16 元
下载资源

实验8 防火墙访问控制列表ACL配置实验

上传人:jw****77 文档编号:252918342 上传时间:2024-11-24 格式:PPT 页数:26 大小:875KB
返回 下载 相关 举报
实验8 防火墙访问控制列表ACL配置实验_第1页
第1页 / 共26页
实验8 防火墙访问控制列表ACL配置实验_第2页
第2页 / 共26页
实验8 防火墙访问控制列表ACL配置实验_第3页
第3页 / 共26页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Chapter 11,网络安全技术,ISSUE 2.0,2,学习目标,掌握一般防火墙技术,掌握地址转换技术,学习完本课程,您应该能够:,3,课程内容,第一节 防火墙,第二节 地址转换,4,防火墙示意图,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,未授权用户,公司总部,内部网络,办事处,5,访问控制列表的作用,访问控制列表可以用于防火墙;,访问控制列表可用于,QoS,(,Quality of Service,),对数据流量进行控制;,访问控制列表还可以用于地址转换;,在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。,6,ACL,的机理,一个,IP,数据包如下图所示(图中,IP,所承载的上层协议为,TCP,):,IP,报头,TCP,报头,数据,协议号,源地址,目的地址,源端口,目的端口,对于,TCP,来说,这,5,个元素组成了一个,TCP,相关,访问控制列表就是利用这些元素定义的规则,7,访问控制列表的分类,按照访问控制列表的用途可以分为四类,:,基本的访问控制列表(,basic acl,),高级的访问控制列表(,advanced acl,),基于接口的访问控制列表(,interface-based acl,),基于,MAC,的访问控制列表(,mac-based acl,),8,访问控制列表的标识,利用数字标识访问控制列表,利用数字范围标识访问控制列表的种类,列表的种类,数字标识的范围,基于接口的访问控制列表,1000,1999,基本的访问控制列表,2000,2999,高级的访问控制列表,3000,3999,基于,MAC,地址访问控制列表,4000,4999,9,基本访问控制列表,基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,从,202.110.10.0/24,来的数据包可以通过!,从,192.110.10.0/24,来的数据包不能通过!,路由器,10,基本访问控制列表的配置,配置基本访问列表的命令格式如下:,acl,number,acl-number,match-order,config,|,auto,rule,rule-id,permit,|,deny,source,sour-addr sour-wildcard,|,any,time-range,time-name,logging,fragment,vpn-instance,vpn-instanc-name,怎样利用,IP,地址,和,反掩码,wildcard-mask,来表示,一个网段,?,11,反掩码的使用,反掩码和子网掩码相似,但写法不同:,0,表示需要比较,1,表示忽略比较,反掩码和,IP,地址结合使用,可以描述一个地址范围。,0,0,0,255,只比较前,24,位,0,0,3,255,只比较前,22,位,0,255,255,255,只比较前,8,位,12,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。,从,202.110.10.0/24,来的,到,179.100.17.10,的,,使用,TCP,协议,,利用,HTTP,访问的,数据包可以通过!,路由器,13,高级访问控制列表的配置,高级访问控制列表规则的配置命令:,rule,rule-id,permit,|,deny,protocol,source,sour-addr sour-wildcard,|,any,destination,dest-addr dest-mask,|,any,soucre-port,operator port1,port2,destination-port,operator port1,port2,icmp-type,icmp-message|icmp-type,icmp-code,precedence,precedence,tos,tos,time-range,time-name,logging,fragment,vpn-instance,vpn-instanc-name,14,高级访问控制列表操作符,操作符及语法,意义,eq portnumber,等于端口号,portnumber,gt portnumber,大于端口号,portnumber,lt portnumber,小于端口号,portnumber,neq portnumber,不等于端口号,portnumber,range portnumber1 portnumber2,介于端口号,portnumber1,和,portnumber2,之间,15,高级访问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging,10.1.0.0/16,ICMP,主机重定向报文,TCP,报文,129.9.0.0/16,202.38.160.0/24,WWW,端口,16,基于接口的访问控制列表,基于接口的访问控制列表的配置,acl number,acl-number,match-order,config,|,auto,rule,permit,|,deny,interface,interface-name,time-range,time-name,logging,undo rule,rule-id,17,访问控制列表的使用,防火墙配置常见步骤:,启用防火墙,定义访问控制列表,将访问控制列表应用到接口上,公司总部网络,启用防火墙,将访问控制列表应用到接口上,18,防火墙的属性配置命令,打开或者关闭防火墙,firewall enable|disable,设置防火墙的缺省过滤模式,firewall default permit|deny,显示防火墙的统计信息,display firewall-statistics all|interface,interface-name,|,fragments-inspect,打开防火墙包过滤调试信息开关,debugging firewall,all|icmp|tcp|udp|others interface,interface-name,19,访问控制列表的显示,访问控制列表的显示与调试,display,acl,all,|,acl-number,reset,acl,counter,all,|,acl-number,20,在接口上应用访问控制列表,将访问控制列表应用到接口上,指明在接口上是,OUT,还是,IN,方向,在接口视图下配置:,firewall,packet-filter,acl-number,inbound,|,outbound,match-fragments,normally,|,exactly,Ethernet0/0,访问控制列表,3000,作用在,Ethernet0/0,接口,在,out,方向有效,Serial0/0,访问控制列表,2000,作用在,Serial0/0,接口上,在,in,方向上有效,21,基于时间段的包过滤,“,特殊时间段内应用特殊的规则”,上班时间,(上午,8,:,00,下午,5,:,00,),只能访问特定的站点;其余,时间可以访问其他站点,22,时间段的配置命令,time range,命令,time-range,time-name,start-time,to,end-time,days,from,time1 date1,to,time2 date2,显示,time range,命令,display time-range all|,time-name,23,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:,auto,和,config,。,规则冲突时,若匹配顺序为,auto,(深度优先),,描述的地址范围越小的规则,将会优先考虑。,深度的判断要依靠通配比较位和,IP,地址结合比较,rule deny source 202.38.0.0 0.0.255.255,rule permit source 202.38.160.1 0.0.0.255,两条规则结合则表示禁止一个大网段(,202.38.0.0,)上的主机但允许其中的一小部分主 机(,202.38.160.0,)的访问,规则冲突时,若匹配顺序为,config,,先配置的规则会被优先考虑。,24,实验命令,A,路由器:,第一步:配置,rip,路由,Quidwayint e0/0,Quidwayip address 192.168.0.1 255.255.255.0,Quidwayint s3/0,Quidwayip address 212.0.0.1 255.255.255.0,Quidwayrip,Quidwaynetwork 192.168.0.0,Quidwaynetwork 212.0.0.0,第二步:配置,ACL,Quidwayfirewall enable,Quidwayfirewall default permit,Quidwayacl number 3000 match-order auto,Quidway-acl-adv-3000rule 0 deny ip source any destination any,25,Quidway-acl-adv-3000rule 1 permit ip source 192.168.0.1 0 destination any,Quidway-acl-adv-3000rule 2 permit ip source 192.168.0.2 0 destination any,Quidwayint e 0/0,Quidway-Ethernet0/0firewall packet-filter 3000 inbound,第三步:验证,主机配置,IP,地址等,用,Ping,命令测试主机,第一次:,ip:192.168.0.2 submask:255.255.255.0 gateway:192.168.0.1,第二次:,ip:192.168.0.3 submask:255.255.255.0 gateway:192.168.0.1,华为,3Com,技术有限公司,华为,3Com,公司网址,:,www.huawei-,华为,3Com,技术论坛网址,:,forum.huawei-,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑环境 > 建筑资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!