数学与信息技术学院实验五网络边界安全ACL基本配置主讲:杨战武数学与信息技术学院18636340901
主 讲:杨 战 武 数学与信息技术学院 18636340901 实验五 网络边界安全ACL基本配置
实验目的掌握ACL的工作原理■熟悉基本ACL和高级ACL的配置1掌握ACL在企业网中的安全控制数学与信息技术学院运城学院Yaachseaweraity
实验目的 ◼ 掌握 ACL 的工作原理 ◼ 熟悉 基本ACL和高级ACL的配置 ◼ 掌握ACL 在企业网中的安全控制
实验原理企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定,网络安全很重要访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等数学与信息技术学院运城学院Yuacheea Talvereity
实验原理 ◼ 企业网络中的设备进行通信时,需要保障 数据传输的安全可靠和网络的性能稳定, 网络安全很重要。 ◼ 访问控制列表ACL(Access Control List)可 以定义一系列不同的规则,设备根据这些 规则对数据包进行分类,并针对不同类型 的报文进行不同的处理,从而可以实现网 络访问行为的控制、限制网络流量、提高 网络性能、防止网络攻击等
实验原理根据不同的划分规则,ACL可以有不同的分类最常见的三种分类是基本ACL、高级ACL和二层ACL基本ACL可以使用报文的源IP地址、分片标记和时间中没信息来匹配报文,其编号取值范围是2000-2999高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999二层ACL可以使用源/自的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999数学与信息技术学院运城学院Yuachseefersity
实验原理 根据不同的划分规则,ACL可以有不同的分类。 最常见的三种分类是基本ACL、高级ACL和二层ACL 1. 基本ACL可以使用报文的源IP地址、分片标记和时间 段信息来匹配报文,其编号取值范围是2000-2999。 2. 高级ACL可以使用报文的源/目的IP地址、源/目的端 口号以及协议类型等信息来匹配报文。高级ACL可以 定义比基本ACL更准确、更丰富、更灵活的规则,其 编号取值范围是3000-3999。 3. 二层ACL可以使用源/目的MAC地址以及二层协议类 型等二层信息来匹配报文,其编号取值范围是4000- 4999
实验拓扑----ACL应用场景主机A主机B主机EAnternet?192.168.1.0/242.1G0/0/0RTAMSWARG0/0/1服务器AX192.168.2.0/24.1172.16.10.1主机C主机DACL可以通过定义规则来允许或拒绝流量的通过
实验拓扑- ACL应用场景 服务器A G0/0/0 G0/0/1 .1 192.168.1.0/24 .1 .2 .2 192.168.2.0/24 ⚫ ACL可以通过定义规则来允许或拒绝流量的通过。 RTA SWA 主机A 主机B 主机C 主机D 172.16.10.1 主机E
实验内容1---基本ACL网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问服务器A,但却禁止192.168.1.0/24中的主机访问服务器A。其他参数如上图所示数学与信息技术学院运城学院Yaachseaweraity
实验内容1-基本ACL ◼ 网关RTA允许192.168.1.0/24中的主机可以访问 外网,也就是Internet;而192.168.2.0/24中的主 机则被禁止访问Internet。 ◼ 对于服务器A而言,情况则相反。网关允许 192.168.2.0/24中的主机访问服务器A,但却禁止 192.168.1.0/24中的主机访问服务器A。其他参数 如上图所示
实验步骤RTA网络的基本配置在三层交换机上配两个VLAN,RTA配好各个接口地址,测试网络连通性2、RTA网络安全---基本ACL配置 system-view[Huawei]sysnameRTA//第一步[[RTA]acl 2000[RTA-acl-basic-2ooolrule deny source192.168.2.0//第二步0.0.0.255[RTA]interface GigabitEthernet O/o/o[RTA-GigabitEthernet O/o/o]traffic-filter outbound acl//第三步2000数学与信息技术学院运城学院[RTAldisplayacl 2000
实验步骤 1、RTA网络的基本配置 在三层交换机上配两个VLAN,RTA配好各个接口地址,测试网络连通性 2、RTA网络安全-基本ACL配置 ◼ system-view ◼ [Huawei] sysname RTA ◼ [[RTA]acl 2000 //第一步 ◼ [RTA-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 //第二步 ◼ [RTA]interface GigabitEthernet 0/0/0 ◼ [RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000 //第三步 ◼ ◼ [RTA]display acl 2000
实验步骤3、RTA网络安全---高级ACL配置[RTA]acl 3000[RTA-acl-adv-30oo]rule deny tcpsource192.168.1.0 0.0.0.255 destination 172.16.10.10.0.0.0 destination-port eg 21[RTA]interface GigabitEthernet o/o/o[RTA-GigabitEtherneto/o/o]traffic-filteroutbound acl 3ooo[RTA]display acl 3000数学与信息技术学院运城学院fersity
实验步骤 3、RTA网络安全-高级ACL配置 ◼[RTA]acl 3000 ◼[RTA-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21 ◼[RTA]interface GigabitEthernet 0/0/0 ◼[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 3000 ◼[RTA]display acl 3000
实验内容2一高级ACL网关RTA允许192.168.1.0/24中的主机不可以访问FTP服务器,;而192.168.2.0/24中的主机则被禁止访问私有服务器。■基本ACL可以依据源IP地址进行报文过滤而高级ACL能够依据源/目的IP地址、源/的端口号、网络层及传输层协议以及IP流量分类和TCP标记值等各种参数(SYNIACKIFIN等)进行报文过滤数学与信息技术学院运城学院Yaachsealweraity
实验内容2—高级ACL ◼ 网关RTA允许192.168.1.0/24中的主机不可以 访问FTP服务器,;而192.168.2.0/24中的主机 则被禁止访问私有服务器。 ◼ 基本ACL可以依据源IP地址进行报文过滤, 而高级ACL能够依据源/目的IP地址、源/目的 端口号、网络层及传输层协议以及IP流量分类 和TCP标记值等各种参数(SYN|ACK|FIN等 )进行报文过滤
实验内容2一高级ACL厂本示例中,RTA上定义了高级ACL3000,其中第一条规则J "rule deny tcp source 192.168.1.0 0.0.0.255destination 172.16.10.1 0.0.0.0 destination-port eq21”用于限制源地址范围是192.168.1.0/24,目的IP地址为172.16.10.1,目的端口号为21的所有TCP报文;第二条规则"rule deny tcp source 192.168.2.00.0.0.255 destination 172.16.10.2 0.0.0.0"用于限制源地址范围是192.168.2.0/24,自的地址是172.16.10.2的所有TCP报文;第三条规则"rulepermit ip”用于匹配所有IP报文,并对报文执行允许动作。数学与信息技术学院运城学院
实验内容2—高级ACL ◼ 本示例中,RTA上定义了高级ACL3000,其中第一 条规则“rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21”用于限制源地址范围是192.168.1.0/24,目的IP 地址为172.16.10.1,目的端口号为21的所有TCP报 文; ◼ 第二条规则“rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0 ”用于限制 源地址范围是192.168.2.0/24,目的地址是 172.16.10.2的所有TCP报文;第三条规则“rule permit ip”用于匹配所有IP报文,并对报文执行允 许动作