《网络防火墙在服装企业的应用毕业论文.doc》由会员分享,可在线阅读,更多相关《网络防火墙在服装企业的应用毕业论文.doc(22页珍藏版)》请在三一办公上搜索。
1、网络防火墙在服装企业的应用摘 要当前,服装企业已基本形成了自己的生产过程自动化和管理现代化信息网络,并在实际生产和管理中发挥着巨大的作用。随着全球信息化的迅猛发展,服装系统必将加强与外部世界的信息交流,以提高生产和管理效率,开拓更广阔的发展空间。然而,网络开放也增加了网络受攻击的可能性,与外部网络的连接必然面临外来攻击的威胁。目前,防火墙技术作为防范网络攻击最基本的手段已经相当成熟,是抵御攻击的第一道防线,入侵检测系统(Intrusion Detective System,缩写为IDS)作为新型的网络安全技术,有效地补充了防火墙的某些性能上的缺陷,两者从不同的角度以不同的方式确保网络系统的安全
2、。本文首先分析服装企业信息网络的结构,就如何有效地将防火墙和入侵检测技术运用到服装企业信息网络中进行了探讨。介绍了防火墙的概念及其功能。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。又系统地介绍了网络防火墙在服装企业的应用并提出其不足之处和解决方案。关键词:防火墙、包过滤技术、代理技术、服装企业、网络安全ABSTRACTAt present, clothing enterprise has basically formed his own automatic production process and management of mode
3、rn information network, and in practical production and management play a huge role.With the rapid development of global information, clothing system will strengthen and the external world of information exchange, to improve production and management efficiency and develop a broader space for develo
4、pment. However, the network open also increase the possibility of network attack, and external network connection must inevitably face the threat of foreign attack. At present, the firewall technology as a guard against the most basic network means has been quite mature, is the first line of defence
5、 against attacks, Intrusion detection System (Intrusion Detective System,abbreviation for IDS) as a new type of network security technology, effectively complement the firewall some performance defects,both from the point of view of different in different ways to ensure the security of network syste
6、ms. This paper first analyzes clothing enterprise information network structure, and in combination with the characteristics of network security and the special requirements,how to effectively firewalls and intrusion detection technology to clothing enterprise information network is discussed. Take
7、this paper introduces the concept and function of the firewall. A firewall is a kind of access control technology, it through the network at an institution and unsafe network set up barriers between, stop the illegal access to information resources. And systematically introduced network firewall sys
8、tem in the clothing enterprise application and puts forward the disadvantages and solutions. Through to the clothing enterprise information network structure and network security needs, puts forward the firewall and intrusion detection system in the clothing enterprise information network specific a
9、pplication solutions. Finally expounds the user in the choice of firewall software should pay attention to what problem.Keywords:firewall, The packet filter technology, Agent technology, Clothing enterprise,Network security目 录摘 要ABSTRACT目 录绪 论1第一章 防火墙的简介2一、防火墙的概念2二、防火墙的功能2(一)、访问控制2(二)、防御功能3(三)、用户认证3
10、(四)、安全管理3(五)、双机热备份4(六)、操作管理4三、防火墙的分类4(一)、从软、硬件形式上分类4(二)、从防火墙技术上分类4第二章 在服装企业的防火墙应用6一、服装企业的信息网络6二、防火墙的体系结构6(一)、双重宿主主机体系结构6(二)、屏蔽主机体系结构7(三)、屏蔽子网体系结构7三、服装企业信息网防火墙的结构设计7四、防火墙的缺陷7(一)、无法防范病毒7(二)、无法防范内部攻击8(三)、性能上的限制8第三章 IDS(入侵检测系统)9一、入侵检测原理与实践9二、在服装企业信息网中运用IDS9第四章 防火墙的配置10一、防火墙的初始配置10二、防火墙的综合配置10(一)、防火墙的具体配
11、置步骤10(二)、过滤型防火墙的访问控制表(ACL)配置11第五章 安全体系的运作与后期扩充16总 结17参考文献18绪 论随着计算机网络技术的快速发展和因特网的广泛普及,网络在各个行业中的应用越来越广泛,最为突出的是企业的生产、管理对网络依赖性。网络在带给企业巨大利益的同时,网络安全事故也逐年增加。一旦网络出现问题,企业的正常生产、办公都将会受到很大影响,更严重的将会使企业遭受重大的经济损失。所以,如何提高网络的安全性,让网络更好地为企业的发展服务,是企业家一直关心的问题。在“无网不快”的今天,服装企业大多顺应时代潮流,或是自己搭建产品网上销售渠道,或是借助淘宝这样的专业网上交易平台开通官方
12、旗舰店。为了保障服装企业内部网的安全,企业便在内部网与外部网之间建立一套系统,称为防火墙,它是位于两个网络之间的屏障。因此防火墙在服装企业中有着至关重要的作用。通过对服装企业信息网络的结构以及网络安全需求的分析,提出了防火墙和入侵检测系统在服装企业信息网络中具体的应用方案最后阐述了用户在选择防火墙软件时应注意哪些问题。为了能更好的发展网络服装销售,就必须了解防火墙的构造和具体作用,更值得注意的是防火墙的优缺点,只有在正确的使用防火墙合理的利用它的优缺点才能使服装企业健康稳定的发展。由此可见防火墙在服装企业以及在其他领域的重要性。当前,服装企业正以原有设施为基础,构建企业与服装公司、企业与企业间
13、的信息网络,网络安全是一个不可忽视的问题防火墙与入侵检测技术相结合,为网络安全体系提供了一个良好的基础,对保障系统安全发挥不可忽视的作用。当然,完备的安全体系还需要其它多种安全技术从功能上进一步完善,同时,安全问题不仅是一个技术问题,也是一个系统工程,需从组织管理、法律规范等多方面予以支持。第一章 防火墙的简介一、防火墙的概念所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从
14、而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙,英语为firewall,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户
15、计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。二、防火墙的功能(一)、访问控制1、限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。2、访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.25
16、4),ip/mask与通配符,ip区间与通配符等,使配置防火墙的安全策略极为方便。3、双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。4、ip与mac地址绑定:防止防火墙广播域内主机的ip地址不被另一台机器盗用。也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的ip与其物理网卡地址捆绑,这样其他内部机器就不可能使用这个ip通过防火墙。5、ip与用户绑定:绑定
17、一次性口令用户到定义ip列表上,防止绑定用户的从非许可区域通过防火墙。 (二)、防御功能1、防tcp、udp等端口扫描:网络卫士防火墙可以检测到对网络或内部主机的所有tcp/udp扫描。2、抗dos/ddos攻击:拒绝服务攻击(dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止dos黑客攻击。3、可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击。4、提供实时监控、审计和告警功能,当发现攻击和危险行为时,防火墙提供告警等功能。5、可扩展支持第三方IDS入侵检测系统,实现协同工
18、作。(三)、用户认证因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。1、提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。2、可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证。(四)、安全管理1、提供基于otp机制的管理员认证。2、提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。3、远程管理提供加密机制;在进行远程管理时,管理机
19、和防火墙之间的通讯可进行加密以保证安全,真正实现远程管理。4、远程管理安全措施:管理源主机限定;并发管理连接数限定;管理接口icmp开关控制;管理接口开关;远程登录尝试锁定。5、提供日志下载、备份和查询功能;防火墙的日志管理方式包括日志下载、备份和日志查询,这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具,将各种日志信息导出到管理服务器,方便进一步处理。6、可扩展支持计费功能。计费模块提供较强的计费功能。防火墙上设置计费功能可以避免防火墙所保护的内部网计费时,可能因防火墙策略未许可而导致某些用户计费信息与实际使用的不一致,也弥补了防火墙作地址转换时,外部网难以计费的缺陷。(五)
20、、双机热备份提供防火墙的双机热备份功能,提高应用系统可靠性和性能。热备份通过多种方式触发工作模式切换,模式切换时间短。(六)、操作管理1、提供灵活的本地、远程管理方式;2、支持gui和命令行多种操作方式;3、可提供基于命令行和gui的本地和远程配置管理。三、防火墙的分类(一)、从软、硬件形式上分类 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 1、软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。2、硬件防火墙 这里说的硬件防火墙是指所谓的硬件防火墙。之
21、所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。3、芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。(二)、从防火墙技术上分类 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。 1、包过滤(Packet filtering)型 包过滤方式是一种通用、廉价和有效的安全手段。这类防火墙多数是由路由器集成的;在整
22、个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。 2 应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。第二章 在服装企业的防火墙应用一、服装企业的信息网络这是一个生产加工销售一条龙的服装企业,成立于2000年,如今在全国已有多家分店。销售的主要渠道是网上销售,在淘宝网等多家网站都有自己的服装商店,而且还有自己的服装网站。服装图片和信息的上传非常频繁,因此网络安全十分重要。使用防火墙拦
23、截恶意攻击,和非法入侵已经成为了一个必不可少的手段。服装系统的信息网络分为两大模块:企业管理信息系统(Management Information System ,缩写为MIS)和生产监控信息系统(Supervisory Information System,缩写为SIS)。SIS对生产现场进行实时监控,从分布在生产现场的许多点采集数据,由系统中的计算单元进行性能计算、故障诊断等,将结果存放到实时数据服务器,为生产现场实时提供科学、准确的数据,以控制整个生产过程。Sis包括CRT监控系统、OCS(数据通信系统)、FCS(现场总线控制系统)等子系统MIS的功能是实现企业自动化管理,包括若干子系统
24、,分别实现生产经营管理、财务和人事管理、设备和维修管理、物资管理、行政管理等功能。目前服装企业的信息网络一般将Sis和MIS分作同一网络中的两个子网,并分别配置服务器,两子网之间用网关连接。 DPU(分散过程控制单元)从生产现场采集数据并发送到高速数据网供DCS各工作站分析处理,同时为了保证SIS的网络安全,SIS以太网通过网关与MIS服务器连接,作为MIS到SIS 的入口并管理MIS 对SIS的访问。SIS和MIS功能各异,对安全的要求也有所不同。SIS由于与现场生产息息相关,一旦遭到入侵,势必影响生产甚至造成恶性事故,所以其安全性要求更高。高级别的保护。现行的网络结构也充分体现了这一特点,
25、对SIS实施更当局域网与外部网络连接后,MIS要向外界提供服务,网络面临的威胁将空前广泛、尖锐,这时原有的安全系统显然过于单薄,必须在原有基础上制定更严密、可靠的防御体系。在安全的操作系统基础上,防火墙结合IDS是一种较为理想的解决方案。二、防火墙的体系结构构造防火墙时通常根据所要提供的服务、技术人员的技术、工程的性价比等因素采用多种技术的组合,以达到最佳效果。目前常见的防火墙体系结构有以下几种:(一)、双重宿主主机体系结构在内部网络与外部网络之间配置至少有两个网络接口的双重宿主主机,接口分别与内部、外部网络相连,而主机则充当网络之间的路由器。这样,内部、外部网络的计算机之间的通信完全被阻隔,
26、只能通过双重宿主主机彼此联系。(二)、屏蔽主机体系结构这种结构的防火墙由路由器和堡垒主机构成,路由器设置在内部、外部网络之间,实现数据包过滤。堡垒主机设置在内部网络中,外部网络的计算机必须连接到堡垒主机才能访问内部网络。(三)、屏蔽子网体系结构利用两个路由器(内部路由器和外部路由器)将内部网络保护到更深一层,而在两个路由器之间形成一个虚拟网络,称之为周边网络,堡垒主机连接在周边网络上,通过外部路由器与外部网络相连。这样,如果入侵者突破了外层的防火墙,甚至侵入堡垒主机,内部网络依然安全。三、服装企业信息网防火墙的结构设计服装系统对安全性的高度要求,企业信息网络的安全问题应该予以格外关注必须组建科
27、学、严密的防火墙体系,为企业内部网络尤其是内部网络中的SIS子网提供高度的网络安全。服装企业内部网络由两个安全级别不同的子网MILS和SIS构成,其中SIS对安全要求更高,因此它仅向MIS提供服务而不直接与外部网络相连,由MIS向外界提供服务基于这个特点,防火墙宜采用屏蔽子网的体系结构, MIS作为体系中的周边网,SIS作为内部网设置两台屏蔽路由器,其中外部路由器设在MIS与外部网络之间,内部路由器设在SIS与MILS之间,对进出的数据包进行过滤。另外,堡垒主机连接在MIS中,对外作为访问的入口,对内则作为代理服务器,使内部用户间接地访问外部服务器。应该强调的是,MILS的堡垒主机极有可能受到
28、袭击,因为所有对内部网络的访问都要经过它,因此,在条件允许的情况下,可以在MIS中配置两台堡垒主机,当一台堡垒主机被攻击而导致系统崩溃时,可以由另一台主机提供服务,以保证服务的连续性。同时,在MIS中配置一台处理机,与内部路由器组成安全网关,可以作为整个防火墙体系的一部分,控制MIS向SIS的访问以及对数据传输进行限制,提供协议、链路和应用级保护。四、防火墙的缺陷尽管防火墙在很大程度上实现了内部网络的安全,但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不安全的。(一)、无法防范病毒虽然防火墙对流动的数据包进行严格的过滤,但针对的是数据包的源地址、目的地址和端口号,对数据的内容并不扫描,因
29、此对病毒的侵入无能为力。(二)、无法防范内部攻击从防火墙的设计思想来看,无法对来自内部的攻击进行防范,这是网络安全的极大隐患。(三)、性能上的限制防火墙只是按照固定的工作模式来防范已知的威胁,从这一点来说,防火墙无法灵活地防范对网络的威胁。所以,安装了防火墙的系统还需要其他防御手段来保证信息网络的安全。第三章 IDS(入侵检测系统)IDS是一种主动防御攻击的新型网络安全系统,在功能上弥补了防火墙的缺陷,使整个安全防御体系更趋完善、可靠,其具体情况如下分析 一、入侵检测原理与实践IDS以检测及控制为基本思想,为网络提供实时的入侵检测,并采取相应的保护措施它的设计原理一般是根据用户历史行为建立历史
30、库,或者根据已知的入侵方法建立入侵模式,运行时从网络系统的诸多关键点收集信息,并根据用户行为历史库和入侵模式加以模式匹配、统计分析和完整性扫描,以检测入侵迹象,寻找系统漏洞。IDS一般分为基于主机的IDS和基于网络的IDS两种。基于主机的IDS其输人数据来源于系统的审计日志,用于保护关键应用的服务器;基于网络的IDS输人数据来源于网络的信息流,用于实时监控网络关键路径的信息。目前的入侵检测产品通常都包括这两个部件。在实践中,IDS一般分为监测器和控制台两大部分。为了便于集中管理,一般采用分布式结构,用户在控制台管理整个检测系统、设置监测器的属性、添加新的检测方案、处理警报等。监测器部署在网络中
31、的若干个关键点,如内部网络与外部网络的连接点、需重点保护的工作站等,根据入侵模式检测异常行为,当发现入侵时保存现场,并生成警报上传控制台。二、在服装企业信息网中运用IDS服装企业的安全涉及企业利益,建议尽可能使用国产IDS检测系统,如北京中科网威“天眼”入检测系统、清华紫光Unis入侵检测系统等,这些产品在技术上已相当成熟,且在不断升级。安装IDS的关键步骤是部署检测器与控制台。针对服装企业网络的特点,首先,可以在外部路由器与外部网络的连接处部署监测器以监测异常的入侵企图在防火墙与MIS之间部署监测器,以监视和分析MIS与外部网络的通信流然后,分别在MIS和SIS中部署一台监测器,监视各子网的
32、内部情况;控制台设置在MIS中。最后,根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件,保护重要设备。安装IDS后,更具挑战性的工作就是有效地运行IDS。防火墙在测试和设置后便开始工作了,而IDS则不同。IDS提供实时检测需要管理员“实时”地配合,管理员要做好处理各种警报的准备工作;在系统发出警报时要判断是否误报,正确处理警报,决定是否关闭系统或是继续监视入侵者以收集证据等,都需要管理员就地解决。只有管理员及时采取恰当的处理方法,才能真正发挥IDS的功效。第四章 防火墙的配置一、防火墙的初始配置像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始
33、配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。防火墙与路由器一样也有四种用户配置模式,即:普通
34、模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也与路由器一样:普通用户模式无需特别命令,启动后即进入;进入特权用户模式的命令为“enable”;进入配置模式的命令为“config terminal”;而进入端口模式的命令为“interface ethernet()”。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为“全局配置模式”。二、防火墙的综合配置(一)、防火墙的具体配置步骤 1、将防火墙的Console
35、端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上, 2、打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。 3、运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在附件程序组中)。对超级终端的配置与交换机或路由器的配置一样, 4、当PIX防火墙进入系统后即显示“pixfirewall”的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。 5、输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。 6、输入命令:configure terminal,进入全局配置模式,对
36、系统进行初始化设置:(1)首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,“auto”选项为系统自适应网卡类型Interface ethernet1 auto。(2)配置防火墙内、外部网卡的IP地址IP address inside ip_address netmask # Inside代表内部网卡IP address outside ip_address netmask # outside代表外部网卡。(3)指定外部网卡的IP地址范围:global 1 ip_address-i
37、p_address。(4)指定要进行转换的内部地址:nat 1 ip_address netmask。(5)配置某些控制选项:conduit global_ip port-port protocol foreign_ip netmask其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。7、配置保存:wr 。8、退出当前模式此命令为exit,可以任何用户模式下执行,执行的方法也相当简单
38、,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。pixfirewall(config)# exitpixfirewall# exitpixfirewall 9、查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。10、查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。11、查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。(二)、过
39、滤型防火墙的访问控制表(ACL)配置除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。下面介绍一些用于此方面配置的基本命令。1、access-list用于创建访问规则:这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。在这个命令中,又有几种命令格式,分别执行不同的命令。(1)创建标准访问列表命令格式:access-list normal special listnumber1 permit deny so
40、urce-addr source-mask (2)创建扩展访问列表命令格式:access-list normal special listnumber2 permit deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log (3)删除访问列表命令格式:no access-list normal special all listnumber subitem 上述命令参数说明如下:normal:指定规则加入普
41、通时间段。special:指定规则加入特殊时间段。listnumber1:是1到99之间的一个数值,表示规则是标准访问列表规则。listnumber2:是100到199之间的一个数值,表示规则是扩展访问列表规则。permit:表明允许满足条件的报文通过。deny:表明禁止满足条件的报文通过。protocol:为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr:为源IP地址。source-mask:为源IP地址的子网掩码,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。dest-ad
42、dr:为目的IP地址。dest-mask:为目的地址的子网掩码。operator:端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或065535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或065535之间的一个数值。icmp-type:在协议为ICMP时出现,代表ICMP报
43、文类型;可以是关键字所设定的预设值(如echo-reply)或者是0255之间的一个数值。icmp-code:在协议为ICMP,且没有选择所设定的预设值时出现;代表ICMP码,是0255之间的一个数值。log:表示如果报文符合条件,需要做日志。listnumber:为删除的规则序号,是1199之间的一个数值。subitem:指定删除序号为listnumber的访问列表中规则的序号。例如,现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问,但不允许使用FTP”的访问规则。相应配置语句只需两行即可,如下:Quidway (con
44、fig)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq wwwQuidway (config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp2、clear access-list counters:清除访问列表规则的统计信息命令格式:clear access-list counters listnumber 这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规
45、则号,如不指定,则清除所有的规则的统计信息。如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为:clear access-list counters 100如有清除当前所使用的所有规则的统计信息,则以上语句需改为:Quidway#clear access-list counters3、ip access-group使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置,对应格式为:ip access-group listnumber in out 此命令须在端口用户模式下配置,进入端口用户模式的命令为:interface ethe
46、rnet(),括号中为相应的端口号,通常0为外部接口,而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号,是1199之间的一个数值(包括标准访问规则和扩展访问规则两类);in 表示规则应用于过滤从接口接收到的报文;而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中
47、;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。例如将规则100应用于过滤从外部网络接口上接收到的报文,配置语句为(同样为在倾为包过滤路由器上):ip access-group 100 in如果要删除某个访问控制表列绑定设置,则可用no ip access-group listnumber in out 命令。4、show access-list 此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为:show access-list all listnumber interface interface-name 这一命令须在特权用户模
48、式下进行配置,其中all参数表示显示所有规则的应用情况,包括普通时间段内及特殊时间段内的规则;如果选择listnumber参数,则仅需显示指定规则号的过滤规则;interface 表示要显示在指定接口上应用的所有规则序号;interface-name参数为接口的名称。使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。例如,现在要显示当前所使用序号为100的规则的使用情况,可执行Quidway#show access-list 100语句即可,随即系
