實(shí)驗(yàn)防火墻訪問(wèn)控制列表配置實(shí)驗(yàn)_第1頁(yè)
實(shí)驗(yàn)防火墻訪問(wèn)控制列表配置實(shí)驗(yàn)_第2頁(yè)
實(shí)驗(yàn)防火墻訪問(wèn)控制列表配置實(shí)驗(yàn)_第3頁(yè)
實(shí)驗(yàn)防火墻訪問(wèn)控制列表配置實(shí)驗(yàn)_第4頁(yè)
實(shí)驗(yàn)防火墻訪問(wèn)控制列表配置實(shí)驗(yàn)_第5頁(yè)
已閱讀5頁(yè),還剩24頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

實(shí)驗(yàn)防火墻訪問(wèn)控制列表配置實(shí)驗(yàn)第一頁(yè),共二十九頁(yè),2022年,8月28日學(xué)習(xí)目標(biāo)掌握一般防火墻技術(shù)掌握地址轉(zhuǎn)換技術(shù)學(xué)習(xí)完本課程,您應(yīng)該能夠:第二頁(yè),共二十九頁(yè),2022年,8月28日課程內(nèi)容

第一節(jié)防火墻第二節(jié)地址轉(zhuǎn)換第三頁(yè),共二十九頁(yè),2022年,8月28日防火墻示意圖對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,然后和設(shè)定的規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表。未授權(quán)用戶(hù)公司總部?jī)?nèi)部網(wǎng)絡(luò)辦事處第四頁(yè),共二十九頁(yè),2022年,8月28日路由器實(shí)現(xiàn)防火墻功能IP報(bào)文轉(zhuǎn)發(fā)機(jī)制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層規(guī)則查找機(jī)制輸入報(bào)文規(guī)則庫(kù)手工配置規(guī)則生成機(jī)制手工配置規(guī)則生成機(jī)制規(guī)則查找機(jī)制輸出報(bào)文規(guī)則庫(kù)由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作:丟棄或轉(zhuǎn)發(fā)由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作:丟棄或轉(zhuǎn)發(fā)第五頁(yè),共二十九頁(yè),2022年,8月28日訪問(wèn)控制列表的作用訪問(wèn)控制列表可以用于防火墻;訪問(wèn)控制列表可用于QoS(QualityofService),對(duì)數(shù)據(jù)流量進(jìn)行控制;在DCC中,訪問(wèn)控制列表還可用來(lái)規(guī)定觸發(fā)撥號(hào)的條件;訪問(wèn)控制列表還可以用于地址轉(zhuǎn)換;在配置路由策略時(shí),可以利用訪問(wèn)控制列表來(lái)作路由信息的過(guò)濾。第六頁(yè),共二十九頁(yè),2022年,8月28日ACL的機(jī)理一個(gè)IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為T(mén)CP):IP報(bào)頭TCP報(bào)頭數(shù)據(jù)協(xié)議號(hào)源地址目的地址源端口目的端口對(duì)于TCP來(lái)說(shuō),這5個(gè)元素組成了一個(gè)TCP相關(guān),訪問(wèn)控制列表就是利用這些元素定義的規(guī)則第七頁(yè),共二十九頁(yè),2022年,8月28日訪問(wèn)控制列表的分類(lèi)按照訪問(wèn)控制列表的用途可以分為四類(lèi):基本的訪問(wèn)控制列表(basicacl)高級(jí)的訪問(wèn)控制列表(advancedacl)基于接口的訪問(wèn)控制列表(interface-basedacl)基于MAC的訪問(wèn)控制列表(mac-basedacl)第八頁(yè),共二十九頁(yè),2022年,8月28日訪問(wèn)控制列表的標(biāo)識(shí)利用數(shù)字標(biāo)識(shí)訪問(wèn)控制列表利用數(shù)字范圍標(biāo)識(shí)訪問(wèn)控制列表的種類(lèi)列表的種類(lèi)數(shù)字標(biāo)識(shí)的范圍基于接口的訪問(wèn)控制列表1000~1999基本的訪問(wèn)控制列表2000~2999高級(jí)的訪問(wèn)控制列表3000~3999基于MAC地址訪問(wèn)控制列表4000~4999第九頁(yè),共二十九頁(yè),2022年,8月28日基本訪問(wèn)控制列表基本訪問(wèn)控制列表只使用源地址描述數(shù)據(jù),表明是允許還是拒絕。從/24來(lái)的數(shù)據(jù)包可以通過(guò)!從/24來(lái)的數(shù)據(jù)包不能通過(guò)!路由器第十頁(yè),共二十九頁(yè),2022年,8月28日基本訪問(wèn)控制列表的配置配置基本訪問(wèn)列表的命令格式如下:acl

number

acl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]怎樣利用IP地址和

反掩碼wildcard-mask

來(lái)表示一個(gè)網(wǎng)段?第十一頁(yè),共二十九頁(yè),2022年,8月28日反掩碼的使用反掩碼和子網(wǎng)掩碼相似,但寫(xiě)法不同:0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用,可以描述一個(gè)地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位第十二頁(yè),共二十九頁(yè),2022年,8月28日高級(jí)訪問(wèn)控制列表高級(jí)訪問(wèn)控制列表使用除源地址外更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕。從/24來(lái)的,到0的,使用TCP協(xié)議,利用HTTP訪問(wèn)的數(shù)據(jù)包可以通過(guò)!路由器第十三頁(yè),共二十九頁(yè),2022年,8月28日高級(jí)訪問(wèn)控制列表的配置高級(jí)訪問(wèn)控制列表規(guī)則的配置命令:rule[rule-id]{permit|deny}protocol[source

sour-addrsour-wildcard|any][destination

dest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-type

icmp-code}][precedence

precedence][tos

tos][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]第十四頁(yè),共二十九頁(yè),2022年,8月28日高級(jí)訪問(wèn)控制列表操作符操作符及語(yǔ)法意義eqportnumber等于端口號(hào)portnumbergtportnumber

大于端口號(hào)portnumberltportnumber

小于端口號(hào)portnumberneqportnumber不等于端口號(hào)portnumber

rangeportnumber1portnumber2介于端口號(hào)portnumber1

和portnumber2之間第十五頁(yè),共二十九頁(yè),2022年,8月28日高級(jí)訪問(wèn)控制列表舉例ruledenyicmpsource55destinationanyicmp-typehost-redirect

ruledenytcpsource55destination55destination-porteqwwwlogging

/16ICMP主機(jī)重定向報(bào)文TCP報(bào)文/16/24WWW端口第十六頁(yè),共二十九頁(yè),2022年,8月28日基于接口的訪問(wèn)控制列表基于接口的訪問(wèn)控制列表的配置aclnumberacl-number[match-order{config|auto}]rule{permit|deny}[interface

interface-name][time-range

time-name][logging]undorule

rule-id第十七頁(yè),共二十九頁(yè),2022年,8月28日訪問(wèn)控制列表的使用防火墻配置常見(jiàn)步驟:?jiǎn)⒂梅阑饓Χx訪問(wèn)控制列表將訪問(wèn)控制列表應(yīng)用到接口上公司總部網(wǎng)絡(luò)啟用防火墻將訪問(wèn)控制列表應(yīng)用到接口上第十八頁(yè),共二十九頁(yè),2022年,8月28日防火墻的屬性配置命令打開(kāi)或者關(guān)閉防火墻firewall{enable|disable}設(shè)置防火墻的缺省過(guò)濾模式firewalldefault{permit|deny}顯示防火墻的統(tǒng)計(jì)信息displayfirewall-statistics{all|interface

interface-name|fragments-inspect}

打開(kāi)防火墻包過(guò)濾調(diào)試信息開(kāi)關(guān)debuggingfirewall

{all|icmp|tcp|udp|others}[interfaceinterface-name

]第十九頁(yè),共二十九頁(yè),2022年,8月28日訪問(wèn)控制列表的顯示訪問(wèn)控制列表的顯示與調(diào)試display

acl{all|acl-number}reset

acl

counter{all|acl-number}第二十頁(yè),共二十九頁(yè),2022年,8月28日在接口上應(yīng)用訪問(wèn)控制列表將訪問(wèn)控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置:firewall

packet-filter

acl-number{inbound|outbound}[match-fragments{normally|exactly}]Ethernet0/0訪問(wèn)控制列表3000作用在Ethernet0/0接口在out方向有效Serial0/0訪問(wèn)控制列表2000作用在Serial0/0接口上在in方向上有效第二十一頁(yè),共二十九頁(yè),2022年,8月28日基于時(shí)間段的包過(guò)濾“特殊時(shí)間段內(nèi)應(yīng)用特殊的規(guī)則”上班時(shí)間(上午8:00-下午5:00)只能訪問(wèn)特定的站點(diǎn);其余時(shí)間可以訪問(wèn)其他站點(diǎn)第二十二頁(yè),共二十九頁(yè),2022年,8月28日時(shí)間段的配置命令timerange命令time-rangetime-name[start-timetoend-time][days][

fromtime1date1][totime2date2]顯示timerange命令displaytime-range{all|time-name}第二十三頁(yè),共二十九頁(yè),2022年,8月28日訪問(wèn)控制列表的組合一條訪問(wèn)列表可以由多條規(guī)則組成,對(duì)于這些規(guī)則,有兩種匹配順序:auto和config。規(guī)則沖突時(shí),若匹配順序?yàn)閍uto(深度優(yōu)先),描述的地址范圍越小的規(guī)則,將會(huì)優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledenysource55rulepermitsource55兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段()上的主機(jī)但允許其中的一小部分主機(jī)()的訪問(wèn)規(guī)則沖突時(shí),若匹配順序?yàn)閏onfig,先配置的規(guī)則會(huì)被優(yōu)先考慮。第二十四頁(yè),共二十九頁(yè),2022年,8月28日實(shí)驗(yàn)命令A(yù)路由器:第一步:配置rip路由[Quidway]inte0/0[Quidway]ints3/0[Quidway]rip[Quidway]network[Quidway]network第二步:配置ACL[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]rule0denyipsourceanydestinationany第二十五頁(yè),共二十九頁(yè),2022年,8月28日[Quidway-acl-adv-3000]rule1permitipsource0destinationany[Quidway-acl-adv-3000]rule2permitipsource0destinationany[Quidway]inte0/0[Quidway-Ethernet0/0]firewallpacket-filter3000inbound第三步:驗(yàn)證主機(jī)配置IP地址等,用Ping命令測(cè)試連接對(duì)面的主機(jī)第一次:第二次:第二十六頁(yè),共二十九頁(yè),2022年,8月28日B路由器:第一步:配置rip路由[Quidway]inte0/0[Quidway]ints3/0[Quidway]rip第二步:配置ACL[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]rule0denyipsourceanydestinationany第二十七頁(yè),共二十九頁(yè),2022年,8月28日[Quidway-acl-adv-3000]rule1permitipsource0destinationany

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論