文档介绍:信息安全
——网络安全协议
班级:9班
姓名:周杰
学号:53080907
:
1. 理解Lock-and-Key的主要用途及配置方法;
2. 理解Reflexive access list的主要用途;Reflexive access list的配置步骤;
3. 掌握CBAC的主要用途和配置方法;
4. 比较三种访问控制的优缺点,所用场合的差异,以便根据不同的环境灵活选择不同的配置策略;
:
:
:
(一). Lock-and-Key配置实验
-and-Key的常用命令:
Lock-and-Key常用的命令有以下几个:access-list,ip access-group, login tacacs , username, password&login local ,show ip interface, show access-lists。我们简单介绍一下:
access-list access-list-number dynamic dynamic-name [timeout minutes] {deny|permit} protocol source-address source-wildcard destination-address destination-wildcard :该命令使用关键字“dynamic”,它创建一个动态访问控制列表。“timeout minutes”参数指定了动态访问控制列表的绝对超时值,它代表该动态访问控制列表中每个条目的最大时间限制(以分为单位),时间到后,就算连接仍在传输数据,我们也需要重新认证。
ip access-group access-list-number {in|out}:把一个ACL表应用于路由器的具体的端口。“in”是入方向,“out”是出方向。
username username password password:“username”参数配置一个用户名,以标识用户的身份,它可以保证对用户的验证更为有效。“password”参数配置一个认证密码。“login local”一个注册命令,它将所有线路配置为根据本地用户名/口令数据库对用户进行认证。
mand access-enable [host] [timeout minutes]:该命令用于自动创建一个临时性访问控制列表条目,关键字“host”使该临时性条目不包括我们所在子网的其他地址,“timeout minutes”参数指定连接的闲置时间,如果连接闲置超过该时间,我们不得不重新进行认证。
how ip interface:这个命令不是ACL的特有命令,但是它可以看到一个端口上的ACL的配置信息。
show access-lists:这个命令用于查看某个ACL表里的访问控制规则。
:
路由器是根据ACL里面的规则对数据包进行检验的,如果发现一个数据包不符合表里定义的所有规则,路由器就会把数据包丢弃。所以在写ACL规则时,如果前面几条规则是deny某种类型的数据包通过的话,那么一定要在最后加上一条perimt any,让其它不满足条件的数据包通过。
-and-Ke