访问控制列表与端口安全.ppt

第八章访问控制列表与端口安全
7/18/2018
1
本章课题
访问控制列表简介
编号访问控制列表配置
命名访问控制列表
基于时间访问的控制列表
端口安全
7/18/2018
2
网络安全隐患
(1)非人为的或自然力造成的故障、事故等。
(2)人为但属于操作人员无意的失误造成的数据丢失或损坏。
(3)来自园区网外部和内部人员的恶意攻击和破坏。
7/18/2018
3
现有网络安全
防御体制
IDS
68%
杀毒软件
99%
防火墙
98%
ACL
71%
现有网络安全体制
7/18/2018
4
VPN 虚拟专用网
防火墙
包过滤
防病毒
入侵检测
7/18/2018
5
什么是访问列表
ISP
√
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
IP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。
7/18/2018
6
访问列表的作用
访问控制列表可以限制网络流量、提高网络性能、控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。在路由器或交换机的接口上配置访问控制列表后,可以对进出接口及通过接口中继的数据包进行安全检测。配置访问控制列表的目的主要基于以下两点。
(1)限制路由更新。
(2)限制网络访问。
7/18/2018
7
访问控制列表类型
标准IP访问控制列表
编号的标准IP访问控制列表
命名的标准IP访问控制列表
扩展IP访问控制列表
编号的扩展IP访问控制列表
命名的扩展IP访问控制列表
7/18/2018
8
ACL的一些相关特性
(1)每一个接口可以在进入(Inbound)和离开(Outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。
(2)ACL语句包括两个动作,一个是拒绝(Deny),一个是允许(Permit)。
(3)在路由器或交换机接口接收到报文时,应用在接口进入方向的ACL(内向ACL)起作用。
(4)在路由选择决定以后,数据准备从某一个接口输出报文时,应用在接口离开方向的ACL(外向ACL)起作用。
(5)每个ACL的结尾有一个隐含的deny all(拒绝的所有数据包)语句。因此,如果包不匹配ACL中的任何语句,将被拒绝。
7/18/2018
9
ACL的内向匹配过程
路由器取出内向ACL的数据包进入路由器
数据包进入路由器路由器取出内向ACL的第一条语句
允许还是拒绝?匹配项与数据包中的各项进行比较
是否匹配匹配项与数据包
是否匹配?允许还是拒绝?
取出内向ACL下一条语句
最后一条?
允许
进行路由选择
拒绝
决定转发接口
丢弃
结束
7/18/2018
10