1、第 5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介15.2 在三层交换机上配置访问控制列表 ACL 5.2.1 ACL概述 5.2.2 ACL的类型 5.2.3 ACL配置2什么是访问列表 Access Control List: 访问列表或访问控制列表,简称 ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP访问列表 访问控制列表的作用: 内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏4访问列表的组成 定义访
2、问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上5访问列表规则的应用 路由器(或交换机)应用访问列表对流经接口的数据包进行控制 1.入栈应用( in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用( out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表F1/0 F1/1IN OUT6访问列表的入栈应用NY是否允许?Y是否应用访问列表?N查找路由表进行选路转发以以 ICMP信息通知源发送方信息通知源发送方7以以 ICMP信息通知源发送方信息通知源发送方NY选择出口S0路
3、由表中是否存在记录?NY查看访问列表的陈述是否允许?Y是否应用访问列表?NS0S0访问列表的出栈应用 IP ACL执行如下基本准则,执行顺序如下图所示: 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的 “允许、拒绝 ” 一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过 ; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配ACL的工作原理9YY是否匹配测试条件 1?是否匹配测试条件 2?拒绝是否匹配最后一个测试条件?YYNY允许被系统隐含拒绝N允许允许拒绝拒绝N允许通过一个访问列表多条过滤规则10
