交換機(jī)端口安全及認(rèn)證

1、1,第5章 交換機(jī)端口安全及認(rèn)證,5.1 交換機(jī)端口安全及配置 5.2 在三層交換機(jī)上配置訪問控制列表ACL5.3 交換機(jī)端口安全認(rèn)證簡(jiǎn)介,2,5.2 在三層交換機(jī)上配置訪問控制列表ACL,5.2.1 ACL概述5.2.2 ACL的類型5.2.3 ACL配置,什么是訪問列表,Access Control List：訪問列表或訪問控制列表，簡(jiǎn)稱 ACLACL就是對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾,,,,,,

2、,ISP,,,,,√,4,訪問列表,訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，進(jìn)行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對(duì)用戶的破壞,5,訪問列表的組成,定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上,6,,,訪問列表規(guī)則的應(yīng)用,路由器（或交換機(jī)）應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口

3、進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表,F1/0,F1/1,IN,OUT,7,訪問列表的入棧應(yīng)用,,,,,N,Y,是否允許?,Y,,是否應(yīng)用訪問列表?,N,,查找路由表進(jìn)行選路轉(zhuǎn)發(fā),,以ICMP信息通知源發(fā)送方,,,,以ICMP信息通知源發(fā)送方,,,,,,,,N,Y,,,,,選擇出口S0,,,路由表中是否存在記錄?

4、,N,Y,查看訪問列表的陳述,是否允許?,Y,,,是否應(yīng)用訪問列表?,,,N,S0,S0,,訪問列表的出棧應(yīng)用,,,9,IP ACL執(zhí)行如下基本準(zhǔn)則，執(zhí)行順序如下圖所示：從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許、拒絕……”一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過; 而防火墻缺省封鎖所有的信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放。按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址

5、、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配,ACL的工作原理,10,一個(gè)訪問列表多條過濾規(guī)則,11,5.2.2 ACL的類型,分類：1、IP標(biāo)準(zhǔn)訪問控制列表(Standard IP ACL)2、IP擴(kuò)展訪問控制列表(Extended IP ACL)動(dòng)作：允許(Permit)拒絕(Deny)應(yīng)用方法：入棧(Out)出棧(In),12,訪問列表規(guī)

6、則的定義,標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義,源地址,,,,,,TCP/UDP,,數(shù)據(jù),IP,eg.HDLC,,1-99 號(hào)列表,IP標(biāo)準(zhǔn)訪問列表,目的地址,源地址,協(xié)議,端口號(hào),,,,,IP擴(kuò)展訪問列表,,,,,TCP/UDP,,數(shù)據(jù),IP,eg.HDLC,,100-199 號(hào)列表,0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特,,

7、,,,,,,,128,64,32,16,8,4,2,1,,0,0,0,0,0,0,0,0,反掩碼（通配符）,,IP標(biāo)準(zhǔn)訪問列表的配置,1.定義標(biāo)準(zhǔn)ACL命名的標(biāo)準(zhǔn)訪問列表 switch(config)# ip access-list standard switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ip access-g

8、roup { in | out },,IP擴(kuò)展訪問列表的配置,1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list { permit /deny } 協(xié)議 源地址 反掩碼 [源端口] 目的地址 反掩碼 [ 目的端口 ]命名的擴(kuò)展ACLip access-list extended {name} { permit /deny } 協(xié)議 源地址 反掩碼[源端口] 目的地址 反掩碼 [ 目的端

9、口 ] 2.應(yīng)用ACL到接口Router(config-if)#ip access-group { in | out },18,基于名稱的訪問控制列表,ip access-list [standard|extended] [ACL名稱] 其中standard為標(biāo)準(zhǔn)命名ACL，extended為擴(kuò)展命名ACLdeny | permit {source-net source-wildcard | host source-addr

10、ess | any} 標(biāo)準(zhǔn)命名ACL規(guī)則deny | permit protocol{source-net source-wildcard | host source-address| any}[operator port] {destination-net destination-wildcard |host destination-address |any}[operator port] 擴(kuò)展命名ACL規(guī)則,19,5.2.3 AC

11、L配置,命名ACL配置命名的標(biāo)準(zhǔn)訪問列表 命令格式為： ①定義命名的標(biāo)準(zhǔn)訪問列表： ip access-list standard { name} deny　{source source-wildcard|host　source|any} orpermit {source source-wildcard|host　source|any} ②應(yīng)用ACL到接口 Router(

12、config-if)#ip access-group {name} { in | out },20,③顯示ACL信息在特權(quán)模式下使用如下命令可以顯示ACL配置信息Show access-lists [name] //顯示所有或指定名稱的ACL配置信息Show ip access-lists [name] //顯示所有或指定名稱的IP ACL配置信息Show ip access-group [interface inter

13、face-id] //顯示指定接口上的IP ACL配置信息Show running-config //顯示正在運(yùn)行的所有配置信息,21,（2）擴(kuò)展的ACL命名的擴(kuò)展ACL格式：ip access-list extended {name} { permit /deny } 協(xié)議 源地址 反掩碼[源端口] 目的地址 反掩碼 [ 目的端口 ] 應(yīng)用ACL到接口：Router(config-if)#ip access-group {

14、name} { in | out },,IP標(biāo)準(zhǔn)訪問列表的配置,1.定義標(biāo)準(zhǔn)ACL命名的標(biāo)準(zhǔn)訪問列表 switch(config)# ip access-list standard switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ip access-group { in | out },23,172.16.3.0,17

15、2.16.4.0,F1/0,S1/2,F1/1,,,,,,,172.17.0.0,,,IP標(biāo)準(zhǔn)訪問列表配置實(shí)例(一),配置：access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any)interface serial 1/2ip access-group 1 out,24,標(biāo)準(zhǔn)訪問列表配置實(shí)例(二),需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)

16、行控制,要求校長(zhǎng)可以訪問財(cái)務(wù)的主機(jī)，但教師機(jī)不可以訪問。配置：ip access-list standard abcpermit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,,IP擴(kuò)展訪問列表的配置,1.定義擴(kuò)展的ACL編號(hào)的擴(kuò)展ACLRouter(config)#access-list { permit /deny } 協(xié)議 源地址 反掩碼 [源端口] 目的地址 反掩碼 [ 目

17、的端口 ]命名的擴(kuò)展ACLip access-list extended {name} { permit /deny } 協(xié)議 源地址 反掩碼[源端口] 目的地址 反掩碼 [ 目的端口 ] 2.應(yīng)用ACL到接口Router(config-if)#ip access-group { in | out },IP擴(kuò)展訪問列表配置實(shí)例(一),如何創(chuàng)建一條擴(kuò)展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的

18、所有主機(jī)以HTTP訪問服務(wù)器172.168.12.3，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,27,access-list 115 deny udp any any eq 69 　　access-

19、list 115 deny tcp any any eq 135　　access-list 115 deny udp any any eq 135　　access-list 115 deny udp any any eq 137　　access-list 115 deny udp any any eq 138　　access-list 115 deny tcp any any eq 139　　access-list 115 d

20、eny udp any any eq 139　　access-list 115 deny tcp any any eq 445　　access-list 115 deny tcp any any eq 593　　access-list 115 deny tcp any any eq 4444　　access-list 115 permit ip any any 　　interface 　　ip

21、access-group 115 in 　　ip access-group 115 out,IP擴(kuò)展訪問列表配置實(shí)例(二),利用ACL隔離沖擊波病毒,28,,訪問列表的驗(yàn)證,顯示全部的訪問列表Router#show access-lists顯示指定的訪問列表Router#show access-lists 顯示接口的訪問列表應(yīng)用Router#show ip i

22、nterface 接口名稱 接口編號(hào),29,IP訪問列表配置注意事項(xiàng),1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組ACL2、銳捷全系列交換機(jī)可針對(duì)物理接口和SVI接口應(yīng)用ACL針對(duì)物理接口，只能配置入棧應(yīng)用(In)針對(duì)SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應(yīng)用3、訪問列表的缺省規(guī)則是：拒絕所有,30,IP ACL,注意事項(xiàng)：1、交換機(jī)支持命名的ACL，路由器支持編號(hào)的ACL2、刪除端口上應(yīng)用的ACL時(shí)需要在