教工区
背景知识：交换机的配置模式
❖ 对交换机进行配置的命令有四层模式：用户模式、特权模式、全局模式 和端口模式。每一层模式下包含的命令不同，所能实现的配置功能也不 同。
用户模式：和交换机连接上之后，就进入了命令配置的最外层模式，这就是 用户模式。在该模式下仅仅可以查看交换机的软、硬件版本信息，并进行简 单的测试。该模式下的命令提示符是switch>。
特权模式：由用户模式进入更内一层模式，即特权模式。特权模式下可以对 交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调 试等。特权模式下的命令提示符是switch#。
全局配置模式：由特权模式进入更内一层模式，即全局配置模式。该模式下 可以配置交换机的全局性质参数，如主机名，登录信息等。全局模式下的命 令提示符是switch(config)#。
128 64 32 16 8 4 2 1
00 0
0
0 00 0
001
1
1 11 1
0 00
0
1 11 1
111
1
1 10 0
111
1
1 11 1
0表示检查相应的地址比特 1表示不检查相应的地址比特
通配符掩码与子网掩码工作原理是 不同的。在IP子网掩码中，数字1和 0用来决定是网络，还是主机的IP地 址。如表示172.16.0.0这个网段，使 用通配符掩码应为0.0.255.255。
扩展访问列表
根据数据包中源IP、目的IP、源端口、目的 端口、协议进行规则定义
标准访问列表规则的定义（1）
标准的访问列表
只能根据源IP地址，进行数据包的过滤。 例：在校园网中，学生网段不可以访问教研网 段，但校领导网段可以访问教研网段
学生网段 校领导网段
教研网段
IP标准访问列表（2）
eg.HDLC
in和out参数可以控制接口中不同方向的数据包，如果 不配置该参数，缺省为out。
IP标准访问列表配置（3）
只允许172.16.3.0网络中的计算机访问互联网络
172.16.3.0
172.17.0.0
172.16.4.0
S0
F0
F1
access-list 1 permit 172.16.3.0 0.0.0.255
IP
TCP/UDP
数据
源地址
1-99 号列表
1、定义标准ACL
Router(config)# access-list <1-99> { permit |deny } 源地址 [反掩码]
2、应用ACL到接口
Router(config-if)#ip access-group <1-99>|{name} { in | out }
在通配符掩码用255.255.255.255表 示所有IP地址，全为1说明所有32位 都不检查相应的位，这是可以用any 来取代。
0.0.0.0的通配符掩码则表示所有32 位都要进行匹配，这样只表示一个 IP地址，可以用host表示。
access-list 1 deny 0.0.0.0 255.255.255.255
interface serial 0 ip access-group 1 out
配置中的反掩码（通配符）技术
通配符掩码是一个32比特位。在通配符掩码位中，0表示“检查相应的位” ，1表示“不检查相应的位”。通配符掩码与IP地址是成对出现 .
第二步：将规则应用在路由器（或交换机）的接口上
访问控制列表的分类：
1、标准访问控制列表 2、扩展访问控制列表 3、命名的访问控制列表 4、基于时间访问控制列表 5、专家级访问控制列表
访问控制列表规则元素
源IP、目的IP、源端口、目的端口、协议、服务
ACL分类
标准访问列表
根据数据包源IP地址进行规则定义
❖ PGP主要功能：
加密/解密文件 数字签名及验证 加密/签名邮件 创建被加密的虚拟磁盘 安全删除文件
❖ PGP主界面
❖ 实验步骤:
1. 安装 2. 主界面介绍 3. 加密/解密本地文件 4. 加密/解密同伴文件 5. 数字签名及验证 6. 加密/签名邮件 7. 创建被加密的虚拟磁盘
❖ 思考题：
了解对称加密算法在文件保护中的应用； 了解利用JAVA开发加密软件的方法和JAVA中关
于加密的类。
❖ 可利用的资源
javax.crypto javax.crypto.spec
实验二 PGP软件的使用
❖ 实验目的
理解公钥加密体制的加密、解密过程以及密钥使 用方式；了解密钥的管理方式和信任关系；了解 数字签名的基本概念和使用方式，包括如何对文 件进行签名、验证；掌握PGP的体系结构和应用 原理。
一定的规则，进行数据包的过滤。
为什么要使用访问列表
隔离外网病毒
RG-S3512G /RG-S4009
RG-NBR1000 Internet
RG-S2126
RG-S2126 隔离病毒源
1
2
财务部
VLAN10
2
2
1
1
不同部门所属VLAN不同
1
2
技术部
VLAN20
访问列表的组成
定义访问列表的步骤
第一步：定义规则（哪些数据允许通过，哪些数据不允许 通过）
端口模式：由全局配置模式进入更内一层模式，即端口模式。该模式下可以 对交换机的端口进行参数配置，其命令提示符是switch(config-if)#。
❖ 在以上任何一种模式下都可以通过输入“？”来显示当前模式下的全部 可执行的命令及其解释。
背景知识：什么是访问列表
FTP ISP
√
Access-list：访问控制列表，简称ACL ACL就是对经过网络设备的数据包，根据
附录 信息安全实验
主要内容
❖ 三重DES加密软件的开发 ❖ PGP软件的使用 ❖ 配置访问控制列表 ❖ 网络侦听及协议分析 ❖ VRRP协议及其配置 ❖ Window XP防火墙的配置 ❖ 入侵检测系统Snort的使用 ❖ 信息系统安全保护等级定级
实验一 三重DES加密软件的开发
❖ 实验目的
通过开发三重DES加密软件，进一步理解对称加 密体制的基本原理；
1．如何用PGP加密文档里面的一段文字 2．PGP采用的何种加密体制？
实验三 配置访问控制列表
❖ 实验目的
掌握在交换机上配置访问控制列表的方法。
❖ 实验环境
WWW/FTP 服务器
192.168.10.0
192.168.30.0 F0/15
F0/5 192.168.20.0
F0/10学生区来自S3550-24