实验五 防火墙安全技术基础.doc

实验五 防火墙安全技术基础一、 实验目的1、 理解由路由器实现防火墙功能的一般原理。2、 掌握通过由路由器实现包过滤的核心技术。3、 能够设置基本的访问控制列表。二、 实验组网图图8-1 实验组网图三、 实验设备与版本PC：四台有以太网接口和COM接口的PC线缆：Console线缆一根，网线6根，V3.5 DCE/DTE线缆一对路由器：Quidway AR2811一台，RELEASE 0009 一台（在一号槽位上安装2SA板卡）。Quidway以太网交换机两台四、 实验内容在实际的企业网或校园网中为了保证信息安全以及权限控制，都需要分别对待网内的用户群。有些能够访问外部网，有些不能。这些设置都是在整个网络的出口或入口（一般是在路由器）上通过配置引用ACL访问控制列表的包过滤防火墙来来实现的。首先根据图81连接各个设备。在路由器RTA和RTB的S0/0接口之间通过V35线缆进行背靠背连接以模拟2M的专线，在路由器RTA和RTB的E0/0接口上分别通过以太网交换机连接主机PC1和PC2，PC3和PC4以模拟两个局域网网段。PC的IP地址和缺省网关 Gateway如下：PC1PC2PC3PC4IP地址/ 24/ 24/ 24/ 24网关 实验任务一：配置网络互连互通在进行ACL访问控制列表和包过滤防火墙的实验之前，我们必须实现网络之间的互连互通，即在路由器上配置接口IP地址和路由协议。步骤一：在路由器上配置接口IP地址RTA上的配置：RTAinterface Ethernet 0/0RTA-Ethernet0/0ip address 24RTA-Ethernet0/0 interface serial 0/0RTA-serial 0/0ip address 30RTB上的配置：RTBinterface Ethernet 0/0RTB-Ethernet0/0ip address 24RTB-Ethernet0/0 interface serial 0/0RTB-serial 0/0ip address 30步骤二：配置静态路由在这里我们采用配置静态路由的方法来添加路由。分别在RTA、RTB上配置到对端以太网的静态路由：RTAip route-static serial 0/0 preference 60RTBip route-static serial 0/0 preference 60完成上述配置之后，检查PC1和PC2，PC3和PC4四台主机之间是否互通。实验任务二：基本访问控制列表在实验中我们假设路由器RTA下面的局域网是网络A另一台路由器RTB下面的局域网是网络B。基本访问列表的控制只使用数据包的源地址来判断数据包，所以它只能以源地址来分析数据包，源地址相同而目的地址不同的数据包也只能采用一种策略。所以利用基本访问控制列表，我们只能粗略的区别对待网内的用户群，哪些主机能访问外部网络，哪些不能。我们来完成如下实验，看看基本访问控制列表是如何完成该功能的。 要求 ： 只允许IP地址为的主机PC1访问网络B 具体的配置步骤如下（在RTA上实现访问控制）：步骤一：在RTA上配置ACLRTAacl number 2000 #创建基本ACL编号为2000RTA-acl-basic-2000rule 0 permit source 0 #允许特定主机访问外部网络（网络B）RTA-acl-basic-2000rule 1 deny source 55 #禁止同一子网中的其它主机访问外部网络（网络B）步骤二：启动包过滤防火墙并在接口上应用ACL实现包过滤RTAfirewall enable #启动防火墙功能RTAinterface serial 0/0RTA-serial 0/0firewall packet-filter 2000 outbound 使访问列表生效步骤三:检查配置效果完成上述配置之后，在PC1和PC2上分别ping网络B中的PC3和PC4，只有PC1可以ping通。注意：以上配置是基于Version3.40、Release RT-0009，如果版本不同可以参阅相应的配置手册。在设置防火墙时，一般选择在路由器的出口，可以使用firewall packet-filter 2000 outbound来使防火墙生效，但是如果改为 firewall packet-filter 2000 inbound呢？试一试会是什么现象？是不是任何主机都可以访问外部网络呢？那么我们如果在E0/0口使用 firewall packet-filter 2000 inbound命令呢？结果和在S0/0上使用firewall packet-filter 2000 outbound的效果一样。针对上面的问题，大家可以自己在路由器上修改相关的配置试一下。就可以明白inbound和outbound命令的含义了。步骤四: 在RTB上配置包过滤明白了inbound和outbound命令的含义后，大家会发现在RTB上配置包过滤也会有一样的效果。实际上，在现实的网络中我们通常都会禁止不被信任的数据流进入我们的网络，所以在“入”(inbound)方向实现访问控制会多一些。首先在RTA上删除关于ACL和firewall的配置，然后在RTB上进行如下配置：RTBacl number 2000 #创建基本ACL编号为2000RTB-acl-basic-2000rule 0 permit source 0 #允许某个外部网络的主机访问内部网络（网络B）RTB-acl-basic-2000rule 1 deny source 55 #禁止某个子网中的其它主机访问内部网络（网络B）RTBfirewall enable #启动防火墙功能RTBinterface serial 0/0RTB-serial 0/0firewall packet-filter 2000 inbound 使访问列表生效完成上述配置后，在PC1和PC2上分别ping网络B中的PC3和PC4，只有PC1可以ping通。从上面的实验中可以看出inbound和outbound两个方向的不同作用以及使用不同接口配置的差异，所以在设置防火墙时，我们需要仔细分析，灵活运用，选择最佳接口、最简单的配置完成最完善的功能。实验任务三：高级访问列表控制高级访问列表控制不仅使用数据包的源地址作为判断条件，还使用目的地址协议号作为判断的条件。所以它能更为详细的区分数据包，更好的控制用户的访问。下面我们用高级访问控制列表来完成前面基本访问列表的控制，在控制时加入了对目的地址的筛选。在进行下面的实验之前，首先删除路由器上所有关于ACL和firewall的配置。步骤一：在RTA上配置ACLRTAacl number 3000 match-order auto #创建高级ACL编号为3000RTA-acl-adv-3000rule 0 permit ip source 0 destination 55 #允许特定主机访问特定网络（网络B）RTA-acl-adv-3000rule 1 deny ip source 55 destination 55 #禁止同一子网中的其它主机访问特定网络步骤二：启动包过滤防火墙并在接口上应用ACL实现包过滤RTAfirewall enable #启动防火墙功能RTAinterface serial 0/0RTA-serial 0/0firewall packet-filter 3000 outbound 使访问列表生效步骤三:检查配置效果完成上述配置之后，在PC1和PC2上分别ping网络B中的PC3和PC4，只有PC1可以ping通。在实验中，源地址和目的地址可以设定为同一子网中的其它地址。此处rule 0 permit ip source 0 destination 55所实现的允许源地址访问目标网络，是基本访问列表所不能实现的。步骤四：利用高级访问列表实现对上层协议的过滤要求：网络A中的PC1能够使用网络B中PC4提供的FTP服务，PC2则不行。对于其它的流量不做限制。首先，PC4上运行FTP Sever的软件，删除以前的ACL配置，此时PC1 、PC2的FTP都可以连到PC4上。在RTA上进行如下配置：RTAacl number 3000 match-order auto RTA-acl-adv-3000rule 0 permit tcp source 0 destination 0 destination-port eq 20 #允许特定主机访问特定主机的端口20。RTA-acl-adv-3000rule 1 permit tcp source 0 destination 0 destination-port eq 21 #允许特定主机访问特定主机的端口21。RTA-acl-adv-3000rule 2 deny tcp source 55 destination 0 destination-port eq 20 #禁止同一子网中的其它主机访问特定网络的端口20。RTA-acl-adv-3000rule 3 deny tcp source 55 destination 0 destination-port eq 21 #禁止同一子网中的其它主机访问特定网络的端口21。RTAfirewall enable #启动防火墙功能RTAinterface serial 0/0RTA-serial 0/0firewall packet-filter 3000 outbound 使访问列表生效上面的命令只允许访问的 FTP端口（控制端口20，数据端口21），“destination-port eq 20”中的destination-port表示目的端口，“eq”为端口操作符，表示“等于”。完成上述配置之后，在PC1和PC2上都可以ping通网络B中的PC3和PC4，只有PC1可以用FTP连到PC4上。五、 实验中的命令列表命令 描述acl number acl-number match-order config| auto在系统视图下，创建一个基本访问控制列表或创建一个高级访问列表。rule rule-idpermit|denysource soure-addr sour-wildcard| any time-range time-namelogging fragment vpn-instance vpn-instance-name在基本访问控制列表视图下，配置ACL规则rule rule-idpermit|deny protocol source soure-addr sour-wildcard| any destination dest-addr dest-mask | anysource-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code | icmp-messageprecedence precedencetos tos time-ra