第10章安全
基本和高级流量过滤
基于策略的接口支持
网络地址转换
对等路由认证
基于时间的访问列表
数据包和访问列表比较是的规则
按顺序比较访问列表的每一行
比较访问列表的各行,直到找到匹配的一行
每个访问列表最后一行隐含DENY语句
访问列表有两种类型
标准列表:使用IP数据包的源IP作条件测试
扩展列表:检测IP包的3层和4层报头中的其他字段
命名列表
将标准列表尽可能放到靠近目的地址位置
将扩展列表尽可能放到靠近源地址位置
减少带宽的浪费
标准访问列表配置
access-list 10 deny host 172.16.30.2 //拒绝来自主机172.16.30.2的数据包
通配符
通配符和访问列表一起用来指定一台主机、一个网络、或几个网络的范围
通配符和主机或网络地址一起使用来告诉路由器要过滤的地址范围
例:172.16.30.5 0.0.0.0
4个零代表八位位组地址,出现零意味着位组必须精确匹配,使用255,可指定一个八位组可以是任何值
例:access-list 10 deny 172.16.16.0 0.0.3.255
告诉路由器列表范围从16.0-19.255
使用块大小和通配符要注意两点:
每个块大小必须从0或一个块大小的倍数开始
例:0-7 8-15 16-23 这里的块数是8
any命令和通配符0.0.0.0 255.255.255.255是一样的
一般禁止访问,用标准acl就可以了,例如禁止访问外网
控制vty(telnet)访问
如果用扩展acl来禁止访问路由器,那么工作量就很大了,而且还要指定目的地址,但如果用标准acl就会十分方便
1、创建一个标准acl,允许需要的主机访问
2、使用access-class命令应用到vty线路
access-list 50 permit 172.16.10.3
line vty 0 4
access-class 50 in
扩展ACL
扩展ACL允许指定源地址和目的地址,以及标示上层协议或应用程序的协议和端口号
access-list 110 deny tcp any host 172.16.30.2 eq 23 log
access-list 110 permit ip any any
注:ip包含了所有协议
access-list 110 deny tcp any 172.16.48.0 0.0.15 255 eq 23
access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23
高级访问列表
交换机端口访问控制列表(acl) mac acl
注:只可以在第2层接口上应用端口acl
mac access-list extended 1 deny any host 000d.29bd.4685
基于时间的acl
time-range no-http periodic weekend 06:00 to 12:00
ip access-list extended 1 deny tcp any any eq www time no-http
注释:使用remark可以为acl加写注释和备注,这是一个非常实用的工具
access-list 110 remark..........................添加文字
可以在命名acl应用
只能在running-config中看到注释
基于上下文的访问控制(cisco ios 防火墙)cbac
cbac审查任何通过防火墙的流量,并且将收集的信息,决定是否创建一个临时路径通往防火墙访问列表
遵循以下原则
1、如果acl通过,路由器将所有内部包发送到防火墙
2、被允许的流量满足防火墙ip检查,把允许的状态信息添加到状态表
3、通过ip检查过程,创建动态acl并放入外部acl中,返回流量将通过
考试要点
记住标准和扩展acl的号码范围
理解“implicit deny”(隐含拒绝)
理解标准acl命令
理解扩展acl命令
记住在路由器接口上验证acl命令
记住验证acl配置的命令