實(shí)驗(yàn)8防火墻訪問控制列表ACL配置實(shí)驗(yàn).ppt

Chapter11網(wǎng)絡(luò)安全技術(shù),ISSUE2.0,2,學(xué)習(xí)目標(biāo),掌握一般防火墻技術(shù)掌握地址轉(zhuǎn)換技術(shù),學(xué)習(xí)完本課程，您應(yīng)該能夠：,3,課程內(nèi)容,第一節(jié)防火墻第二節(jié)地址轉(zhuǎn)換,4,防火墻示意圖,對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表。,5,路由器實(shí)現(xiàn)防火墻功能,IP報(bào)文轉(zhuǎn)發(fā)機(jī)制,IPPacket,IPPacket,網(wǎng)絡(luò)層,數(shù)據(jù)鏈路層,規(guī)則查找機(jī)制,輸入報(bào)文規(guī)則庫(kù),手工配置,規(guī)則生成機(jī)制,手工配置,規(guī)則生成機(jī)制,規(guī)則查找機(jī)制,輸出報(bào)文規(guī)則庫(kù),由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作：丟棄或轉(zhuǎn)發(fā),由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作：丟棄或轉(zhuǎn)發(fā),6,訪問控制列表的作用,訪問控制列表可以用于防火墻；訪問控制列表可用于QoS（QualityofService），對(duì)數(shù)據(jù)流量進(jìn)行控制；在DCC中，訪問控制列表還可用來規(guī)定觸發(fā)撥號(hào)的條件；訪問控制列表還可以用于地址轉(zhuǎn)換；在配置路由策略時(shí)，可以利用訪問控制列表來作路由信息的過濾。,7,ACL的機(jī)理,一個(gè)IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP）：,8,訪問控制列表的分類,按照訪問控制列表的用途可以分為四類:基本的訪問控制列表（basicacl）高級(jí)的訪問控制列表（advancedacl）基于接口的訪問控制列表（interface-basedacl）基于MAC的訪問控制列表（mac-basedacl）,9,訪問控制列表的標(biāo)識(shí),利用數(shù)字標(biāo)識(shí)訪問控制列表利用數(shù)字范圍標(biāo)識(shí)訪問控制列表的種類,10,基本訪問控制列表,基本訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。,11,基本訪問控制列表的配置,配置基本訪問列表的命令格式如下：aclnumberacl-numbermatch-orderconfig|autorulerule-idpermit|denysourcesour-addrsour-wildcard|anytime-rangetime-nameloggingfragmentvpn-instancevpn-instanc-name,怎樣利用IP地址和反掩碼wildcard-mask來表示一個(gè)網(wǎng)段?,12,反掩碼的使用,反掩碼和子網(wǎng)掩碼相似，但寫法不同：0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。,13,高級(jí)訪問控制列表,高級(jí)訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。,14,高級(jí)訪問控制列表的配置,高級(jí)訪問控制列表規(guī)則的配置命令：rulerule-idpermit|denyprotocolsourcesour-addrsour-wildcard|anydestinationdest-addrdest-mask|anysoucre-portoperatorport1port2destination-portoperatorport1port2icmp-typeicmp-message|icmp-typeicmp-codeprecedenceprecedencetostostime-rangetime-nameloggingfragmentvpn-instancevpn-instanc-name,15,高級(jí)訪問控制列表操作符,16,高級(jí)訪問控制列表舉例,ruledenyicmpsource55destinationanyicmp-typehost-redirect,ruledenytcpsource55destination55destination-porteqwwwlogging,17,基于接口的訪問控制列表,基于接口的訪問控制列表的配置aclnumberacl-numbermatch-orderconfig|autorulepermit|denyinterfaceinterface-nametime-rangetime-nameloggingundorulerule-id,18,訪問控制列表的使用,防火墻配置常見步驟：?jiǎn)⒂梅阑饓Χx訪問控制列表將訪問控制列表應(yīng)用到接口上,19,防火墻的屬性配置命令,打開或者關(guān)閉防火墻firewallenable|disable設(shè)置防火墻的缺省過濾模式firewalldefaultpermit|deny顯示防火墻的統(tǒng)計(jì)信息displayfirewall-statisticsall|interfaceinterface-name|fragments-inspect打開防火墻包過濾調(diào)試信息開關(guān)debuggingfirewallall|icmp|tcp|udp|othersinterfaceinterface-name,20,訪問控制列表的顯示,訪問控制列表的顯示與調(diào)試displayaclall|acl-numberresetaclcounterall|acl-number,21,在接口上應(yīng)用訪問控制列表,將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置：firewallpacket-filteracl-numberinbound|outboundmatch-fragmentsnormally|exactly,22,基于時(shí)間段的包過濾,“特殊時(shí)間段內(nèi)應(yīng)用特殊的規(guī)則”,23,時(shí)間段的配置命令,timerange命令time-rangetime-namestart-timetoend-timedaysfromtime1date1totime2date2顯示timerange命令displaytime-rangeall|time-name,24,訪問控制列表的組合,一條訪問列表可以由多條規(guī)則組成，對(duì)于這些規(guī)則，有兩種匹配順序：auto和config。規(guī)則沖突時(shí)，若匹配順序?yàn)閍uto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會(huì)優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledenysource55rulepermitsource55兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段（）上的主機(jī)但允許其中的一小部分主機(jī)（）的訪問規(guī)則沖突時(shí)，若匹配順序?yàn)閏onfig，先配置的規(guī)則會(huì)被優(yōu)先考慮。,25,實(shí)驗(yàn)命令,A路由器：第一步：配置rip路由Quidwayinte0/0QuidwayipaddressQuidwayints3/0QuidwayipaddressQuidwayripQuidwaynetworkQuidwaynetwork第二步：配置ACLQuidwayfirewallenableQuidwayfirewalldefaultpermitQuidwayaclnumber3000match-orderautoQuidway-acl-adv-3000rule0denyipsourceanydestinationany,26,Quidway-acl-adv-3000rule1permitipsource0destinationanyQuidway-acl-adv-3000rule2permitipsource0destinationanyQuidwayinte0/0Quidway-Ethernet0/0firewallpacket-filter3000inbound第三步：驗(yàn)證主機(jī)配置IP地址等，用Ping命令測(cè)試連接對(duì)面的主機(jī)第一次：ip:submask:gateway:第二次：ip:submask:gateway:,27,B路由器：第一步：配置rip路由Quidwayinte0/0QuidwayEthernet0/0ipaddressQuidwayints3/0Quidwayserial3/0ipaddressQuidwayripQuidwaynetworkQuidwaynetwork第二步：配置ACLQuidwayfirewallenableQuidwayfirewalldefaultpermitQuidwayaclnumber3000match-orderautoQuidway-acl-adv-3000rule0denyipsourceanydestinationany,28,Quidway-acl-adv-3000rule1permitipsource0destinationanyQuidway-acl-adv-3000rule2permitipsource0destinationanyQuidwayinte0/0Quidway-Ethernet0/0firewallpacket-filter3000inbound第三步：驗(yàn)證