• /  42
  • 下載費用: 9.90積分  

項目安全策略與數據流量過濾.ppt

'項目安全策略與數據流量過濾.ppt'
項目十二 安全策略與數據流量過濾 1.教學目標 □ 掌握網絡安全策略布置原則,掌握IP標準及擴展訪問控制列表配置技能,能夠根據實際需求準確配置IP訪問控制列表,具體如下:(1)了解IP標準及擴展訪問控制列表的功能及用途 (2)掌握IP標準訪問控制列表配置技能(3)掌握IP擴展訪問控制列表配置技能2.工作任務 □ 根據客戶工作任務的具體要求,配置IP標準或擴展訪問控制列表,實現網絡數據流量控制。 模塊1 IP標準訪問控制列表的建立及應用 1. 教學目標 □ 了解IP標準訪問控制列表的功能及用途 □掌握路由器IP標準訪問控制列表配置技能 □掌握交換機IP標準訪問控制列表配置技能 2. 工作任務     你是學校網絡管理員,學校的財務處、教師辦公室和校辦企業財務科分屬不同的3個網段,三個部門之間通過路由器進行信息傳遞,為了安全起見,學校領導要求你對網絡的數據流量進行控制,實現校辦企業財務科的主機可以訪問財務處的主機,但是教師辦公室主機不能訪問財務處主機。 3. 相關實踐知識    □首先對兩路由器進行基本配置,實現三個網段可以相互訪問;然后對距離控制目的地址較近的路由器RouterB配置IP標準訪問控制列表,允許192.168.1.0網段(校辦企業財務科)主機發出的數據包通過,不允許192.168.2.0網段(教師辦公室)主機發出的數據包通過,最后將這一策略加到路由器RouterB的Fa 0端口,如圖12.1所示。圖12.1 路由器IP標準訪問控制列表第1步:基本配置路由器RouterA:R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#ip address 192.168.12.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 2RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2路由器RouterB同理配置第2步:在路由器RouterB上配置IP標準訪問控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255驗證測試RouterB #show access-list 1第3步:應用在路由器RouterB的Fa 0接口輸出方向上RouterB (config)#interface fastethernet 0RouterB (config-if)#ip access-group 1 out驗證測試RouterB #show ip interface fastethernet 04. 相關理論知識 □ACL概述   訪問控制列表(ACL)是在交換機或路由器上定義一些規則,對經過網絡設備的數據包根據一定規則進行過濾。 □ACL分類(1)編號訪問控制列表:在路由器配置的訪問控制列表是由編號來命名的,包括IP標準訪問控制列表和IP擴展訪問控制列表。(2)命名訪問控制列表:在三層交換機配置的訪問控制列表是由字符串名字來命令的,包括IP標準訪問控制列表和IP擴展訪問控制列表。 □編號標準訪問控制列表 (1)標準訪問控制列表 在路由器上建立的訪問控制列表,其編號取值范圍為1-99之間整數值,只根據源IP地址過濾流量。 在標準或擴展訪問列表的末尾,總有一個隱含的Deny all。這意味著如果數據包源地址與任何允許語句不匹配,則隱含的Deny all將會禁止該數據包通過。 (2)定義訪問控制列表 R (config)#access-list access-list number {permit/deny} source {source mask} 其中: access-list number :訪問列表序號,范圍是1-99; Permit/deny:允許/禁止滿足條件的數據包通過; Source :過濾數據包的源IP地址; Source mask: 通配屏蔽碼,1:不檢查位,0:必須匹配位。 【例12.3】定義訪問控制列表1拒絕特定主機192.168.10.1的流量,但允許其它的所有主機。R(config)#access-list 1 deny host 192.168.10.1R(config)#access-list 1 permit any(3)應用訪問控制列表 訪問控制列表需要應用到路由器的一個接口上,應用到一個接口上可選擇入棧(IN)或出棧(OUT)二個方向?!纠?2.5】將訪問控制列表1應用到路由器的接口fastethernet 0的入棧方向上。R#configure terminalR(config)# interface fastethernet 0R(config-if)#ip access-group 1 inR(config-if)#end □命名標準訪問控制列表 在三層交換機上配置命名標準訪問控制列表,也是采用定義ACL、在接口上應用ACL、查看ACL等步驟進行。第1步:進入Access-list配置模式,用名字來定義一條標準訪問控制列表。Switch(config)#ip access-list standard {name} Switch(config-std-nacl)#第2步:定義訪問控制列表條件Switch(。省略部分。e-wildcard:源IP地址通配符;Host source:源主機,其source-wildcard為0.0.0.0;host destination:目標主機,其destination-wildcard為0.0.0.0;Any:任意主機,即source或destination為0.0.0.0,source-wildcard或destination-wildcard為255.255.255.255;Operator:操作符,只能為eq。Port:TCP或UDP的端口號,范圍為0-65535?!纠?2.9】在交換機上配置訪問控制列表,實現只允許192.168.2.0網段上主機訪問IP地址為172.16.1.100的Web服務器,而禁止其它任意主機使用。Switch(config)#ip access-list extended allow_2.0 Switch(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.255 host 172.16.1.100 eq wwwSwitch(config-ext-nacl)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip access-group allow_2.0 inSwitch(config-if)#end模塊3 基于時間的訪問列表建立與應用 1. 教學目標 □ 了解基于時間訪問控制列表的功能及用途 □ 掌握路由器基本時間訪問控制列表配置技能 2. 工作任務     你是某公司的網管,為了保證公司上班時間的工作效率,公司要求上班時間只可以訪問公司的內部網站。下班后員工可以隨意放松,訪問網絡不受限制。3. 相關實踐知識    □ 在路由器上進行基本配置,然后設置基于時間的訪問控制列表,把這個訪問控制列表應用于路由器的Fa 0接口 ,如圖12.5所示。 圖12.5 基于時間的訪問控制列表第1步:基本配置路由器RouterA:R >enableR#configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#Exit第2步:配置路由器的時鐘RouterA#show clockClock:1987-1-16 5:19:9重新設置路由器當前時鐘和實際時鐘同步RouterA(config)#clock set 16:03:40 27 april 2006-4-27RouterA#show clockClock:2006-4-27 16:04-9第3步:定義時間段RouterA(config)#time-range freetime定義絕對時間段RouterA(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010定義周期性時間段RouterA(config-time-range)#periodic daily 0:00 to 9:00RouterA(config-time-range)#periodic daily 17:00 to 23:59RouterA#show time-rangeTime-range entry:freetime(inactive)Absolute start 8:00 01 january 2006 end 18:00 30 december 2010Periodic daily 0:00 to 9:00Periodic daily 17:00 to 23:59第4步:定義訪問控制列表任務時間允許訪問服務器192.168.2.10RouterA (config)#access-list 102 permit ip any host 192.168.2.10允許在規定時間段內訪問任何網絡RouterA (config)#access-list 102 permit ip any any time-range freetime查看訪問控制列表配置RouterA #show access-lists第5步:訪問控制列表應用在路由器RouterAFa 0接口輸入方向上RouterA (config)#interface fastethernet 0RouterA (config-if)#ip access-group 102 in查看Fa 0接口上應用的規則RouterA #show ip interface fastethernet 04. 相關理論知識 □基于時間的訪問列表   基于時間的ACL功能使管理員可以依據時間來控制用戶對網絡資源的訪問,即可以根據時間來禁止/允許用戶訪問網絡資源。 □創建并定義Time-range接口 Router(config)# time-range time-range-name Router(config-time-range)# absolute [start time date] [end time date] and/or periodic days-of-the-week hh:mm to [days-of-the- week] hh:mm 其中: time-range-name為定義的接口名 □關聯Time-range接口與ACL   只允許擴展訪問控制列表ACL關聯Time- range接口 。 □創建并定義Time-range接口 Router(config)# access-list number {deny | permit} protocol source src-wildcard destination desti-wildcard [time-range time-range- name] 項目結束
關 鍵 詞:
策略 數據 流量 安全 項目 過濾
 天天文庫所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:項目安全策略與數據流量過濾.ppt
鏈接地址: http://www.476824.live/p-51577297.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服點擊這里,給天天文庫發消息,QQ:1290478887 - 聯系我們

本站為“文檔C2C交易模式”,即用戶上傳的文檔直接賣給(下載)用戶,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有【成交的100%(原創)】。本站是網絡服務平臺方,若您的權利被侵害,侵權客服QQ:1290478887 歡迎舉報。

[email protected] 2017-2027 http://www.476824.live 網站版權所有

粵ICP備19057495號 

收起
展開
球探网即时蓝球比分 安徽体彩十一选五遗漏 澳洲幸运5个位绝杀一码技巧 10分快3计划软件 内蒙古十一选五投注技巧 湖北11选5走势图表 北京十一选五基本走势 上海期货配资网 河内时时彩官网开奖 龙江福彩p62开奖 浙江11选5基本走势图