華為 ACL 網絡安全
華為ACL網絡安全
一.
1.物理層安全 墻上的不同的網線接口 連接交換機的端口關系;
2.數據鏈路層安全 ADSL撥號賬號和密碼 mac地址綁定 交換機端口連接計算機數量創建vlan;
3.網絡層安全 基於源IP地址 目標IP地址控制;
4.傳輸層安全 會話攻擊 LAND攻擊 syn洪水攻擊;
5.應用層安全 登陸密碼;
6.網絡層安全
標準的ACL,
基於源地址進行控制;
7.訪問控制列表
擴展源地址;
基於原地址 目標地址;
端口號進行控制。
二.
使用標準的ACL配置網絡安全
實驗要求:
網絡中的路由器和計算機已經配置ip地址和路由在Router 0上定義標準acl實現以下功能;
1.只有市場部和財務部的計算機能夠訪問internet;
2.服務器組中的計算機拒絕訪問internet。
實驗代碼:
Router 0
Router#config t
Router#(config)access-list 10 deny host 192.168.2.2
拒絕這個ip上網
Router#(config)access-list 10 permit 192.168.1.0 0.0.0.255
Router#(config)access-list 10 permit 192.168.2.0 0.0.0.255
允許ip上網
Router#(config)interface serial 3/0
使用標準的acl配置網絡安全
Router#(config-if)ip access-group 10 out
Router#show access-lists
查看訪控制列表
先拒絕在允許上網 關系不能搞錯了
實驗驗證:
三.
使用擴展的ACL實現網絡安全
拓撲圖:
實驗要求:
實驗要求不一樣
實驗代碼:
Router 0
Router#config
Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any
允許這個ip訪問互聯網任何地址
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80
Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
Router(config)#intterface serial 3/0
Router(config)#ip access-group 100 out
Router#show access-lists 查看訪問控制列表
實驗驗證:
四.
使用ACL保護路由器的安全
拓撲圖:
實驗要求:
網絡中的路由器和計算機已經配置了ip地址和路由在R0上定義標準acl實現以下功能
1.只允許IJG部門的計算機能夠telnet路由器R0
telnet密碼是hanlg enbable密碼是todd
實驗代碼:
Router 0
Router#config t
Router(config)#line vty 0 15
Router(config)#password aaa
Router(config)#login
創建標準訪問列表
Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0
Router(config)#line vty 0 15
Router(config)#access-class 10 in
將ACL綁到telnet接口
Router(config)#access-group 10 in 不一樣不要搞錯了
將ACL綁到物理接口
實驗驗證:
實驗總結:
1.標準IP訪問列表只對源IP地址進行過濾。
2.擴展訪問控制列表不僅過濾源IP地址,還可以對目的IP地址、源端口、目的端口進行過濾
3.盡量把擴展ACL應用在距離要拒絕通信流量的來源最近的地方,以減少不必要的通信流量。
4.最好把標準的ACL應用在離目的地最近的地方
5.標準的ACL根據數據包的源IP地址來允許或拒絕數據包。
6.當配置訪問控制列表時,順序很重要。
本文出自 “若★影” 博客,請務必保留此出處http://denglu.blog.51cto.com/10144045/1927815
華為 ACL 網絡安全