linux网络访问控制

应用访问控制列表ACL实现网络单向访问

在企业网络中经常遇到这样的问题：在网络一个重要的部门的主机或服务器不允许其他部门访问，而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机可以访问另一部分网络主机，而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现，deny语句可以实现A、B主机间访问数据流的彻底阻断，但是无法实现单向访问。因为如果deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（因为B主机到A主机的访问数据虽然能到达A主机，但是A主机的回复数据流被ACL访问控制列表规则阻断了）。 那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时允许A主机的响应数据流通过（要在permit语句中使用established参数），但是不允许由A主机发起的到B主机的访问通过，这样就可以实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令如下： Router(config)#access-list access-list-number

应用访问控制列表ACL实现网络单向访问

在企业网络中经常遇到这样的问题：在网络一个重要的部门的主机或服务器不允许其他部门访问，而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机可以访问另一部分网络主机，而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现，deny语句可以实现A、B主机间访问数据流的彻底阻断，但是无法实现单向访问。因为如果deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（因为B主机到A主机的访问数据虽然能到达A主机，但是A主机的回复数据流被ACL访问控制列表规则阻断了）。 那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时允许A主机的响应数据流通过（要在permit语句中使用established参数），但是不允许由A主机发起的到B主机的访问通过，这样就可以实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令如下： Router(config)#access-list access-list-number

信息科技部

网络访问控制程序

A版

2011年6月1日 发布 2011年6月1日 实施

目录

1 目的....................................................................................................................................... 3 2 范围....................................................................................................................................... 3 3 相关文件 ............................................................................................................................... 3 4 职责...................................................

Apache SSL 配置

文档内所有命令依据系统环境为：

JAVA: jdk1.6.0_30 System: CentOS release 5.7 Apache:httpd-2.2.3 Openssl:openssl-0.9.8e

1. 安装Apache与 OpenSSL： 略。其中Apache需使用带有MOD_SSL模块的版本 2. KEY生成： 进入/usr/local/httpd/conf/sign目录下执行按顺序执行以下命令： 1>openssl genrsa -des3 1024 > /usr/local/httpd/conf/server.key←建立服务器密钥 Generating RSA private key, 1024 bit long modulus ................++++++ ...........................................................................++++++ e is 65537 (0x10001) Enter pass phrase: ←在这里输入口令 Verifying - Enter pass phras

实验

5

操作系统环境

5.2 访问Linux系统

(实验估计时间：90分钟)

? ? ? ? ?

? 背景知识 ? 实验目的

? 工具/准备工作 ? 实验内容与步骤 ? 可选练习

背景知识

1. 登录Linux系统和使用GNOME 2. Linux系统的Shell

3. Linux系统的文件、目录和权限 4. Linux文件系统

Linux是一个与DOS或Windows完全不同的操作环境，具有它自己独特的风格。 1. 登录Linux和使用GNOME

在本实验中，我们首先回顾Linux登录ID和口令的要求，使用标准Linux图形用户界面GNOME练习登录Linux系统，并学习修改登录口令。

接着，将学习GNOME的使用。GNOME是优秀的Linux桌面平台，也是目前Linux各版本中使用的对国际化支持最好的桌面平台。使用GNOME需要熟悉面板，练习使用鼠标和键盘管理视窗；还需要练习工作空间的切换和使用工作空间菜单。

然后通过Linux系统的Shell、Linux文件、目录和权限等诸方面来掌握Linux系统管理的有关知识。

最后，退出 (或者注

实验

5

操作系统环境

5.2 访问Linux系统

(实验估计时间：90分钟)

? ? ? ? ?

? 背景知识 ? 实验目的

? 工具/准备工作 ? 实验内容与步骤 ? 可选练习

背景知识

1. 登录Linux系统和使用GNOME 2. Linux系统的Shell

3. Linux系统的文件、目录和权限 4. Linux文件系统

Linux是一个与DOS或Windows完全不同的操作环境，具有它自己独特的风格。 1. 登录Linux和使用GNOME

在本实验中，我们首先回顾Linux登录ID和口令的要求，使用标准Linux图形用户界面GNOME练习登录Linux系统，并学习修改登录口令。

接着，将学习GNOME的使用。GNOME是优秀的Linux桌面平台，也是目前Linux各版本中使用的对国际化支持最好的桌面平台。使用GNOME需要熟悉面板，练习使用鼠标和键盘管理视窗；还需要练习工作空间的切换和使用工作空间菜单。

然后通过Linux系统的Shell、Linux文件、目录和权限等诸方面来掌握Linux系统管理的有关知识。

最后，退出 (或者注

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。

逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。

一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。

有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。

强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。

在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。

ID卡可认为是一种标识签发形式的安全因素。

身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、

Windows系统远程访问Linux服务器

图形化界面及终端

（附：Linux远程windows桌面方法）

随着互联网的高速发展以及Linux企业应用的成熟，Linux被广泛应用于服务器领域，如何实现Linux的远程管理成为网络管理员的首要任务。我们经常见到的几种最为常用的windows下远程管理L inux服务器的方法，基本上都是利用SecureCRT,F-Secure SSH 抑或是PUTTY等客户端工具通过ssh服务来实现Windows下管理Linux服务器的，这些客户端工具几乎不需要什么配置，使用简单，但是它们只能通过命令行的方式进行操作，且都无法启动窗口服务的程序或进程，也无法达到远程桌面控制及启动服务器终端。本文主要介绍使用xmanager工具实现Window系统访问Linux系统图形化界面及终端。（VNC的方式也可以实现，但需要安装VNC 远程服务，且远程画质及在远程操作流畅上都不及xmanager）

步骤一：下载并安装xmanager 目前Xmanager 已经跟新到（Xmanager 4.0 Build 0136）很多软件下载网站都有。本文也是基于

Xmanager 4.0进行编写。下载后安装应用程序如下图：

其安装方式为

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。

逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。

一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。

有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。

强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。

在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。

ID卡可认为是一种标识签发形式的安全因素。

身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、

ACL的应用

一、 概述

属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。 现在可以应用在：

1、 data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发

等操作（对象:数据包、数据帧）

2、 control plan 对路由条目的匹配，对路由条目执行策略（路由条目）

二、 理论以及命令

全局模式下：access-list <1-99> IP标准访问控制列表 <100-199>IP扩展访问控制列表

<200-299>协议类型代码访问控制列表 没有明确标准的应用的流量 <300-399>DECnet 访问控制列表

<700-799>48bit MAC地址访问控制列表

<1100-1199>扩展的48bit MAC地址访问控制列表 <1300-1999>IP标准访问控制列表 <2000-2699>IP扩展访问控制列表

这些包含了常见的IP的二层协议和三层协议

1、 标准

只能匹配协议中的一个地址（源地址） 命令

access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0） 掩码：/nn&x.x.x.x log/

例子 access-list 1 permit 1.1.1.1

访问控制列表必须在某种技术环节下调用，否则不存在