首页 > 代码库 >     华为 ACL 网络安全

    华为 ACL 网络安全

               华为ACL网络安全

  一.

  1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系;


  2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan;


  3.网络层安全  基于源IP地址 目标IP地址控制;


  4.传输层安全   会话攻击 LAND攻击 syn洪水攻击;

  

  5.应用层安全  登陆密码;

  

  6.网络层安全

   标准的ACL,

   基于源地址进行控制;

 

  7.访问控制列表

   扩展源地址;

   基于原地址 目标地址;

   端口号进行控制。


 二.

     使用标准的ACL配置网络安全


    技术分享


实验要求:

 网络中的路由器和计算机已经配置ip地址和路由在Router 0上定义标准acl实现以下功能;

 1.只有市场部和财务部的计算机能够访问internet;

 2.服务器组中的计算机拒绝访问internet。


实验代码:

   Router 0

Router#config t

Router#(config)access-list 10 deny host 192.168.2.2

         拒绝这个ip上网

Router#(config)access-list 10 permit 192.168.1.0 0.0.0.255

Router#(config)access-list 10 permit 192.168.2.0 0.0.0.255

         允许ip上网

Router#(config)interface serial 3/0

    使用标准的acl配置网络安全

技术分享

技术分享


Router#(config-if)ip access-group 10 out

Router#show access-lists

   查看访控制列表

  技术分享


    先拒绝在允许上网 关系不能搞错了


实验验证:


   

技术分享

技术分享



三.

  使用扩展的ACL实现网络安全


拓扑图:

    技术分享


实验要求:

     技术分享

   实验要求不一样

实验代码:

    Router 0

Router#config

Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any    

  允许这个ip访问互联网任何地址

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80

Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any

Router(config)#intterface serial 3/0    

Router(config)#ip access-group 100 out

Router#show access-lists  查看访问控制列表

  技术分享



实验验证:

   

技术分享

技术分享

技术分享   



四.

   使用ACL保护路由器的安全

拓扑图:

    技术分享



实验要求:

  网络中的路由器和计算机已经配置了ip地址和路由在R0上定义标准acl实现以下功能

 1.只允许IJG部门的计算机能够telnet路由器R0

  telnet密码是hanlg   enbable密码是todd



实验代码:


      Router 0

Router#config t

Router(config)#line vty 0 15

Router(config)#password aaa

Router(config)#login

    创建标准访问列表

Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0

Router(config)#line vty 0 15

Router(config)#access-class 10 in

    将ACL绑到telnet接口

Router(config)#access-group 10 in    不一样不要搞错了

    将ACL绑到物理接口 


实验验证:

  技术分享







实验总结:

   1.标准IP访问列表只对源IP地址进行过滤。

  2.扩展访问控制列表不仅过滤源IP地址,还可以对目的IP地址、源端口、目的端口进行过滤

  3.尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方,以减少不必要的通信流量。

  4.最好把标准的ACL应用在离目的地最近的地方

  5.标准的ACL根据数据包的源IP地址来允许或拒绝数据包。

  6.当配置访问控制列表时,顺序很重要。










































本文出自 “若★影” 博客,请务必保留此出处http://denglu.blog.51cto.com/10144045/1927815

    华为 ACL 网络安全