1、计算机网络技术培训教材中国人民保险公司目 录第一章 Cisco路由器产品介绍第二章 配置 Cisco路由器第三章 管理 Cisco路由器第四章 Cisco路由器故障排除第五章 提升 Cisco路由器的安全性第六章 PICC网络范例第五章 提升 Cisco路由器的安全性1. 访问控制列表2. 将路由器建成堡垒主机3. SNMP1 访问控制列表 访问控制列表概述 访问控制列表的功能 按正确顺序创建访问控制列表 访问控制列表分类 标准访问控制列表 扩展访问控制列表访问控制列表概述 由于不同网段间的通信都要经过路由设备,因此路由器提供了通信流量的过滤能力。 访问控制列表( ACL) 是应用到路由器接口
2、的指令列表,是一组连续的允许和拒绝的陈述语句的集合。 ACL可基于源地址、目的地址、端口号等指示条件。 ACL的定义是基于每一种协议的。访问控制列表的功能a. 限制网络流量、提高网络性能。b. 提供了对流量的控制手段。c. 提供网络访问的基本安全手段。例如, ACL允许某一主机访问你的网络,而阻止另一主机访问相同的网络。d. 在路由器的接口处决定那种类型的通信流量被转发、那种类型的通信流量被阻塞。例如,你可以允许 telnet通信流量被路由,同时拒绝所有 ftp通信流量。访问控制列表的分类 访问控制列表分为两类:1. 标准访问控制列表只能按源地址过滤2. 扩展访问控制列表可以按源和目标地址与服
3、务过滤。 在旧版 IOS中,访问表类型按编号定义:编号 协议 类型199 IP 标准100199 IP 扩展 新版 IOS允许命名访问表,可以指定所生成访问表的类型。访问控制列表的配置任务 为创建一个访问控制列表,需执行下列任务: 定义一个访问控制列表 将访问控制列表应用到路由器的一个接口配置标准访问控制列表 定义标准 ACLRouter(config)# access-list access-list-number deny|permit source source-wildcard log 将 ACL应用到某个端口Router(config-if)#ip access-group access-list-number in|outInbound ACL 处理过程For Standard IP Access ListsIncoming packet Access liston interface?Next entry in list Does sourceaddress match?More entries?Apply conditionDeny PermitYes No YesNoICMP Message Process PacketYesNoDo routetable lookupRoute tointerface
