1、第4章 路由器安全管理4.1 Telnet會話管理4.1.1 呼出Telnet會話管理 圖4-1 遠程登錄使用主機名直接遠程登錄 當登陸到目標主機后，可使用以下命令斷開當前Telnet回話：l exit，回到本地設備；l 不退出當前回話連接而暫時回到原設備：Ctrl+Shift+6+x；顯示呼出Telnet會話 斷開呼出Telnet會話 此斷開回話是從本地斷開到目標本機的此斷開回話是從本地斷開到目標本機的telnet回話。回話。 disconnect命令同時發起多個Telnet會話 返回某次Telnet會話過程 斷開指定Telnet連接 4.1 Telnet會話管理4.1.2 呼入Telnet

2、會話管理 采用相對線號斷開遠程Telnet連接 用絕對線號斷開遠程Telnet連接 4.2 訪問控制列表ACL 4.2.1 訪問控制列表概述 1訪問控制列表訪問控制列表是控制流入、流出路由器數據包的一種方法。訪問控制列表是控制流入、流出路由器數據包的一種方法。它通過在數據流入或流出路由器時進行檢查、過濾達到流它通過在數據流入或流出路由器時進行檢查、過濾達到流量管理的目的，而且在很大程度上起到保護網絡設備和服量管理的目的，而且在很大程度上起到保護網絡設備和服務器的關鍵作用。務器的關鍵作用。是一個有序的語句集合，它通過匹配報文信息與訪問列表是一個有序的語句集合，它通過匹配報文信息與訪問列表參數來允

3、許報文或拒接報文通過某個接口。參數來允許報文或拒接報文通過某個接口。2配置訪問控制列表步驟：Step1：定義允許或禁止報文的描述語句（訪問列表）；：定義允許或禁止報文的描述語句（訪問列表）；Step2：將訪問列表應用到路由器的具體接口（應用訪問組）。：將訪問列表應用到路由器的具體接口（應用訪問組）。表4-1 通過編號指定的訪問列表所支持的協議 協議協議范圍范圍標準IP協議199擴展IP協議100199Ethernet類型碼200299DECnet300399XNS400499擴展XNS500599AppleTalk600699Ethernet地址700799IPX800899擴展IPX9009

4、99IPX SAP10001099MAC11001199IPX匯總地址12001299標準IP協議：13001999（IOS v12.0 and later）擴展IP協議：20002699（IOS v12.0 and later）IP訪問控制列表：標準IP訪問控制列表：僅依據IP數據包的源地址決定是否過濾數據包；擴展IP訪問控制列表：不但可以檢查源地址、目標地址，而且可以檢查源和目標的端口號等字段。4.2 訪問控制ACL 4.2.2 標準ACL配置方法 1標準IP訪問控制列表語句ACCESS-LIST access-list-number DENY|PERMIT|REMARK SOURCE s

5、ource-wildcard|ANY access-list-number 列表號碼，范圍199之間DENY|PERMIT 指出該訪問控制列表是允許還是拒絕數據包SOURCE source-wildcard|ANY 主機或網絡的源地址，或者是任何主機注意：要匹配某個主機則需要輸入該主機的IP地址；若要匹配某個網絡，則需要輸入網絡號，后面跟上通配符掩碼。通配符掩碼為“1”，表示IP地址的對應位可以是1也可以是0，若通配符掩碼為“0”，則表示IP地址對應位必須被精確匹配。例如： 55 表示前三位域必須是210.31.10，最后一個位域什么值都可以（1255）2I

6、P訪問控制組語句（首先進入路由器的某個接口） IP ACCESS-GROUP access-list-number IN|OUT access-list-number 列表號碼，范圍199之間IN|OUT 表示對流入海是流出路由器的數據包進行檢查4.2 訪問控制ACL 標準IP訪問控制列表配置實例1 標準IP訪問控制列表配置Ra#conf tRa(config)#access-list 1 permit host 0Ra(config)#access-list 1 deny anyRa(config)#interface ethernet0Ra(config-if)#ip

7、 access-group 1 in標準IP訪問控制列表配置實例2 Ra#conf tRa(config)#access-list 1 permit host 55Ra(config)#access-list 1 deny anyRa(config)#interface serial 0Ra(config-if)#ip access-group 1 out4.2 訪問控制ACL 4.2.3 擴展ACL配置方法 1擴展IP訪問控制列表語句ACCESS-LIST access-list-number DENY|PERMIT|REMARK protocol so

8、urce source-wildcard destination destination-wildcard option access-list-number 列表號碼，范圍100199之間Protocol 指明要匹配使用的協議2IP訪問控制組語句 IP ACCESS-GROUP access-list-number IN|OUT 擴展IP訪問控制列表配置實例Rb#conf tRb(config)#access-list 101 permit tcp 55 host 1 eq telent(23)Rb(config)#access

9、-list 101 permit tcp 55 host 1 eq www(80)Rb(config)# access-list 101 permit icmp 55 anyRb(config)# access-list 101 deny ip any anyRb(config)#interface serial 0Rb(config-if)#ip access-group 101 out需要注意的問題在訪問控制列表中除了可以用eq關鍵字指出單一的端口號外，也可以規定端口號范圍。 例如：gt 1

10、024表示端口號大于1024；用lt 1024表示端口號小于1024；range 100 200則表示端口號介于100和200之間。在每個訪問控制列表的底端都可以有一個默認的DENY ANY。所以，建議在每個訪問控制列表的最后一條語句明確地指出對其余通信量的出來方式。4.2 訪問控制ACL 4.2.4 命名訪問控制列表 1標準命名訪問控制列表 ip access-list standard aclname ip access-group aclname in|out2擴展命名訪問控制列表ip access-list extended aclname ip access-group aclname in|out3命名訪問控制列表的修改4.2.5ACL日志 ACL語句中的關鍵字“log” 及其作用 4.3 路由器的安全管理 4.3.1 本地登錄認證圖4-23 配置本地登錄認證 4.3 路由器的安全管理 4.3.1 本地登錄認證圖4-24 本地登錄認證 4.3.2 訪問類語句 圖4-25 限制對路由器的管理性訪問 4.3.2 訪問類語句 圖4-26 進行VTY訪問控制 4.3.3 HTTP/HTTPS 1HTTP管理方式 圖4-29 HTTP訪問本地認證配置 圖4-31 限制HTT