《实验8防火墙访问控制列表ACL配置实验.ppt》由会员分享,可在线阅读,更多相关《实验8防火墙访问控制列表ACL配置实验.ppt(26页珍藏版)》请在三一办公上搜索。
1、Chapter 11 网络安全技术,ISSUE 2.0,2,学习目标,掌握一般防火墙技术掌握地址转换技术,学习完本课程,您应该能够:,3,课程内容,第一节 防火墙第二节 地址转换,4,防火墙示意图,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,5,访问控制列表的作用,访问控制列表可以用于防火墙;访问控制列表可用于QoS(Quality of Service),对数据流量进行控制;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。,6,ACL的机理,一个I
2、P数据包如下图所示(图中IP所承载的上层协议为TCP):,7,访问控制列表的分类,按照访问控制列表的用途可以分为四类:基本的访问控制列表(basic acl)高级的访问控制列表(advanced acl)基于接口的访问控制列表(interface-based acl)基于MAC的访问控制列表(mac-based acl),8,访问控制列表的标识,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,9,基本访问控制列表,基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,10,基本访问控制列表的配置,配置基本访问列表的命令格式如下:acl number acl-number ma
3、tch-order config|auto rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging fragment vpn-instance vpn-instanc-name,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?,11,反掩码的使用,反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。,12,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是
4、拒绝。,13,高级访问控制列表的配置,高级访问控制列表规则的配置命令:rule rule-id permit|deny protocol source sour-addr sour-wildcard|any destination dest-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|icmp-type icmp-code precedence precedence tos tos time-range time-
5、name logging fragment vpn-instance vpn-instanc-name,14,高级访问控制列表操作符,15,高级访问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging,16,基于接口的访问控制列表,基于接口的访问控制列表
6、的配置acl number acl-number match-order config|auto rule permit|deny interface interface-name time-range time-name logging undo rule rule-id,17,访问控制列表的使用,防火墙配置常见步骤:启用防火墙定义访问控制列表将访问控制列表应用到接口上,18,防火墙的属性配置命令,打开或者关闭防火墙firewall enable|disable 设置防火墙的缺省过滤模式firewall default permit|deny 显示防火墙的统计信息display firewa
7、ll-statistics all|interface interface-name|fragments-inspect 打开防火墙包过滤调试信息开关debugging firewall all|icmp|tcp|udp|others interface interface-name,19,访问控制列表的显示,访问控制列表的显示与调试display acl all|acl-number reset acl counter all|acl-number,20,在接口上应用访问控制列表,将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置:firewall packet-fi
8、lter acl-number inbound|outbound match-fragments normally|exactly,21,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,22,时间段的配置命令,time range 命令time-range time-name start-time to end-time days from time1 date1 to time2 date2 显示 time range 命令display time-range all|time-name,23,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和c
9、onfig。规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较rule deny source 202.38.0.0 0.0.255.255 rule permit source 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段()上的主机但允许其中的一小部分主 机()的访问规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。,24,实验命令,A路由器:第一步:配置rip路由Quidwayint e0/0Quidwayint s3/0QuidwayripQuidwaynet
10、work 192.168.0.0 Quidwaynetwork 212.0.0.0 第二步:配置ACLQuidwayfirewall enableQuidwayfirewall default permitQuidwayacl number 3000 match-order auto Quidway-acl-adv-3000rule 0 deny ip source any destination any,25,Quidway-acl-adv-3000rule 1 permit ip source 192.168.0.1 0 destination any Quidway-acl-adv-3000rule 2 permit ip source 192.168.0.2 0 destination anyQuidwayint e 0/0Quidway-Ethernet0/0firewall packet-filter 3000 inbound 第三步:验证主机配置IP地址等,用Ping命令测试主机第一次:第二次:,华为3Com技术有限公司,华为3Com公司网址:华为3Com技术论坛网址:,