华为ACL网络安全

  一.

  1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系;


  2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan;


  3.网络层安全  基于源IP地址 目标IP地址控制;


  4.传输层安全   会话*** LAND*** syn洪水***;

  

  5.应用层安全  登陆密码;

  

  6.网络层安全

   标准的ACL,

   基于源地址进行控制;

 

  7.访问控制列表

   扩展源地址;

   基于原地址 目标地址;

   端口号进行控制。


 二.

     使用标准的ACL配置网络安全


    wKioL1kgGGThyMueAABJrzY1QNs317.jpg-wh_50


实验要求:

 网络中的路由器和计算机已经配置ip地址和路由在Router 0上定义标准acl实现以下功能;

 1.只有市场部和财务部的计算机能够访问internet;

 2.服务器组中的计算机拒绝访问internet。


实验代码:

   Router 0

Router#config t

Router#(config)access-list 10 deny host 192.168.2.2

         拒绝这个ip上网

Router#(config)access-list 10 permit 192.168.1.0 0.0.0.255

Router#(config)access-list 10 permit 192.168.2.0 0.0.0.255

         允许ip上网

Router#(config)interface serial 3/0

    使用标准的acl配置网络安全

wKiom1kgHLaBoRTHAABSdJts4xI630.png-wh_50

wKiom1kgHLajj7KmAABFFnHoosM672.png-wh_50


Router#(config-if)ip access-group 10 out

Router#show access-lists

   查看访控制列表

  wKiom1kgHS2TdiL7AABDF9mQ8yk704.jpg-wh_50


    先拒绝在允许上网 关系不能搞错了


实验验证:


   

wKiom1kgHcaS7YjtAABBnVlDtRQ910.png-wh_50

wKioL1kgHcbw1GNGAAAdVqiNBfc741.png-wh_50



三.

  使用扩展的ACL实现网络安全


拓扑图:

    wKiom1kgJhqQJF3EAABJrzY1QNs225.jpg-wh_50


实验要求:

     wKiom1kgI-vz2nJyAABEKnRssw4021.jpg-wh_50

   实验要求不一样

实验代码:

    Router 0

Router#config

Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any    

  允许这个ip访问互联网任何地址

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80

Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any

Router(config)#intterface serial 3/0    

Router(config)#ip access-group 100 out

Router#show access-lists  查看访问控制列表

  wKioL1kgJRyCIUp6AAB7OX2Rif8269.png-wh_50



实验验证:

   

wKiom1kgJVajlmw6AABdi57-S84927.png-wh_50

wKioL1kgJVaTMgEEAABM-E_vmR8198.jpg-wh_50

wKiom1kgJVeAW1J6AABJvniO90Q245.png-wh_50   



四.

   使用ACL保护路由器的安全

拓扑图:

    wKioL1kgJoXCigeiAABlUWI2koQ425.png-wh_50



实验要求:

  网络中的路由器和计算机已经配置了ip地址和路由在R0上定义标准acl实现以下功能

 1.只允许IJG部门的计算机能够telnet路由器R0

  telnet密码是hanlg   enbable密码是todd



实验代码:


      Router 0

Router#config t

Router(config)#line vty 0 15

Router(config)#password aaa

Router(config)#login

    创建标准访问列表

Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0

Router(config)#line vty 0 15

Router(config)#access-class 10 in

    将ACL绑到telnet接口

Router(config)#access-group 10 in    不一样不要搞错了

    将ACL绑到物理接口 


实验验证:

  wKioL1kgKvSh5207AAA-JWqq5q8312.png-wh_50







实验总结:

   1.标准IP访问列表只对源IP地址进行过滤。

  2.扩展访问控制列表不仅过滤源IP地址,还可以对目的IP地址、源端口、目的端口进行过滤

  3.尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方,以减少不必要的通信流量。

  4.最好把标准的ACL应用在离目的地最近的地方

  5.标准的ACL根据数据包的源IP地址来允许或拒绝数据包。

  6.当配置访问控制列表时,顺序很重要。