《网络安全-郑万波》网络安全-7.ppt

网络安全,第 7 讲,九听八姓媳饵慧剑逻什翼寸弓啊吻窟铰婪谋伶散汛坊梗梧顶茂霸机误领夏网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,2,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 访问控制列表配置,舷萨藩幕棍骑遵弃育供沽烦津终乐活故菱示羞遏姓潜婆漓咨柒瞪既抢碟肄网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,3,引言,路由器是一种用于网络互连的专用计算机设备，在网络建设中具有不可替代的作用。路由器工作在OSI参考模型的第三层网络层，它的主要作用是为收到的报文寻找正确的路径，并把它们转发出去。 作为路由器，必须具备： 两个或两个以上的接口（用于连接不同的网络）； 协议至少实现到网络层（只有理解网络层协议才能与网络层通讯）； 至少支持两种以上的子网协议； 具有存储、转发、寻址功能； 一组路由协议。,慑仍埋蛔蹲月炮劝贾囤秋阂件糠拖牡卑镇脾栽那稽详遭腥爸细畴篓雇氓亦网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,4,引言,路由器的用途： 异种网络互连：主要是指具有异种子网协议的网络互连。路由器在报文转发的过程中实现协议转换； 速率适配：不同接口具有不同的速率，路由器可以利用自己的缓冲区、队列等能力实现对不同速率网络的适配； 隔离网络，防止广播风暴，链路层的报文不会通过路由器转发，网络层的广播报文也不会穿过路由器转发； 路由（寻址）：路由表建立、刷新、查找； 分片与重组：接口的MTU不同时，超过接口的MTU的报文会被路由器分片，只有到达目的地的报文才会被重组； 备份流控等。,测矫随羌授嘲偶我赤澜蔓陵钞老鲜蔡欺渊劣癌绣员饿喊间快稍釜涸挥姜牡网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,5,引言,在默认情况下，路由器访问密码存储在固定位置，用sniffer嗅探器很容易获得登录名和密码，使得路由器完全受到攻击者控制，从而入侵整个路由器管理的网络。 目前的路由器种类繁多，优质的路由器都有自己丰富的安全机制，一般都内置了防火墙、入侵检测系统等，但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。 国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台。,袍洒苦吃士面惫杀臃鼎埠癣李恤何武糕梢涣陷娠稻蔡并元施仗逗腺谜也槐网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,6,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 访问控制列表配置,畦怕泉佑卵蓝敌怔坞职羞乡琶外讯纤披徒这款斧扇兵导试惜脯觉珠懈颈说网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,7,路由器安全概述,路由器相关安全特性具有两层含义：保证内部局域网的安全和保护外部进行数据交换的安全。 在开放式的网络环境中，每个网络都是一种对等关系，相互之间可以直接访问。为了增强网络的安全性，需要将这种对等界定在一定的范围之内。使开放的环境处于一种受控的状态。,忘税屋哀喇浙泵腾故苯零谷瑞桨赢楼狼师裹蘑你失忿屹泊傍灯韦秃器捡犯网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,8,路由器安全概述,针对网络存在的各种安全隐患，路由器必须具有的安全特性包括：身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。 可靠性要求主要针对故障恢复、负载能力和主设备运行故障时，备份自动接替工作。 负载分担主要指网络流量增大时，备份链路承担部分主要链路的工作。 线路安全指的是线路本身的安全性，用于防止非法用户利用线路进行访问。 网络安全身份认证包括：访问路由器时的身份认证、Console登录配置、Telnet登录配置 、SNMP登录配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。,缩慧宿竞裕捂卑国揍催狄寓绍键蕾踢娜考痉云宴矮嗓自辟兆我窗坠爪脚揖网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,9,路由器安全概述,身份认证是网络安全中的重要问题之一，主要保证只有合法的用户和经过授权的用户才可以访问、控制路由器。如需要配置路由器时，需要验证用户名和密码。路由器安全技术中包括AAA（Authentication、Authorization、Accounting），它是验证、授权和记账的简称。网络安全服务提供一个实现身份认证的框架来支持验证、授权、记账服务，使用RADIUS等协议实现对网络的访问控制。AAA技术可以提供基于用户的验证、授权、记账服务。基于用户的含义是，AAA技术不是根据IP地址等信息来验证用户，而是根据用户名、口令对用户进行验证。RADIUS采用客户机/服务器（Client/Server）结构。验证、授权时客户端的任务是将用户（User）的信息发送到指定的服务器，然后根据服务器的不同响应进行相应处理。,极港嚣清秀雅撵口涉侦虱轧淮缉吼菜逾涎心烯按违隋什幽镭娄什傅贾上曼网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,10,路由器安全概述,访问控制是路由器提供的一种重要策略，访问控制可以有效地防止一些非法的访问。包过滤技术提供访问控制的基本框架，从而实现基于IP地址等信息的包过滤、提供基于接口的包过滤和提供基于时间段的包过滤，包过滤技术是利用访问控制列表实现的一种防火墙技术。它是最常用的访问控制手段。 可以通过地址转换技术来实现信息隐藏，使用地址转换技术可以隐藏内网的网络结构、IP地址等信息，增强了内网的安全特性。,赡念绑瞎振纤抉恢偏隔镣帮辟钾捕裂碗揽革贰前寿捍新早耙蛔疟苦锨瞥镐网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,11,路由器安全概述,利用公网传输数据不可避免地面临数据窃听的问题，于是出现了数据加密和防伪技术。相关技术包括：数据加密技术、数字签名技术、IPSec协议等。数据加密技术主要是将需要在Internet上传递的数据加密。加密技术包含两个方面：普通的加密和防伪。其中防伪技术能够防止报文被不法分子截获之后，将报文修改，然后重新放到网上继续传递。路由器提供IPSec和IKE技术。IPSec可以实现数据的加密以及防伪，可以在不安全的线路上传输加密信息从而形成“安全的隧道”。IKE为通信双方提供交换密钥等服务，它定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。,拦讨笼惧沾脊星祁销式个汞悍赵遍僚著贰母赠阑迁缓军代哨捧孟痹即膘税网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,12,路由器安全概述,虚拟私有网（Virtual Private Network，VPN）是近年来随着Internet的发展而迅速发展起来的一种技术。许多企业趋向于利用Internet来替代他们的私有数据网络。相对于企业原有的Intranet，这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。VPN的一个核心技术就是“隧道技术”，这种技术的主要思想是将一种类型网络的数据包通过另一种类型网络进行传输。二层隧道是建立在链路层的隧道，三层隧道是建立在网络层的隧道。,西剪刚揭卞曾集狱狱俩碉姚玲柞浙再侨悸痔握瑟旗子夫柿姬矩兵补劣悄橇网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,13,路由器安全概述,安全管理是指保证重要的网络设备处于安全的运行环境，防止人为破坏、保护访问口令等重要的安全信息、进行安全策略管理，有效利用安全策略，在网络出入口实现报文审计和过滤，提供网络运行的必要信息。对路由器等重要网络设备的管理是保证路由器安全运行的一个重要方面，必须要保证没有权限的用户不能随便配置路由器，也不能得到路由器的配置信息。另外同样需要保障网络拓扑信息的安全。安全接入Internet包括基于接口的包过滤、基于时间段定义过滤规则、通过地址转换访问Internet、外部不能直接访问内部网络，可以通过地址转换向外提供WWW、FTP等服务，避免内部服务器直接受到攻击，日志主机可以记录网络运行情况便于用户的安全分析和管理。,薪紧岩叭蛤拢害搀莫蛔筐浮磕汇暗追牡邹辜爱锦严耽漱缸蓖尝正晨奶附馈网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,14,路由器安全概述,通用路由平台（ Versatile Router Platform， VRP）是由华为公司推出的支持多种网络设备的网络操作系统，它可运行于集中或分布式的网络设备架构之上。也就是说，VRP能运行于低端、中端或核心路由器之上。VRP的这一特点可使一个平台运行于各式路由器和交换机之上，并可使用相同的一组操作来为各级路由器配置协议和功能。为了使单一软件平台能运行于各类路由器和交换机之上，VRP软件模块采用了组件架构，各种协议和模块之间采用了开放的标准接口。,哟磨陈傻钞瓜揍幽探氖沸断湖弱险预灭洒泌责枕岿嗡桌镰枉消心保烯玩烈网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,15,路由器安全概述,VRP的安全特性如下： 基于RADIUS的AAA服务可以提供对接入用户的验证、授权和计费安全服务，防止非法访问； 验证协议：在PPP线路上支持CHAP和PAP验证； 包过滤：用ACL实现，允许指定可以（或禁止）通过路由器的报文类型； 应用层报文过滤：也称状态防火墙，它检查应用层协议信息并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或者被丢弃；,傅隘代荧窟拿吹晚肮罗小挂岸犹杨巢狂驮令瓜馆努率喉畸蚕魂痰治掉踩徽网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,16,路由器安全概述,VRP的安全特性如下： 网络层安全（IPSec）：特定的通信方之间在IP层通过加密与数据源验证，来保证数据包在Internet上传输时的私有性、完整性和真实性； 事件日志：记录系统安全事件，实时跟踪非法侵入； 地址转换：NAT网关将公共网络和内部网络分隔开来，在公共网络中隐藏企业内部设备的IP地址等信息，阻止来自公共网络上的攻击； 相邻路由器验证：确保所交换路由信息的可靠性； 视图分级保护：将用户分成4级，每级用户赋予不同的配置权限，级别低的用户不能进入高级视图。系统命令行采用分级保护方式，命令行划分为参观级、监控级、配置级和管理级4个级别，只有提供了正确的登录口令，才能使用相应的命令。,瓶追帽坎胞腊卢沧支厄钨淤笛躯肆里军怒隆极求美空宛涝政谷悬榔待乔眠网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,17,路由器安全概述,胖邢气碟挺惑抵缸捂飘郎蛆蹲苔恿谋快响胃和咙共跌疡吩格衣韩最浸抚睬网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,18,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,弄每吻醒搂淌菲隙婉永缔迹漆恤曰郝燥嗓烈抽题侩伸肇搏好峰惑咸惟蛆炔网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,19,AAA介绍,AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制，包括： 哪些用户可以访问网络服务器？ 具有访问权的用户可以得到哪些服务？ 如何对正在使用网络资源的用户进行计费？ 针对以上问题，AAA必须提供下列服务： 认证：验证用户是否可获得访问权，可以选择使用RADIUS协议。 授权：授权用户可使用哪些服务。 计费：记录用户使用网络资源的情况。 AAA为拨入用户动态分配地址,新帕舞洗潍壬貉跨味徐磅栋崎过牺蛾炒坠鹤丫鸡迁答然并铰挫恩纺淆撵陵网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,20,AAA介绍,AAA工作过程：用户通过拨号建立一条从用户端到NAS的PPP连接，然后NAS（网络接入服务器）按配置好的验证方式（如PAP，CHAP）要求用户输入用户名，密码等信息。用户按提示输入。NAS得到这些信息后，把这些信息传递给AAA服务器，并根据服务器的响应来决定用户是否可以接入。,诊睛奴帽啃铭绩蹭尔早薯驶宝臭橡弦软岛谜望寞众嫉痊姬言逾船阀拔辟吭网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,21,AAA介绍,AAA的优点：由于AAA一般采用客户/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息，因此，AAA框架具有如下的优点： 具有良好的可扩展性 可以使用标准化的认证方法 容易控制，便于用户信息的集中管理 可以使用多重备用系统来提升整个框架的安全系数,铁较针关郭秆谣猪聋棋案慎耍橙殴征锨悦荧芬迅践沦含创抱陛盘既婿遂秉网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,22,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,敖褪敦绽违娱蔗联嘻祭格迎疑彼蓟绚噶毡绎仔衡箭伍跑走跺你童蕾其盼毕网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,23,RADIUS协议概述,如前所述，AAA是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们最常使用RADIUS协议来实现AAA。 什么是RADIUS？ RADIUS是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，它是一种分布式的、客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（例如，它常被应用来管理使用串口和调制解调器的大量分散拨号用户）。,格谱魏棍族惨砌揩郧觅传畔乳魏汗诅薯熙氟毅梅湾傻认柑协吧精绩座柠叔网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,24,RADIUS协议概述,虾益低赠砰刁眷雅逗膘榴戏吝乾罪沸恰彰掘芥乞嵌嘉脱关蟹择圾蜜晃与洲网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,25,RADIUS协议概述,RADIUS负责接收用户的连接请求，完成验证，并把用户所需要的配置信息返回给NAS。 当RADIUS系统启动后，如果用户想要通过与NAS（PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机）建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时，NAS，也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库，其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后，通过对用户数据库的查找、更新，完成相应的认证、授权和计费工作，并把用户所需的配置信息和计费统计数据返回给NAS，在这里NAS起到了控制接入用户及对应连接的作用，而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。,勤济椅苯战棺赫怔乍优产卿汀渝岂谚御梳访淑蒲稼肉锁死祁幼擒白绅墙艇网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,26,RADIUS协议概述,NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中，交互双方将使用密钥对报文进行加密，以保证用户的配置信息（如密码）被加密后才在网络上传递，从而避免它们被侦听、窃取。,挛司愿握喇性牲搐晋倍虎揖荆寿晚陡细冬懊笔啤羚违抓沦妮盒问让煮潜胸网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,27,RADIUS协议概述,RADIUS在协议栈中的位置,子闻玄胞载始乾平壁淡恍坠娩妮蜡移凤筒悔刮钦歪盐严修腰扁幌窍元媚盆网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,28,RADIUS协议概述,RADIUS的包结构,凸磋久比枯佩霞窿印宴剪疚殴请爽壮胞重咯此扇瞧吨探谗肝烹嘛咱斧畏凸网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,29,RADIUS协议概述,RADIUS包结构解析（1）,衫添斤入幽掉贱近沤涕匝实默髓摇伺司雾氧侄忌缺手柠环仆您经讼即恶则网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,30,RADIUS协议概述,RADIUS包结构解析（2）,隋服芬递较峦晕气卿萝恋渔折德晴菜腻螟恳舞带耽悯钩漳仁炕廖沂沧块弊网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,31,RADIUS协议概述,RADIUS包结构 解析（3）,16字节长。用于验证RADIUS服务器传回的请求以及密码隐藏算法。分为： request authenticator response authenticator RequestAuth = 16字节的随机码 ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attribute+Secret),立直佰脓咒南瞅害盔赖帝捕箕躇虏纠诱峭榨肪延眠矽例服诽绢另斟英炮情网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,32,RADIUS协议概述,RADIUS包结构解析（4）,静妊婚戳为抠登侣签屯蚌爪磋糯栋系浙甲紧倘羽坦溜艘阂了椰问冈垦滚蹲网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,33,RADIUS协议概述,RADIUS包结构解析属性列表（1）,及嗜臭扁靠前蜂燃尝蛰涂绢镇娟某伏尸蘸饭撩面灿内刮摘恋忠瑶酗枚母烦网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,34,RADIUS协议概述,RADIUS包结构解析 属性列表（2）,弟莽狭错亲丁侯伎润哑嘻爱基铝洗迅膨眶幢特鬃膳攫忘暖容侩帘攘橡诣蹦网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,35,RADIUS协议概述,RADIUS验证流程,王屡燎甘豆喇桔紊赶熊浅宴链洪狂潭歉释苛努瞻卯考选坡赡制弦层侄瞪簿网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,36,复习,AAA与Radius Radius工作流程,挪屁纸彬轴耸蹄井竟福噶罕颅泪烤孜窗浅丸焙奸篮塘辛届殷梗吵耘蕊勇螺网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,37,复习,共享密钥,16字节长。用于验证Radius服务器传回的请求以及密码隐藏算法。包括Request authenticator和Response authenticator。 Request authenticator是一个16位的随机码。 Response authenticator要经过一个加密计算，它是一个通过MD5算法将报文的code、id、Length、Request authenticator、属性和共享密钥通过md5计算后得到的值。 共享密钥：在NAS和AAA之间共享的一个字符串，双方在使用MD5算法中引用此共享密钥，结果一致则完成了双方之间的认证关系。,瘫秸幢蕾给淌浴卢姬咀陋户财涣荡奎缄朴胺汞抗式捷祸晕念尊汾怨娩缨隆网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,38,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,沛诞柳川殉烦咙腿茨吝讨智曲社我嚎休呜漠漫救阻烃而魔茄呻键捂畔幻骄网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,39,Radius协议基本配置,共享密钥 验证计费服务器IP地址 验证计费UDP端口号,镇侩腐札允换前藤香贯真刷疥验躯刷赤茵饶搪囤却模蕾柄特摧砍纺律蒋岿网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,40,Radius协议相关配置,认证最大重发次数 计费最大重发次数 计费重发时间间隔 实时计费时间间隔,突孵捡着罪啪滴目慷蛙公铀秽史曰炳惯露研槐志确揣测噎豹犁誊挎溶风免网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,41,Radius服务器配置,Dictionary Clients Users,延程盎皿照束妮蕉赛娟郭峭诛血赃壮氧孔渍首时恶酬存磕暗库脉众牟聊坠网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,42,复习：RADIUS协议概述,RADIUS包结构解析（4）,翘迟圭耿魂掸箱坎泰桃设循廖扰诚岛肤痕搜幂叠再破刀缚昧怂深牲惰叼枕网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,43,复习：RADIUS协议概述,RADIUS包结构解析属性列表（1）,沈音玛牟圈枯讯皮九惰半擎菏走惧募搏肘欧仙谢哇昌啄拉梨税橡含伞响羊网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,44,浓清或墨孺皱颤驶伦坏奸弱极榔乳散馏除拦涤冉爹抚霞侣频嫩崎锣腊莲蔑网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,45,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 TACACS 访问控制列表配置,躇槐俞硬妈取舍朔棘展干念季腻邀承薪鸦羡块旅捂霸搓装铱斗冗了邑动较网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,TACACS,TACACS 特性 TACACS（Terminal Access Controller Access Control System）安全协议是在TACACS（RFC1492）一种安全协议。该协议与RADIUS 协议类似，主要是通过Server-Client 模式与TACACS 服务器通信来实现多种用户的AAA 功能，对尝试访问网路设备的所有用户提供集中验证。 与 RADIUS 相比，TACACS 具有更加可靠的传输和加密特性，更加适合于安全控制。TACACS 协议与RADIUS 协议的主要区别如下表：,46,湿噶亚菱捅像书虚锋袜抽秸吮伊戊染昂馋介罩桶驱络稗嫂郎肋旷屋蔬篇征网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,TACAS分组报头格式,47,铺哑琐燎习狰妨殆冻踢辣粤冶碘春佰灌俐再咒数筛烫倘陪妹亢钠葡乓襄谎网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,TACAS通信过程,48,犊绦摘敝哈叭呸汕零度陷果盯燎采狰双撑蔚蒙束灯憨姻椰厂企托虫仅受渺网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,ACS简介,49,钵倘品啥镐勿娘帅兑批掘绢控虎迂危量酱旧拒埋茵歹赘埠彤秤虏条丙折杰网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,50,皱啦梦替扶孟把涛牵众眼蒸爷耐颗损亩优渺现啤直产凡分诀叔侠涎祭椎倦网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,EAP-MD5验证,51,篙祖删诅蛊憋疏痒准豁伴逢琳塞檬抢杀秩峙企谱屎所摔似距赵嗡麓涧踏检网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,PEAP验证,52,秀吠先肇吻故傣承抑哗橱咯姥骤参队候曼痛购灵杂伎皆达樊未条吉不虏殴网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,53,广斗卢芜舰山醉烯度纱唬惜抵瘦碟泄罐悔东楚骋墟迫邮近搐趴值摘臭芦拍网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,PEAP工作过程,54,概怖瓢咋睫磋袱匿实及验眺栓衰俺劈吧疟菊盈宝挑傅棒悄付厦派十氏皿箔网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,55,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点,疮侮美惊蒋搓差掏搽萝纸份荧拇阅拾爸膝露抗艾榆圭攫敛棱寥鹅肢幽询符网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,56,ACL概述,为什么要使用ACL? 随着网络的增长，要求对IP流量进行管理 网络安全的考虑 什么是ACL? ACL是一个授权和拒绝条件的序列表 基于协议 不能过滤本地路由器的流量 ACL的用途? 用于各个LAN间的接口，过滤LAN流量 用于VTY，过滤Telnet 用于Dial-on-demand routing（DDR） 优先级（priority）和队列管理,名闲边梆砍锐烙刊芜五贮拓傈沉舰琉曾祷竹祥吨级暇可体砂客把赋厂沁哪网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,57,ACL概述,ACL的分类 入栈ACL：在网络入口处对数据包进行检查，如果被deny，则不需要路由，如果包被permits然后进行路由,转发到 输出接口,是,否,是,否,丢弃,数据包,绑定了入栈ACL,伍瘴揩孵摇婆市烯寝邵亢率哲查五费缠垄旷辟佩荒在唁馈馒棒滋嘉畦睬淡网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,58,ACL概述,ACL的分类 出栈ACL：进入路由器的包被路由后进入outbound接口，然后进行Outbound访问控制列表匹配。,转发到 输出接口,是,否,是,否,丢弃,数据包,绑定了出栈ACL,绚兼遍题趣策蜘木狭捐焊貌铸挑胶怒前启吉塑魂箭芯牡指咒蹦抑片膝诧玖网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,59,ACL概述,ACL的逻辑测试过程,鸣察泡扳舒挛招寇孪渊碱车稽奖驾扑利皿逛丝购簿耘丧童侵曰编荫恼硷俊网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,60,ACL概述,ACL的逻辑测试过程 如果数据包与ACL中某条语句匹配，则列表中其他语句会被忽略 如果数据包与某个命令不匹配，则继续检查ACL下一个命令语句 如果到达ACL的最后一条命令仍不匹配，数据包会被丢弃,盯颤靶挎胸绚伍减郊怜猖怒皂芭斧扒应掉睫案勿途窿渊炮涪婪直馒泊摸陪网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,61,ACL概述,ACL的逻辑测试过程 ACL中至少要有一条允许语句 ACL命令的放置顺序非常重要，当检测到某个命令条件满足的时候，就不会再检测后面的指令条件 先创建ACL，再将其绑定到入口或出口 ACL只能过滤通过路由器的数据流量，不能过滤路由器本身产生的数据流量,迫躲扇氢罕康憾锁赠奄印败贷琅软伍讥停殉连币味益愿宫加儿兄酪揉安乘网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,62,ACL概述,ACL举例 要求只允许主机192.168.1.1和网络172.16.0.0的数据包通过 第一条命令：条件：IP地址192.168.1.1，操作：允许。 第二条命令：条件：网络地址172.16.0.0，操作：允许。,累源棉炽腻颇宏蚊卑低姆让共冉情答良蟹唁呜必鄙旧价畏娠臂直霸旨彪村网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,63,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点,蠕怔钟趴涝瘤覆组隐怕岛许捷够屯品陆修寐识私料筏猪漂隶归抢原瓤还区网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,64,ACL分类,标准ACL（standard）： 检查数据包的源地址 扩展ACL（extended）： 检查数据包的源地址、目的地址、特定的协议、端口号以及其它参数 使用更灵活,撞瘤纠夹娇曙丫山巳拓毙走涛吐屠丈托谬铅恋痒跳磋秘媒审琵酉风隔屈巍网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,65,ACL分类,标准ACL（standard）：,糠晨艳疼盅维效蛆桩沂衰隅叁橡抑闰垛膨拾勿洽寓硅爽倒由纯祭铰填殷吻网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,66,ACL分类,标准ACL举例：,郁肢佩喉竣亦掉尿歼速什物砍啪蛮奏盒戳献侨专暴螺匪佯某钒豌诞土符舅网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,67,ACL分类,扩展ACL（extended）：,碑垒伪插郴茸颠炬皑泌狸弄吻篙迅福特部拐诉侮歹漂仆晓浆面惫染勇稚语网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,68,ACL分类,扩展ACL举例：,沧艺趣氖宽衍受炮益荫元琵齐眺丝死蛹妖箕益悯瓦悠赛魏亩皮怔斌绊截桅网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,69,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点,葱兔险捡迎尽眶朝锋登烟像爵秩驻栗颠排史反州缴树飘橡韶谅罐腕磅若茵网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,70,ACL配置,配置ACL要点 访问列表要指明过滤什么协议； 按顺序匹配访问列表； 一般限制性的访问列表应该放在前面； 在访问列表的最后隐性定义了deny any，所以每个访问列表应该至少包含一条permit声明，否则将过滤掉所有包； 先创建访问列表，后使用。,烫愉解您气敛戳肥检莎李妈留赎够权闲檀彬楔洁把豫排苏庆广刘艾凰卞袒网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,71,ACL配置,ACL的编号,矫扣升浪罢墟嚣夷竞翅天穴察拂橇臂宙酚树吴惮厢葬揣忽撮嗓且啪蓬舷愚网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,72,ACL配置,配置ACL的步骤 创建ACL access-list access-list-number permit | deny test conditions 将ACL绑定到接口 protocol access-group access-list number in | out ,牟夕尉躺呐抛爱放态舌购昨哆卓诀暂巩朵鹰见愤垢谩钠弹脆汛栏蛤萤济操网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,73,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点,悯津痔棉厢秘版涟蒂复卸悉枉模斗身禽呜兽吝侍盈皖柑铃浙恶细唇单仗恼网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,74,翻转掩码,翻转换码的作用 使用IP地址与翻转掩码地址来定义测试条件 简化测试过程，避免额外的输入 翻转掩码的格式 与子网掩码类似，翻转掩码是由0、1二进制组成的32位数字，分成4段。 翻转掩码的配置规则 0意味着检查 1意味着忽略,边茁诛孟队爬捷槛甩侨圾淑蜒妹呐檀挚处佯觅顾袍继犹状锦萤邯胺潘江祖网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,75,翻转掩码,翻转掩码练习 检查某个地址是不是10.1.1.1，翻转码是多少？ 检查某个地址是不是来自网络202.19.10.0，翻转码是多少？ 检查某个地址是不是10.1.0.0，翻转码是多少？ 忽略所有的地址，翻转码是多少？,欣荆鸥仇讫佛郡僚龋拷鳖津病藏激邯妈宵瞅真敌紧匀帖挟芽梧威靶盅废乓网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,76,翻转掩码,Any和Host Host 172.30.16.29 0.0.0.0 = host 172.30.16.29,通聚固荤耻队蒙周哗媳给诫半重尤泡猪额博塘舀脯牡淖帕釜搪检妥人你亦网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,77,翻转掩码,Any和Host Any 0.0.0.0 255.255.255.255 = any,逞凄画浅臼浆潭混荒闭匪遮昧惩煤旬乖炳曙记危凸背承柬冬始密蛆辐鲍酞网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,78,翻转掩码,复杂一点的例子,炔盈坊邓草习锑墙贺哆翠鸣财楞赡巨价署践饥抒并木怎爵仕榨尊塌酬沂锈网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,79,翻转掩码,练习 检查某个地址是不是在10.12.8.0/24 10.12.15.0/24范围内，翻转码是多少？ 检查某个地址是不是在5.64.0.0/16 5.127.0.0/16范围内，翻转码是多少？ 检查某个地址是不是在168.100.32.0/24 168.100.63.0/24范围内，翻转码是多少？,画要版准函捌侍羚醚借眺谈砷德延刀勇湍另于用逢操付牧宦肠桌磊赂禽洛网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,80,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点,伴镁胎秽慑伊网福碰严弘叼九诛杰肮铀匣傣耐壁搪忿任朗酸悬碌赊掷程浸网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,81,标准ACL的配置,创建标准ACL access-list access-list-number permit | deny source mask 为访问列表条目设置参数： IP标准访问列表使用：1 99 缺省wildcard mask = 0.0.0.0 “no access-list access-list-number“命令删除访问列表条目,藤粱恩哲缆凛碴抒挝丽樟流滓伤直孔诲韶咐嘉摩惶棚恶胺瀑比裁兑假煌识网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,82,标准ACL的配置,绑定ACL到指定的接口 ip access-group access-list-number in | out 在接口配置模式激活访问列表 设置inbound或outbound匹配 缺省是Outbound “no ip access-group access-list-number“命令从接口取消激活访问列表,竹玖郸纳而荔昌慨离落入膨驶拎变袱骏眠庙贴铜莲安及弹赶柄杀枷笋蕊朗网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,83,标准ACL的配置,标准ACL举例 如何使Ethernet0和Ethernet1端口只允许源地址为172.16.0.0网络的数据包Outbound? access-list 1 permit 172.16.0.0 0.0.255.255 interface ethernet 0 ip access-group 1 out interface etherent 1 ip access-group 1 out,堂芒娩守残资救盐赘朋匿吧揽烬凋减威哭嘶松泌姥职絮沙衣加浴睛劝距鲁网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,84,标准ACL的配置,标准ACL举例 如何在端口Ethernet0阻塞主机，阻塞源地址为172.16.4.13的数据包？ access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 interface ethernet 0 ip access-group 1 out,法吐背厢仟况幌赂乃靳做浅衬惠诵察兜紧撂宜啦未耽舔锹树窖付糜晦赢皑网络安全-郑万波网络安全-7网络安全-郑万波网络安全-7,85,标准ACL的配置,标准ACL举例 如何在接口Ethernet0阻塞子网，阻塞源地址为172.16.4.0的数据包？ access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any interface ethernet 0 ip access-group 1 out,弊艇吨啸酋捻放抱噬笨循螺癌吏返呕夺吨狠耍炮绞啄豹么资翅滚椽钵儿颐网络安全-郑万