

教學課件相關推薦

某省安全園區(qū)管理辦法-資料下載頁

【總結】福建省安全園區(qū)管理辦法（試行）簡介福建省安全生產(chǎn)科學研究院朱心濤福州市北環(huán)中路45號350003課件主要內(nèi)容?一、創(chuàng)建安全園區(qū)的意義?二、安全園區(qū)的概念?三、安全園區(qū)管理?四、創(chuàng)建備案表和評定申請書?五、福建省安全園區(qū)評定標準（試行）?說明：福建省安全園區(qū)建設

2025-02-12 09:59

校園網(wǎng)安全特點及安全技術-資料下載頁

【總結】校園網(wǎng)安全特點及安全技術?1．校園網(wǎng)特點?速度快和規(guī)模大?計算機系統(tǒng)管理比較復雜?用戶群體活躍?網(wǎng)絡環(huán)境開放?投入有限?盜版資源泛濫?２．校園網(wǎng)常見安全風險?計算機系統(tǒng)的漏洞?計算機蠕蟲、病毒泛濫?外來的系統(tǒng)入侵、攻擊等惡意破壞行為

2024-10-16 12:03

[精選]業(yè)務支撐網(wǎng)網(wǎng)絡技術lesson10廣域網(wǎng)-資料下載頁

【總結】第十章廣域網(wǎng)學習內(nèi)容：廣域網(wǎng)概述配置串行鏈路點到點的連接幀中繼(FrameRelay)xDSL廣域網(wǎng)概述ServiceProvider?廣域網(wǎng)(WideAreaNetwork，WAN)連接的場所?根據(jù)用戶不同的需求提供不同的連接方案WAN術語CP

2025-01-15 13:29

農(nóng)網(wǎng)安全技術交底大全-資料下載頁

【總結】......安全技術交底工程名稱：國網(wǎng)廣元供電公司蒼溪縣2015年農(nóng)網(wǎng)改造升級工程中央預算投資項目時間地點主持人（交底）一、資料要求1、改造工程項目的施工方案等資料必須經(jīng)逐級審查并經(jīng)業(yè)主批準后實施，同時經(jīng)監(jiān)理項目部總監(jiān)下達工程開工令后方可施工。2、特殊工種作業(yè)人員必須具有相關資質(zhì)證件，做到

2025-07-14 14:38

cisco多層交換園區(qū)網(wǎng)設計-資料下載頁

【總結】Cisco多層交換園區(qū)網(wǎng)設計模型概述本文首先闡述如何使用多層交換機構建園區(qū)網(wǎng)，然后詳細講解多層交換網(wǎng)的設計要點。一般來說，使用分級設計的多層交換網(wǎng)絡能夠使網(wǎng)絡工作在最佳狀態(tài)，并具有較好的可伸縮性、容錯性和可操作性。不管是用以太網(wǎng)做主干也好，ATM做主干也好，多層交換模式都有它的優(yōu)點，分級設計使園區(qū)網(wǎng)的實現(xiàn)變得非常容易，排錯也簡單，因為多層交換的設計是模塊化的，所以可以

2025-07-28 09:46

cisco園區(qū)網(wǎng)建設培訓課程-資料下載頁

【總結】目錄第一章園區(qū)網(wǎng)概述 2第1節(jié)連接交換區(qū)塊 12第2節(jié)通過VLAN定義共同工作組 16第3節(jié)管理冗余鏈路 26第4節(jié)VLAN間路由選擇 32第5節(jié)通過多層交換增強IP路由選擇性能 36第6節(jié)為容錯路由選擇配置HSRP 41第7節(jié)多點廣播綜述 47第8節(jié)配置IP多點廣播 54第9節(jié)園區(qū)網(wǎng)訪問控制 60第一章園區(qū)網(wǎng)概述園區(qū)網(wǎng)

2025-06-25 06:15

[精選]計算機安全技術第10章-資料下載頁

【總結】第十章黑客的攻擊與防范初識黑客“黑客”一詞是由英文“hacker”音譯來過的，原是指熱心于計算機技術，水平高超的計算機專家，尤其是程序設計人員。顯然，真正的黑客是指真正了解系統(tǒng)，對計算機的發(fā)展有創(chuàng)造和貢獻的人們，而不是以破壞為目的的入侵者。到了今天，黑客一詞已被用于泛指那些未經(jīng)許可就闖入別人計算機系統(tǒng)進

2025-02-13 19:48

[精選]保密安全與密碼技術-10評估管理-資料下載頁

【總結】保密安全與密碼技術第十講安全評估與安全管理安全評估?安全評估發(fā)展過程?安全評估標準介紹?可信計算機系統(tǒng)評估準則（TCSEC）?通用準則CC?信息安全保證技術框架IATF?BS7799、ISO17799?我國信息安全保護準則?《計算機信息系統(tǒng)安全保護等級劃分準則》?《信息系統(tǒng)

2025-02-18 01:56

化工環(huán)境保護與安全技術10-資料下載頁

【總結】第二篇化工安全生產(chǎn)技術概述一、生產(chǎn)事故?安全生產(chǎn)事故，是指生產(chǎn)經(jīng)營單位在生產(chǎn)經(jīng)營活動中突然發(fā)生的造成人身傷亡或者直接經(jīng)濟損失的事故。安全生產(chǎn)事故有四原則：一是嚴格依法認定、適度從嚴的原則；二是從實際出發(fā)，適應我國當前安全管理的體制機制，事故認定范圍不宜作大的調(diào)整；三是有利于保護事故傷亡人員及

2025-01-01 07:55

[精選]第10章(1)網(wǎng)絡安全技術-資料下載頁

【總結】第10章網(wǎng)絡安全技術網(wǎng)絡安全問題概述??網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然或惡意的原因而遭到破壞、更改、泄露等意外發(fā)生。網(wǎng)絡安全是一個涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等多種學科的邊緣學科。圖11-1網(wǎng)絡安全的組成

2025-02-09 17:42

[精選]局域網(wǎng)的網(wǎng)絡安全防范與技術-資料下載頁

【總結】恭祝江蘇省高校圖情工委現(xiàn)代技術專業(yè)委員會年會順利召開局域網(wǎng)的網(wǎng)絡安全防范與技術孫國梓博士南京郵電大學計算機學院主要內(nèi)容?局域網(wǎng)環(huán)境簡介?局域網(wǎng)的安全威脅?局域網(wǎng)監(jiān)聽與防范?局域網(wǎng)ARP攻擊與防范?局域網(wǎng)病毒入侵與防范?快速關閉端口防止入侵?局域網(wǎng)共享資源安全防

2025-03-08 21:02

wlan產(chǎn)品ap網(wǎng)規(guī)與網(wǎng)優(yōu)技術介紹-資料下載頁

【總結】HUAWEITECHNOLOGIESCO.,LTD.MaximizeyourworkvalueWLANAP網(wǎng)規(guī)與網(wǎng)優(yōu)HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文標題:32-35pt顏色:R153G0B0內(nèi)部使用字體:FrutigerNextLTMediu

2025-03-29 00:27

[精選]網(wǎng)銷技術培訓-資料下載頁

【總結】業(yè)務基礎流程銀鼎九方商品經(jīng)營有限公司2023年團隊培訓知識Page2從你們進入銀鼎九方這個大家庭的那天起,你們就已成為我們銀鼎九方的不可或缺的重要成員，你們不僅是注入公司的新鮮血液，而且是公司的未來。公司以人為本,尊重知識,尊重人才的氣氛早已在我們銀鼎九方開花結果,希望你們能與這個大家庭的每位成員相互尊重,

2025-01-14 16:02

chapter10網(wǎng)絡安全-資料下載頁

【總結】1Chapter10網(wǎng)絡安全?????2??物理因素：物理設備的不安全，電磁波泄漏等?系統(tǒng)因素：系統(tǒng)軟、硬件漏洞，病毒感染，入侵?網(wǎng)絡因素：網(wǎng)絡協(xié)議漏洞，會話劫持、數(shù)據(jù)篡改，網(wǎng)絡擁塞，拒絕服務?管理因素：管理員安全意識淡漠，誤操作32.網(wǎng)絡的潛在

2025-08-23 14:57

園區(qū)物流企業(yè)安全培訓教材-資料下載頁

【總結】園區(qū)物流企業(yè)安全培訓廣州長盛物流園安全生產(chǎn)培訓物流企業(yè)安全管理概述1、物流企業(yè)的工作內(nèi)容包括運輸、儲存、裝卸搬運、包裝、流通加工、配送等物資經(jīng)濟活動以及與之相關的信息活動。2、物流企業(yè)對安全生產(chǎn)的根本需求：?安全生產(chǎn)要貫穿物流每個環(huán)節(jié)！?沒有安全生產(chǎn)就沒有利益保障！廣州長盛

2025-01-20 12:57