安全（Security)

一些常见的***：

应用层***：利用软件漏洞***。

autorooters:利用rootkit扫描、探测目标主机的数据，然后监视整个系统。

后门程序：在目标主机装入一程序，通过远程进入主机并控制。

拒绝服务DOS和分布式拒绝服务（DDOS）***：发送大量数据，让主机停止服务。有TCP-SYN泛洪***、死亡PING***、族群式泛洪***（TFN）和族群式2000泛洪***（TFN2000）。

IP欺骗：通过IP伪装成一台可信的主机。

中间人***：拦截数据，更改数据。

网络侦察：通过扫描、探测软件找到网络漏洞。

包嗅探、口令***、强暴***、端口重定向***。

访问控制列表：是一系列对数据包进行分类的条件，调节网络流量，控制网络包的走向，增强网络安全的一系列条件。

访问列表的遵循规则：

1、按顺序比较访问列表的第一行，

2、比较访问列表的各行，直到匹配的一行，后面的不在进行比较。

3、在所有行不匹配的时候，后面隐含量了一个拒绝的语句，如果访问控制列没有匹配，将丢弃所有数据。

访问列表类型：标准访问列表和扩展访问列表，还有命名式的访问列表。命名列表可以是标准的也可以是扩展的。

入口访问列表：当访问列表被应用到从接口输入的包时，那些包在被路由到输出接口之前要经过访问列表的处理，路由之前就被丢弃。

出口访问列表：当访问列表被应用到从接口输出的包时，那些包首先被路由到输出接口中，然后在进入该接口的输出队列之前经过访问列表的处理。

访问列表配置指南：

1、每个接口、每个协议或每个方向只可以分派一个访问列表。

2、将特殊的测试放在访问列表的最前面，

3、添加新的访问列表条目时，都将放在最末尾。

4、不能删除访问列表的某一行，除命名访问列表。

5、如果访问列表末尾没有允许所有的命令，测试条件不符合将拒绝所有的数据据通过。

6、将IP标准访问列表放在靠近目的地址的位置。

7、将扩展IP访问列表放在靠近源地址的位置。

标准的IP访问列表通过使用IP包中的源IP地址过虑网络中的流量。可以使用访问列表号1~~99或1300~~1999（扩展范围）创建标准的访问列表。

router(config)#access-list_1_deny_host_192.168.1.1-----拒绝源主机192.168.1.1流量通过。

router(config)#access-list_1_permit_192.168.1.0_255.255.255.0---------允许源为192.168.1.0网络的所有主机流量通行。

router(config)#access-list_1_permit_192.168.1.0_0.0.0.255---------------允许源为192.168.1.0网络的所有主机流量通行。

通配符掩码：是用来标识一个段的网络，第一个块的必须从0或块的大小倍数开始。

router(config-if)#ip_access-group_1_out----------把标准访问列表1应用的接口的出方向。

router(config-if)#ip_access-group_1_in----------把标准访问列表1应用的接口的入方向。

router(config_line)#access-class_1_in----------把标准访问列表1应用的VTY线路的入方向，

扩展访问列表：

扩展访问列表可以允许指定源地址和目地地址，以及标识上层的协议或应用程序的协议和端口号。

router(config)#access-list_110_deny_tcp_any_host_192.168.1.1_eq_23_log

拒绝目标地址192.168.1.1的telnet所有流量，并发送到日志信息中。

命名访问列表可以是标准的也可以是扩展的访问列表

router(config)#ip_access-list_"extended|standard"_"名称"----------创建命名访问列表

router(config-std-nacl)#permit_host_192.168.1.1-------------命名列表允许源主机192.168.1.1流量通过。

router(config-if)#ip_access-group_"名称"_out-----------把命名列表应用的接口的出方向

交换机端口访问控制列表（ACL）：只能把它应用在接口的入口列表上，并且只能使用命名的访问列表

switch(config)#mac_access-list_extended_"名称"-------创建扩展命名的MAC访问列表

switch(config-ext-macl)#deny_host_any_host_xxxx.xxxx.xxxx-------------命名MAC访问列表拒绝目标xxxx.xxxx.xxxx的所有流量。

switch(config-if)max_access-group_"名称"_in-----------把MAC命名列表应用到接口的入方向

基于时间的访问控制列表：

router(config)#time-range_"名字"--------------创建一个时间规则

router(config-time-range)#periodic------------定义一个周期时间

router(config-time-range)#absolute------------定义一个绝对时间

router(config)#ip_access-list_extended_"名字"

router(config-ext-nacl)#deny_tcp_any_any_eq_www_time-range_"名字"---------调用时间规则到访问列表中。

router(config-if)#ip_access-group_"名字"_in---------调用访问列表到接口的入方向

注释：

router(config)#ip_access-list_110_remark_"说明内容，注释内容"

router#show_access-list----------------显示访问列表参数

router#show_access-list_110----------显示访问列表110的参数

router#show_ip_access-list--------------显示IP访问列表参数

router#show_run--------------------显示那些接口被配置了访问列表

router#show_mac_access-group-----------显示二层接口的MAC访问列表