防火墙访问控制规则配置--教案
访问控制规则配置
访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。如果不存在可匹配的访问策略,网络卫士防火墙将根据目的接口所在区域的缺省属性(允许访问或禁止访问),处理该报文。在进行访问控制规则查询之前,网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则,网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址(一般为真实IP)。因此在进行访问规则设置时,系统一般采用的是真实的源和目的地址(转换后目的地址)来设置访问规则;同时,系统也支持按照转换前的目的地址设置访问规则,此时,报文将按照转换前的目的地址匹配访问控制规则。
根据源、目的配置访问控制规则
基本需求
系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,访问控制规则的源和目的既可以是已经定义好的VLAN 或区域,也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同,访问控制规则也是顺序匹配的,系统首先检查是否与包过滤策略匹配,如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
案例:某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式。Eth0 口属于内网区域(area_eth0),为交换trunk 接口,同时属于VLAN.0001 和VLAN.0002,vlan.0001 IP 地址为192.168.1.1,连接研发部门文档组所在的内网(192.168.1.0/24);vlan.0002 IP 地址为192.168.2.1,连接研发部门项目组所在的内网(192.168.2.0/24)。
图25 根据源、目的进行访问控制示意图
Eth1 口IP 地址为192.168.100.140,属于外网area_eth1 区域,公司通过与防火墙Eth1口相连的路由器连接外网。Eth2 口属于area_eth2 区域,为路由接口,其IP 地址为172.16.1.1,为信息管理部所在区域,有多
台服务器,其中Web 服务器的IP 地址:172.16.1.3。
用户要求如下:
内网文档组的机器可以上网,允许项目组领导上网,禁止项目组普通员工上网。
外网和area_eth2 区域的机器不能访问研发部门内网;
内外网用户均可以访问area_eth2 区域的WEB 服务器。
配置要点
设置区域对象的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允许访问。
定义源地址转换规则,保证内网用户能够访问外网;定义目的地址转换规则,使得外网用户可以访问area_eth2 区域的WEB 服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2 区域的WEB 服务器。
WebUI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。
选择网络管理> 接口,激活“物理接口”页签,然后点击Eth1、Eth2 端口后的“设
置”字段图标,添加接口的IP 地址。如下图所示。
2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添
加的VLAN 中。
a)选择网络管理> 二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN
范围”,如下图所示。
b)设定VLAN 虚接口的IP 地址。
点击VLAN 虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001 的IP 为:
192.168.1.1,掩码为:255.255.255.0;VLAN.0002 的IP 为:192.168.2.1,掩码为:255.255.255.0。
如下图所示。
c)设定VLAN 和物理接口的关系。
选择网络管理> 接口,激活“物理接口”页签,然后点击eth0 接口后的“设置”
字段图标,设置接口信息,如下图所示。
3)定义主机、子网地址对象。
a)选择资源管理> 地址,选择“主机”页签,定义主机地址资源。定义WEB 服
务器主机名称设为172.16.1.3,IP 为172.16.1.3;定义虚拟WEB 服务器(即WEB 服务器
的在外网区域的虚拟IP 地址)主机名称设为192.168.100.143, IP 为192.168.100.143;定义
接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140,
IP 为192.168.100.140;定义文档服务器,主机名称设为doc_server, IP 为10.10.10.3。定义
完成后的界面如下图所示:
b)选择资源管理> 地址,选择“子网”页签,点击“添加”定义子网地址资源。
资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0 以及排除领导地
址:10.10.11.2 和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择资源管理> 区域,设定外网区域area_eth1 的缺省属性为“允许”访问,内网
区域area_eth0 和area_eth2 的缺省属性为“禁止”访问。以area_eth1 为例,设置界面如
下图所示。
设置完成后的界面如下图所示。
5)选择防火墙> 地址转换,定义地址转换规则。
a)定义源地址转换规则,使得内网用户能够访问外网:
选择“源转换”。
①选择“源”页签,参数设置如下图所示。不设置参数,表示不对报文的源进行限制。
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。
设置完成后的规则如下图所示。
b) 定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域的WEB 服务器。
选择“目的转换”
①选择“源”页签,设置参数如下图所示。不设置参数,表示不对报文的源进行限制。
②选择“目的”页签,设置参数如下图所示。
③选择“服务”页签,设置参数如下图所示。
“目的地址转换”为地址资源“172.16.1.3”。
设置完成后的界面如下图所示。
6)选择菜单防火墙> 访问控制,定义访问控制规则。
a)允许内网和外网用户均可以访问WEB 服务器
由于Web 服务器所在的area_eth2 区域禁止访问,所以要允许内网和外网用户均可以访问Web 服务器,需要定义访问控制规则如下。
①选择“源”页签,参数设置如下图所示。
源VLAN 和源区域不选择,表示不对区域加以限制;
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
b)允许项目组领导访问外网,禁止项目组普通员工rd_group 访问外网。
由于外网区域允许访问,所以需要添加禁止访问外网的规则如下:
①选择“源”页签,参数设置如下图所示。
②选择“目的”页签设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
CLI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。
#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0
#network interface eth2 ip add 172.16.1.1 mask 255.255.255.0
2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添
加的VLAN 中。
#network vlan add range 1,2
#network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0
#network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0
#network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation
dotlq
3)定义主机、子网地址资源。
#define host add name 172.16.1.3 ipaddr 172.16.1.3
#define host add name 192.168.100.143 ipaddr 192.168.100.143
#define host add name doc_server ipaddr 10.10.10.3
#define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except
‘10.10.11.2 10.10.11.3’
4)设置区域资源的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允
许访问(缺省权限,无需再设定)。
#define area add name area_eth0 access off attribute eth0(不允许访问内网)
#define area add name area_eth2 access off attribute eth2(不允许访问内网)
5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#nat policy add dstarea area_eth1 trans_src 192.168.100.140
定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域的
WEB 服务器。
#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3
6)定义访问控制规则。
允许内网和外网用户均可以访问WEB 服务器
#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP
允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group
dstarea area_eth0 service HTTP
注意事项
1)目的地址需要选择WEB 服务器的真实IP 地址,因为防火墙要先对数据包进行目
的地址转换处理,当内网用户利用http://192.168.100.143 访问SSN 区域的Web 服务器时,由于符合NAT 目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。然后才进行访问规则查询,此时只有设定为WEB 服务器的真实IP 地址才能达到内网用户访问SSN 区域WEB 服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
基本需求
案例:某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为
了保证数据及设备的安全,禁止其他对于业务主机和服务器的访问。
网络结构示意图如下所示。
图26 根据源端口进行访问控制示意图
业务主机可以使用特殊端口访问服务器,不能使用其他端口。业务主机区域和服务器区域禁止其他类型的访问。
配置要点
定义区域:area_eth1、area_eth2。
定义服务端口:FS_port
设置访问控制规则
WebUI 配置步骤
1)定义区域area_eth1 为禁止访问,并与属性eth1 绑定。
选择资源管理> 区域,点击“添加”,如下图所示。
2)定义区域area_eth2 为禁止访问,并与属性eth2 绑定。
具体操作与area_eth1 相似,请参考area_eth1 的定义过程完成。
3)定义服务端口
由于系统使用的通信端口是:4500,不是通常使用的协议端口,在设置规则前需要自定义端口。
选择资源管理> 服务,激活“自定义服务”页签,进入自定义服务页面。点击右
侧“添加”,如下图所示。
选择类型:TCP,设置名称:FS_port,服务器实际使用的端口:4500。完成后点击“确定”按钮。
4)定义访问控制规则
该规则为来自area_eth1 区域使用源端口为4500 的数据包允许通过防火墙访问
area_eth2 区域。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,参数设置如下图所示。
c)选择“服务”页签,参数设置如下图所示。
d)选择“选项”页签设置参数如下。
由于所使用的软件系统所建立的连接需要长时期保持,在“连接选项”中选择“长连接”,根据需要选择“日志记录”。
点击“确定”完成ACL 规则设置。
CLI 配置步骤
1)定义区域:area_eth1、area_eth2
#define area add name area_eth1 access off attribute eth1
#define area add name area_eth2 access off attribute eth2
2)定义服务端口:FS_port
#define service add name FS_port protocol 6 port 4500
3)设置访问控制规则
#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes
注意事项
由于环境所限此案例未能进行实际测试,仅供参考使用。
根据特定服务配置访问控制规则
基本需求
在进行访问控制规则的设置时,可以对用户所能访问的服务进行控制,系统预定义了
可控制的常见服务,可以实现二到七层的访问控制,用户也可以自定义服务进行访问控制。案例:某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2,三个
区域分别与接口Eth0、Eth1 和Eth2 绑定,area_eth0 连接外网,允许用户访问,area_eth1 和area_eth2 区域禁止用户访问。服务器位于area_eth1,IP 地址为192.168.100.140,内网
位于area_eth2,网络地址为192.168.101.0。企业的网络结构如下图所示。
要求:
允许内网用户访问服务器的TELNET、SSH、FTP 和Web_port 服务,其中Web_port
服务为自定义服务,端口号为8080;但不能访问Eth1 口的其他服务器和其他服务。
不允许外网用户访问Eth1 口服务器的TELNET 和SSH 服务。
图27 根据服务设置访问控制规则示意图
配置要点
定义区域和地址资源
定义服务资源
定义服务组资源
设置访问控制规则
WebUI 配置步骤
1)定义区域和地址资源
a)定义区域资源area_eth0、area_eth1 和area_eth2,分别与Eth0、Eth1 和Eth2 绑定。区域权限均为“允许”。
选择资源管理> 区域,点击“添加”添加区域资源,界面如下图。
①添加区域area_eth0。
②添加区域area_eth1。
③添加区域area_eth2。
服务热线:8008105119 183
设置完成后界面如下图所示。
b)定义IP 地址资源
选择资源管理> 地址,选择“主机”页签,点击“添加”,如下图所示。
c)定义子网资源
选择资源管理> 地址,选择“子网”页签,点击“添加”,如下图所示。
2)设置自定义服务
选择资源管理> 服务,激活“自定义服务”页签,配置自定义服务“Web_port”
如下图所示。
3)设置服务组资源
选择资源管理> 服务,激活“服务组”页签,配置服务组“内网访问服务”如下
图所示。
本例中服务组名称为“内网访问服务”,包括“Web_port、SSH、TELNET、FTP”。
4)设置访问控制规则。由于服务器所在区域area_eth1 禁止访问,所以只要定义允许访问的规则即可。
a)设置允许内网area_eth2 的网段为192.168.101.0/24 的用户访问area_eth1 的服务器(192.168.100.140)SSH、TELNET、FTP 以及8080 端口服务的访问控制规则
选择防火墙> 访问控制,点击“添加”按钮,设置访问控制规则。
①选择“源”页签,参数设置如下图所示。
②选择“目的”页签,参数设置如下图所示。
服务热线:8008105119 187
③选择“服务”页签,参数设置如下图所示。
服务热线:8008105119 188
设置完成的ACL 规则如下图所示。
b)设置仅允许外网区域(area_eth0)的用户访问服务器的8080 端口的服务访问控制规则。
选择防火墙> 访问控制,点击“添加”按钮,设置访问控制规则。
①选择“源”页签,参数设置如下图所示。
服务热线:8008105119 189
②选择“目的”页签,参数设置如下图。
服务热线:8008105119 190
③选择“服务”页签,参数设置如下图。
服务热线:8008105119 191
设置完成后的ACL 规则如下图所示。
CLI 配置步骤
1)定义区域资源
#define area add name area_eth0 access on attribute eth0
#define area add name area_eth1 access on attribute eth1
#define area add name area_eth2 access on attribute eth2
2)定义主机和子网地址资源
#define host add name 192.168.100.140 ipaddr 192.168.100.140
#define host subnet add name 内网ipaddr 192.168.101.0 mask 255.255.255.0
3)设置自定义服务,服务名为Web_port,端口号为8080。
#difine service add name Web_port protocol tcp port 8080
4)设置服务组资源,组名称为“内网访问服务”,包括Web_port、FTP、TELNET
和SSH 服务。
#difine group_service add name 内网访问服务member Web_port,FTP,TELNET,SSH
5)设置访问控制规则
a)区域“area_eth2”的子网对象“内网”(192.168.101.0/24)允许访问区域“area_eth1”的服务器的Web_port、FTP、TELNET 和SSH 服务(有自定义服务组“内网访问服务”绑定),服务器的IP 地址为192.168.100.140。
#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 内网dst
192.168.100.140 service 内网访问服务enable yes
服务热线:8008105119 192
b)设置仅允许外网用户访问服务器192.168.100.140 的8080 端口的服务访问控制规
则。
#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst
192.168.100.140 service Web_port enable yes
注意事项
如果只允许开放某些服务,其他服务均被禁止,可以设置目的区域的默认访问权限为
“禁止”,系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。
根据转换前目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth0 口(IP:202.45.56.3)与Internet 相连,如下图所示。
图28 根据转换前目的进行访问控制示意图
需求:为了保护企业网络的安全,网关Eth1 接口所属的区域area_eth1 设置为禁止访问,要求Internet 用户只可访问企业WEB 服务器的HTTP 服务,要求用WEB 服务器的MAP 地址202.45.56.5 作访问控制。
服务热线:8008105119 193
配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。
选择资源管理> 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机对象V-WebServer。
选择资源管理> 地址,激活“主机”页签,定义主机地址资源R-WebServer 和
V-WebServer。
定义R-WebServer 主机地址资源图。
服务热线:8008105119 194
定义V-WebServer 主机地址资源图。
3)定义地址转换规则。
选择防火墙> 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
服务热线:8008105119 195
b)选择“目的”页签,参数设置如下。
服务热线:8008105119 196
c)选择“服务”页签,参数设置如下。
设置完成后的目的NAT 规则如下图所示。
4)设置访问控制规则。
选择防火墙> 访问控制,并在右侧界面中点击“添加”定义访问控制规则。
服务热线:8008105119 197
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,设置根据转换前的目的地址进行访问控制。参数设置如下。
服务热线:8008105119 198
c)选择“服务”页签,参数设置如下。
服务热线:8008105119 199
设置完成后的ACL 规则如下图所示。
至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。
#define area add name area_eth1 access off attribute eth1
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。
定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.
定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.
3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst
R-WebServer enable yes
4)设置访问控制规则。
#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable
yes
注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需
要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。
2)对转换前的目的地址进行匹配时,只需在“转换前目的地址”中进行选择目的地
址,而无须在“目的地址”中再选择地址。
3)在配置过程中,请确保没有与该规则相冲突的地址转换策略和阻断策略。
根据转换后目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth2 口(IP:202.45.56.3)与Internet 相连,如下图所示。
需求:为了保护企业网络的安全,要求Internet 用户只可访问企业WEB服务器的HTTP 服务,要求用WEB 服务器的IP 地址192.168.83.56 做访问控制。
图29 根据转换后目的进行访问控制示意图
配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。
选择资源管理> 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。选择资源管理> 地址,激活“主机”页签,在右侧界面中点击“添加”定义主机
地址资源R-WebServer 和V-WebServer。
定义R-WebServer 主机地址资源。
定义V-WebServer 主机地址资源。
3)定义地址转换规则。
选择防火墙> 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选择“目的”页签,参数设置如下。
c)选择“服务”页签,参数设置如下。
设置完成后的目的NAT 规则如下图所示。
4)设置访问控制规则。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,设置根据NAT 转换后的目的地址(R_WebServer)进行访问控制。参数设置如下。
c)选择“服务”页签,参数设置如下。
设置完成后的ACL 规则如下图所示。
至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。
#define area add name area_eth1 access off attribute eth1
2)定义WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer。
定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56
定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5
3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst
R-WebServer enable yes
4)设置访问控制规则。
#firewall policy add src any dst R-WebServer service HTTP action accept enable yes
注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需
要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。
2)当TOS 设备处理经过地址转换的数据包时,匹配的是目的地址转换后的地址,故
一般不需要设置“转换前目的”中的地址。
3)在配置过程中请确保没有与该规则相冲突的地址转换策略和阻断策略。
基于认证用户的访问控制
用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制,
用户认证的方式主要包括本地认证(密码和证书)和第三方认证(Radius、Tacacs、SecurID、LDAP 以及域认证等等),通过将认证用户设置为用户组,访问控制规则的源和目的即可
以是用户组对象,从而实现基于本地密码认证、OTP 认证以及第三方认证用户的细粒度
的访问控制。
基本需求
Area_eth2 区域为研发部门内网,禁止外网和其余部门访问,只允许内网area_eth1 区
域的某些用户通过TOPSEC 认证客户端访问内网主机10.10.10.22 的TELNET 服务。
图30 基于认证用户的访问控制示意图
配置要点
设置区域属性
设置NAT 地址转换规则
设置认证服务器和用户组
开放相关接口的认证服务
设置基于认证用户的访问控制规则。
设置用户认证客户端
WebUI 配置步骤
1)设置区域属性,添加主机地址资源。
a)选择资源管理> 区域,定义内网区域area_eth2 的缺省属性为禁止访问。
外网区域area_eth1 为允许访问。
b)选择资源管理> 地址,激活“主机”页签,定义内网TELNET 服务器的真实IP 地址资源(10.10.10.22)。
定义虚拟IP 地址资源(192.168.83.223)。如下图所示。
2)选择防火墙> 地址转换,设置目的NAT 规则,使得用户能够访问内网TELNET 服务器。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选__
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
实验十一:标准访问控制列表配置
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
ISO27001系统访问控制程序
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
标准访问控制列表配置命令
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
标准ACL配置与调试
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
信息化系统运行维护内容
信息化系统运行维护内容 信息技术运行维护(简称:IT 运维)是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务。运维阶段包括对系统和服务的咨询评估、例行操作、响应支持和优化改善以及性能监视、事件和问题识别和分类,并报告系统和服务的运行情况。 一、运维服务类型主要包括以下三种类型: 1、基础服务 确保计算机信息系统安全稳定运营,必须提供的基础性的保障和维护工作。 2、性能优化服务 计算机信息系统在运营过程中,各项应用(硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等)、各项业务的性能、效能的优化、整合、评估等服务。 3、增值服务 保证计算机信息系统运营的高效能、高效益,最大限度的保护并延长已有投资,在原有基础上实施进一步的应用拓展业务。 二、运维主要服务工作方式主要包括响应服务、主动服务两类。 1、响应式服务
响应式服务是指,用户向服务提供者提出服务请求,由服务提供者对用户的请求做出响应,解决用户在使用、管理过程中遇到的问题,或者解决系统相关故障。 响应式服务采用首问负责制。第一首问为本单位信息中心。信息中心负责接受用户服务请求,并进行服务问题的初步判断。如果问题能够解决则直接给客户反馈,否则提交到首问服务外包商。对于明确的问题,信息中心将问题直接提交到相应的服务外包商。 首问外包服务商在信息中心的支持下,负责对问题进行排查,力争将问题精确定位到某具体环节。问题定位后将其转发给相应的服务外包商。如果问题范围较大,涉及到多个服务外包商时,由信息中心进行协调,在首问外包服务商统一指导下进行联合作业,直至问题解决完毕。 问题处理完成后,由责任服务外包商、首问服务外包商填写相应服务表单,并由首问外包服务商提交给信息中心,信息中心再向最终用户反馈。 服务外包商首先通过电话/电子邮件/远程接入等手段进行远程解决,如果能够解决问题,则由工程师负责填写服务单,季度汇总后提交信息中心签字备案。 远程方式解决无效时,服务外包商工程师进行现场工作。根据故障状况,工程师现场能解决问题的,及时解决用户的问题;如不能,则由信息中心协调其他相关服务外包商进行
计算机网络实验报告(7)访问控制列表ACL配置实验
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
标准访问控制列表配置
13.标准访问列表的实现 一.实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二.实训器材及环境 1.安装有packet tracer5.0模拟软件的计算机。 2.搭建实验环境如下: 三.实训理论基础 1.访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。 访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。 2.访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
3.ACL 的相关特性 每一个接口可以在进入(inbound )和离开(outbound )两个方向上分别应用一个ACL ,且每个方向上只能应用一个ACL 。 ACL 语句包括两个动作,一个是拒绝(deny )即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前,应用在接口进入方向的ACL 起作用。 在路由选择决定以后,应用在接口离开方向的ACL 起作用。 每个ACL 的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4.ACL 转发的过程 5.IP 地址与通配符掩码的作用规 32位的IP 地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP 地址的对应位必须匹配,通配符掩码为1的位所对应的IP 地址位不必匹配。 通配符掩码掩码的两种特殊形式: 一个是host 表示一种精确匹配,是通配符掩码掩码0.0.0.0的简写形式; 一个是any 表示全部不进行匹配,是通配符掩码掩码255.255.255.255的简写形式。 6.访问列表配置步骤 第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上。 7.访问列表注意事项 注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。如果必须要改变,只有先删除已存在的访问列表,然后创建一个新访问列表、然后将新访问列表用到相应的
访问控制列表实验
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
信息系统访问控制权限管控模型研究
信息系统访问控制权限管控模型研究 发表时间:2016-08-23T14:09:44.377Z 来源:《电力设备》2016年第11期作者:苏辉任增朋孟祥山 [导读] 江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作。 苏辉任增朋孟祥山 (江苏核电有限公司江苏连云港 222042) 摘要:江苏核电有限公司在信息安全管理体系建设过程中,推出了江苏核电独具特色的信息系统访问控制权限管理模型。文章详细介绍了该模型的产生背景、设计原则和总体情况,并对组成模型的3个不同体系维度分别加以论述。文章重点介绍了在信息系统访问控制权限管理模型的指导下,江苏核电具体开展的信息系统权限管理模式和开展的工作,并对实施效果进行了总结。 关键词:信息安全;权限管理;管控模型 产生背景 江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作,信息化程度越来越高,业务对信息系统的依赖程度越来越大,同时访问系统的用户账号和权限管理也变得越来越复杂。江苏核电需要在授予用户信息系统访问权限的同时,准确、及时的管控用户权限。但是公司在线的信息系统及设备权限管理的多样性,信息系统用户覆盖多个直属部门、合作伙伴的现实情况,共同导致系统访问控制管理工作复杂度激增。这不仅提高了系统访问控制管理的成本,同时带来了相应的安全问题,主要体现在如下两个方面: 系统缺少统一的、全寿期的权限管控规范,存在权限管控的短板,从而在实质上降低了信息系统的安全性。 系统上线后权限管控的接口不清晰,权限控制不准确,不及时。业务用户对于权限了解的信息不对称。 为了规范系统访问控制管理工作。需要构建一个统一的信息系统访问控制权限管控模型,才能系统深入的解决上述两个方面的现实问题。因此,江苏核电开展了专题研究,并推出了江苏核电的信息系统权限管控模型。 设计原则 江苏核电信息系统权限管理的模型涉及系统和承载信息的安全,因此在设计权限管控模型的时候应坚持如下几个基本原则,以保证模型的先进性和实用性。 标准性原则 尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,充分参考行业内的最佳实践。标准性原则从根本上保证了信息系统权限管控模型的的全面性、合规性和开放性。 整体性原则 从宏观的、整体的角度出发,系统地设计江苏核电信息系统权限管理模型,覆盖系统的整个生命周期和管理维度的各个方面。从整体上管控信息系统的权限,保证系统的安全和信息的安全。 实用性原则 建立信息系统权限管理模型,必须针对江苏核电信息系统的特点,避免简单照抄照搬其它的信息安全权限管控方案。同时,信息系统权限管理模型中的所有内容,都被用来指导江苏核电信息系统权限管理的实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。 先进性原则 信息系统权限管理模型中涉及的思路和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,江苏核电的信息系统建设和权限管理的需要,为系统和信息的安全提供保障。 2、权限管控模型介绍 江苏核电信息系统权限管理模型包括信息系统生命周期、访问控制要素、业务需求三个维度,下面将从这三个维度来阐释权限管理的思路和措施。 图1 信息系统权限管控模型 信息系统生命周期 信息系统生命周期维度是把信息系统的全生命周期分为初始阶段、需求阶段、设计阶段、开发阶段、测试阶段、上线阶段、运维阶段、废弃阶段。针对这八个阶段制定具体的访问控制管理的管控流程、规则。 初始阶段:依据信息系统的可用性要求、业务重要性对其进行定级。 需求阶段:结合业务需求,梳理、汇总访问控制管理的需求。 设计阶段:依据需求说明书对访问控制管理进行设计,确保系统满足功能和安全需求。重点要关注访问控制管理流程梳理、角色权限
ACL配置规范
ACL配置规范: ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:XXX_YY_Z 各字段含义如下: ?XXX:所属部门名称单字的首拼音大写,如委办局则为WBJ; ?YY:区分不同的部门,如果为VLAN_10使用,则XX字段为10。 ?Z:在默认情况下是数字0,如果遇到XXX_XX都一致时,X就从1往上加。 ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:XXX_YYYYY ?XXX:所属部门名称首字的首拼音大写 ?YYYYY:所实现的功能,最多20个字符 举例说明:委办局的不能访问管理平台的ACL,则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下: ?启用ACL时,必须按照规划的ACL,编写Number、Name和description;
标准IP访问控制列表配置
第十三章标准IP访问控制列表配置 实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 实验背景 你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。 技术原理 ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性; IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699; 标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤; 扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤; IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用; 实验步骤 新建Packet Tracer拓扑图 (1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP地址。 (3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1上编号的IP标准访问控制 (5)将标准IP访问控制应用到接口上。 (6)验证主机之间的互通性。
实验七 标准IP访问控制列表配置
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
IT信息系统监控管理程序
IT信息系统监控管理程序 1 目的 为对IT信息科技部实施有效的系统监控管理,防止未经授权的信息处理活动。 2 范围 本程序适用于IT信息科技部对所有信息系统的管理,不包括个人电脑。 3 相关文件 4 职责 4.1 网络管理员负责对核心系统的监控与管理。 4.2 运行监控机房值班人员负责监控系统的日常管理。 5 程序 5.1 监控策略 5.1.1 所有服务、防火墙、IDS和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开,如果有警报和警示功能必须打开。 5.1.2 应记录用户活动、异常和信息安全事态的审计日志,记录应永久保存并每半年备份一次,确保记录可调查和访问的控制监视,任何人不得以任何理由删除保存期内的日志。 5.1.3 审核日志必须由网络管理员定期检查,特权使用、非授权访问的试图、系更多免费资料下载请进:https://www.360docs.net/doc/a114352081.html,好好学习社区
统故障和异常等内容应该得到评审,以查找违背信息安全的征兆和事实。 5.1.4 防火墙系统、IDS系统、漏洞扫描必须处于开启状态,在不经总经理授权,任何人不得将其中任何设备停止、更换或更新,由网络管理员定期评审,对所有可疑的非法访问行为和企图需及时向管理者代表汇报并采取相应的措施。 5.2 日志的配置最低要求 5.2.1 操作系统、应用系统、数据库、网络设备的日志应形成日志保存和检查要求,明确其保存周期。 5.2.2 所有日志应在运行系统或设备内至少保存一年的有效记录,备份的日志信息应保存至少三年。 5.2.3 所有日志应该根据重要信息备份的原则进行定期备份。 5.3 管理过程 5.3.1 网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期,其最低要求不得低于5.2的要求。如果因为日志系统本身原因不能满足5.2的最低要求,需要降低标准的,必须得到管理者代表的批准和备案。 5.3.2 网络管理员配置日志系统,并定期检查日志内容,评审安全情况。评审的内容包括:授权访问、特权操作、非授权的访问试图、系统故障与异常等情况,评审结束应形成《日志评审记录》。 6 记录 《日志评审记录》 更多免费资料下载请进:https://www.360docs.net/doc/a114352081.html,好好学习社区
企业信息安全管理制度(试行)
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配臵防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责 —1 —
任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。 第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; —2 —
六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、 —3 —