④
out
in
③
ACL策略必须绑定在接口上并指定方向 路由器接口的一个方向上只能有一个ACL 一个ACL下的多条策略有先后顺序性 最靠近受控对象和最小特权原则
10/24
路由器ACL命令行格式（标准ACL）
标准ACL语法格式： Router(config)#access-list [access-list-number] [deny|permit] [source address] [source-wildcard mask]
[protocol|protocol key word]：协议 [source address source-wildcard mask][source port]：源网段[反掩码][源端口] [destination address destination-wildcard mask] [destination port]：目的网段[反掩码][目的端口]
access-list 101 permit ip 172.16.10.0 0.0.0.255 202.101.208.0 0.0.0.255 允许来自IP地址段172.16.10.1~254的设备通过接口访问IP地址段 202.101.208.1~254
12/24
路由器ACL命令行格式（扩展ACL）
应用层 传输层
端口
4012 192.168.1.212 0025.1144.6284
传输层向应用程序提 供的对话管道
网络层
网络接口层
TCP/IP协议 栈结构
IP地址
MAC地址
网卡芯片 硬件地址
6/24
数据封装过程
Hello！
Hello！ 4012 192.168.1.212 0025.1144.6284 4012 8000 Hello！ 8000 192.168.1.212 183.232.93.29 4012 8000 Hello！ 183.232.93.29
ip access-group 101 out 17/24
课程导引
路由器包过滤策略设计
包过滤防火墙概念 路由器包过滤命令行规则 包过滤策略设计 ACL模拟实验
18/24
ACL仿真实验 仿真软件使用Cisco网络设备模拟
19/24
模拟实验拓扑图
202.101.208.106/24
[protocol|protocol key word]：协议 [source address source-wildcard mask][source port]：源网段[反掩码][源端口] [destination address destination-wildcard mask] [destination port]：目的网段[反掩码][目的端口]
教31#
包过滤策略设计（主机限制访问）
Internet
10.2.1.1/24 10.2.1.2/24 202.101.208.1/24
202.101.208.106 校园IDC 网管 MOOC
出口路由器 NAT
FAN-server 202.101.208.30
172.16.20.254/24 教14#
Setp1： 数据来源和目的均明确，使用扩展ACL Setp2： 根据应用规则应该在什么地方设置ACL策略？ Setp3： 选择三层交换机通往IDC机房的out方向上 Setp4: 配置命令行
172.16.20.*/24 教8#财务处
access-list 101 permit ip 172.16.20.0 0.0.0.255 host 禁止除财务处内部 PC 外的任何 202.101.208.30 主机访问财务数据服务器
14/24
包过滤策略设计（智慧课堂）
Internet
2
1
10.2.1.1/24 202.101.208.1/24
校园IDC
网管
MOOC
出口路由器 NAT
10.2.1.2/24 10.1.1.1/24
202.101.208.106
FAN-server 202.101.208.30
11/24
路由器ACL命令行格式（扩展ACL）
扩展ACL语法格式： Router(config)# access-list[list number][permit|deny] [protocol|protocol key word] [source address sourcewildcard mask][source port] [destination address destination-wildcard mask] [destination port]
22/24
学习小结 包过滤的实现方法 路由器ACL应用规则 ACL命令行策略设计
19/20 23/24
20/20
4/24
网络数据包的封装 Wireshark捕获的QQ对话数据包
IP 192.168.1.212 MAC 0025-1144-6284 Port 4012 IP 183.232.93.29 MAC xxxx-xxxx-xxxx Port 8000
路由器硬 件地址
5/24
数据包各层的地址 TCP/IP各层地址情况
access-list 101 deny tcp any any range 22221 22224 拒绝所有TCP报文通过接口访问外部任意IP地址的22221~22224端口 （大智慧股票客户端软件端口）
13/24
课程导引
路由器包过滤策略设计
包过滤防火墙概念 路由器包过滤命令行规则 包过滤策略设计 ACL模拟实验
教14 逸夫楼
0.0.0.255 15/24
用户访问外网请求 ip access-group 10 out
包过滤策略设计（端口过滤）
Internet
2
1
10.2.1.1/24 202.101.208.1/24
校园IDC
网管
MOOC
出口路由器 NAT
10.2.1.2/24
202.101.208.106
access-list-number： ACL序号，1~99 deny/permit ：拒绝或允许 source address [source-wildcard mask]：源网段[反 掩码] 1. access-list 10 permit 172.16.10.0 0.0.0.255 允许来自IP地址段172.16.10.1~254的设备通过接口 2. access-list 10 permit host 192.168.1.100 允许一台主机192.168.1.100通过接口 3. access-list 10 permit any //允许所有主机通过
FAN-server 202.101.208.30
Setp1： 对确定目的地址进行限制，使用扩展ACL
教14#
Setp2： 根据应用规则应该在什么地方设置ACL策略？ Setp3： 选择三层交换机通往路由器的out方向上
教8#
Setp4: 配置命令行
access-list 101 deny tcp any any range 22221 22224 校园网所有用户不能使 上班不能炒股 用大智慧软件访问外网 ip access-group 101 out 16/24
10.1.1.2/24
Setp1： 只对来源进行限制，可以使用标准ACL
172.16.10.254/24
AP 智慧课堂
Setp2： 根据应用规则应该在什么地方设置ACL策略？ Setp3： 选择三层交换机通往路由器的out方向上 Setp4: 配置命令行
172.16.10.2/24 access-list 10 deny 172.16.10.0 拒绝所有智慧课堂内的终端
9/24
ACL规则在接口的应用规则 路由器的每个接口对应一个IP网段，路由器的接 口IP地址就是网段内所有主机的默认网关。
192.168.1.1 255.255.255.0
①
in
out
ห้องสมุดไป่ตู้
②
Internet
IP 192.168.1.100 掩码 255.255.255.0 网关 192.168.1.1
防火墙原理与技术 路由器包过滤策略设计
软件学院
王长征 2017/3/10
问题引入
财务处数据内部访问
禁止除财务处内部PC外的任 何主机访问财务数据服务器
上课不能访问外网
拒绝所有智慧课堂内的终端 用户访问外网请求
上班不能炒股
校园网终端不能使用股票 终端软件访问外网
2/24
课程导引
路由器包过滤策略设计
6406.8013.5d4d 0025.1144.6284
目的MAC地址 源MAC地址
IP数据包 校验码
7/24
课程导引
路由器包过滤策略设计
包过滤防火墙概念 路由器包过滤命令行规则 包过滤策略设计 ACL模拟实验
8/24
路由器包过滤方法 路由器使用访问控制列表（Access Control List ，ACL）实现对数据包的过滤，包括两种类型： 标准ACL：序号在1~99之间，只能对数据来源 设置允许或拒绝的操作； 扩展ACL：序号在100~199之间，可以对数据来 源和数据目的地同时设置允许或拒绝的操作；
包过滤防火墙概念 路由器包过滤命令行规则 包过滤策略设计 ACL模拟实验
3/24
1.包过滤防火墙概念 包过滤防火墙（ Firewall ）是指一种协助保障 网络信息安全的设施，按照特定的规则，允许或 是限制指定特征的数据包通过。
Internet
防火墙
Intranet （内部网）