目录
4、实现对Web-Server和Ftp-Server访问的控制
原理概述
访问控制列表(ACL: Access Control List)是一种常用的网络技术,它的基本功能是对经过网络设备的报文进行过滤处理。ACL是由permit和 deny 语句组成的一个有序规则的集合,它首先通过报文匹配过程来实现对报文的分类识别,然后根据报文的分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。除此之外,ACL还有其他一些功能,这些功能常常被Route-Policy、QoS (Quality of Service)、IPSec(IP Security)、Firewall等技术结合起来使用。
ACL的常见类型:基本ACL、高级ACL、二层ACL、用户自定义ACL等,其中应用最为广泛的是基本ACL和高级ACL。基本 ACL可以根据源IP地址、报文分片标记和时间段信息来定义规则:高级ACL可以根据源/目的P地址、TCP源/目的端口号、UDP源/目的端口号、协议号、报文优先级、报文大小、时间段等信息来定义规则。高级ACL可以比基本ACL定义出精细度更高的规则。
类型 |
编号范围 |
基本ACL |
2000-2999 |
高级ACL |
3000-3999 |
二层ACL |
4000-4999 |
用户自定义ACL |
5000-5999 |
实验目的
掌握基本ACL和高级ACL在安全策略中的应用
掌握基于时间信息的ACL配置
掌握使用基本ACL保护路由器的VTY 线路
实验内容
本实验模拟了一个简单的公司网络,基本组成:一台Ftp-Server,一台 Web-Server,一台HR部门的终端PC-1,一台SALES部门的终端PC-2,一台IT部门的终端PC-3,一台路由器R1和一台交换机SW1。为了满足公司的安全需求,要求在R1上使用ACL对部门之间的互访,以及用户对服务器的访问进行控制。另外,只允许SW1的 VLANIF 1接口的IP地址作为源地址远程登录到R1,以实现对R1的远程控制和管理。
实验拓扑
实验编址
设备 |
接口 |
IP地址 |
子网掩码 |
默认网关 |
R1(AR1220) |
Ethernet 1/0/0 |
172.16.1.254 |
255.255.255.0 |
N/A |
Ethernet 1/0/1 |
172.16.2.254 |
255.255.255.0 |
N/A |
|
Ethernet 2/0/0 |