实验8防火墙访问控制列表ACL配置实验.ppt

Chapter 11 网络安全技术,ISSUE 2.0,2,学习目标,掌握一般防火墙技术 掌握地址转换技术,学习完本课程，您应该能够：,3,课程内容,第一节 防火墙 第二节 地址转换,4,防火墙示意图,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,5,路由器实现防火墙功能,IP报文转发机制,IP Packet,IP Packet,网络层,数据链路层,规则查找机制,输入报文规则库,手工配置,规则生成机制,手工配置,规则生成机制,规则查找机制,输出报文规则库,由规则决定报文转发动作：丢弃或转发,由规则决定报文转发动作：丢弃或转发,6,访问控制列表的作用,访问控制列表可以用于防火墙； 访问控制列表可用于QoS（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,7,ACL的机理,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：,8,访问控制列表的分类,按照访问控制列表的用途可以分为四类: 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 基于MAC的访问控制列表（mac-based acl）,9,访问控制列表的标识,利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类,10,基本访问控制列表,基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,11,基本访问控制列表的配置,配置基本访问列表的命令格式如下： acl number acl-number match-order config | auto rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment vpn-instance vpn-instanc-name ,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?,12,反掩码的使用,反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。,13,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,14,高级访问控制列表的配置,高级访问控制列表规则的配置命令： rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message |icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name ,15,高级访问控制列表操作符,16,高级访问控制列表举例,rule deny icmp source 55 destination any icmp-type host-redirect,rule deny tcp source 55 destination 55 destination-port eq www logging,17,基于接口的访问控制列表,基于接口的访问控制列表的配置 acl number acl-number match-order config | auto rule permit | deny interface interface-name time-range time-name logging undo rule rule-id,18,访问控制列表的使用,防火墙配置常见步骤： 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上,19,防火墙的属性配置命令,打开或者关闭防火墙 firewall enable | disable 设置防火墙的缺省过滤模式 firewall default permit|deny 显示防火墙的统计信息 display firewall-statistics all | interface interface-name | fragments-inspect 打开防火墙包过滤调试信息开关 debugging firewall all | icmp | tcp | udp | others interface interface-name ,20,访问控制列表的显示,访问控制列表的显示与调试 display acl all | acl-number reset acl counter all | acl-number ,21,在接口上应用访问控制列表,将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置： firewall packet-filter acl-number inbound | outbound match-fragments normally | exactly ,22,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,23,时间段的配置命令,time range 命令 time-range time-name start-time to end-time days from time1 date1 to time2 date2 显示 time range 命令 display time-range all | time-name ,24,访问控制列表的组合,一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：auto和config。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny source 55 rule permit source 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,25,实验命令,A路由器： 第一步：配置rip路由 Quidwayint e0/0 Quidwayip address Quidwayint s3/0 Quidwayip address Quidwayrip Quidwaynetwork Quidwaynetwork 第二步：配置ACL Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl number 3000 match-order auto Quidway-acl-adv-3000rule 0 deny ip source any destination any,26,Quidway-acl-adv-3000rule 1 permit ip source 0 destination any Quidway-acl-adv-3000rule 2 permit ip source 0 destination any Quidwayint e 0/0 Quidway-Ethernet0/0firewall packet-filter 3000 inbound 第三步：验证 主机配置IP地址等，用Ping命令测试连接对面的主机 第一次：ip: submask: gateway: 第二次：ip: submask: gateway: ,27,B路由器： 第一步：配置rip路由 Quidwayint e0/0 Quidway Ethernet 0/0ip address Quidwayint s3/0 Quidway serial 3/0ip address Quidwayrip Quidwaynetwork Quidwaynetwork 第二步：配置ACL Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl number 3000 match-order auto Quidway-acl-adv-3000rule 0 deny ip source any destination any,28,Quidway-acl-adv-3000rule 1 permit ip source 0 destination any Quidway-acl-adv-3000rule 2 permit ip source 0 destination any Quidwayint e 0/0 Quidway-Ethernet0/0firewall packet-filter 3000 inbound 第三步：验证 主机配置IP地址等