收藏
下载资源

网络设备配置与管理 09

上传人:ahu****ng1 文档编号:146163498 上传时间:2020-09-27 格式:PPTX 页数:33 大小:353.76KB
返回 下载 相关 举报
网络设备配置与管理 09_第1页
第1页 / 共33页
网络设备配置与管理 09_第2页
第2页 / 共33页
网络设备配置与管理 09_第3页
第3页 / 共33页
网络设备配置与管理 09_第4页
第4页 / 共33页
网络设备配置与管理 09_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《网络设备配置与管理 09》由会员分享,可在线阅读,更多相关《网络设备配置与管理 09(33页珍藏版)》请在金锄头文库上搜索。

1、第9章 防火墙及其基本配置,9.1 防火墙概述,9.1.1 防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。 典型的防火墙建立在一个服务器或主机的机器上,也称为“堡垒主机”,它是一个多边协议路由器。这个堡垒主机连接两个网络,一边与内部网相连,另一边与因特

2、网相连。,1.防火墙的发展 2.防火墙的功能 防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。 (1)保护网络的安全性功能 (2)网络监控审计功能 (3)屏蔽内网信息外泄功能 (4)NAT和VPN 3.防火墙的缺陷,9.1.2 防火墙的分类,1.按组成结构分类 (1)软件防火墙 (2)硬件防火墙 (3)芯片级防火墙 2.按防火墙的技术原理分类 (1)包过滤防火墙 (2)代理防火墙 应用层网关防火墙 电路层网关 (3)状态监视防火墙,9.1.3 防火墙的体系结构,1.屏蔽路由器(Screenin

3、g router)结构 2.双穴主机网关(Dual Homed Gateway)结构 3.屏蔽主机网关(Screened Host Gateway)结构 4.屏蔽子网(Screened Subnet)结构,9.2 防火墙的相关产品及其选购,9.2.1 防火墙相关产品 1.软件防火墙Check Point Firewall Software Blade 2.硬件防火墙Cisco PIX Firewall 520 3.芯片级硬件防火墙方正方通防火墙,9.2.2 防火墙的选购策略,1.安全性 2.性能 3.管理 4.适用性 5.售后服务,9.2.3 防火墙的发展趋势,(1)多功能 (2)防病毒 (3

4、)灵活的代理系统 (4)简化的安装与管理 (5)多级的过滤技术 (6)Internet网关技术 (7)安全服务器网络(SSN) (8)审计和告警,9.3 IP访问列表的配置,9.3.1 访问列表概述 (1)IP访问控制列表(IP access lists) IP访问控制列表用于过滤IP报文,包括TCP和UDP。它可细分为标准IP访问控制列表和扩展IP访问控制列表。 标准IP访问控制列表(Standard IP access lists)只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问控制列表(Extended IP access

5、lists)不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。 (2)现代访问控制列表 现代访问控制列表是在IP访问控制列表的基础上实现的灵活性更大的ACL列表方式。它包括动态访问控制列表、基于时间的访问控制列表、自反的访问控制列表和基于命名的访问控制列表。,9.3.2 标准IP访问列表的配置,1.标准IP访问列表的配置命令 (1)定义标准ACL命令 Firewall(config)#access-list list number permit|deny host/any source address wildcard-mask log 下面对标准IP访问

6、表基本格式中的各项参数进行解释: list number:即表号范围,标准IP访问表的表号标识范围是199。 permit/deny:允许或拒绝,关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤。permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃。 source address:源地址,对于标准的IP访问列表,源地址是主机或一组主机的点分十进制表示,如:210.43.32.10。 host/any:主机匹配,host和any分别用于指定单个主机和所有主机,其中host表示一种精确的匹配,其屏蔽码为0.0.0.0。any是源地证

7、/目标地址0.0.0.0/255.255.255.255的简写。 wildcardmask:通配符屏蔽码,Cisco访问表功能所支持的通配符屏蔽码与子网掩码的方式是刚好相反的,也就是说,二进制的0表示一个“匹配”条件,二进制的1表示一个“不匹配”条件。,(2)应用访问列表到接口命令 应用访问列表到接口命令:Firewall(config-if)#ip access-group access-list-number in|out 参数注意: access-list-number: 标准ACL的表号范围为199。 In:通过接口进入路由器的报文。 Out:通过接口离开路由器的报文。 (3)显示所有

8、协议的访问列表配置细节 显示所有协议的访问列表配置细节的配置命令:Firewall(config)#show access-list access-list-number。 (4)显示IP访问列表 显示IP访问列表的配置命令:Firewall(config)#show ip access-list access-list-number。,2.标准ACL配置举例 (1)只允许网络192.168.0.0的数据通过,而阻塞其他所有的数据,配置命令如下: Firewall(config) # access-list 1 permit 192.168.0.0 0.0.0.255 Firewall(con

9、fig) # interface fa0/0 Firewall(config-if) # ip access-group 1 out Firewall(config) # interface fa0/1 Firewall(config-if) # ip access-group 1 out (2)阻塞来自一个特定主机192.168.0.1的通信流量,而把所有的其他的通信流量从fa0/0接口转发出去,配置命令如下: Firewall(config) # access-list 1 deny host 192.168.0.1 Firewall(config) # access-list 1 per

10、mit any Firewall(config) #int f0/0 Firewall(config-if) # ip access-group 1 out (3)阻塞来自一个特定子网10.0.0.0的通信流量,而允许所有其他的通信流量,并把它们转发出去,配置命令如下: Firewall(config) # access-list 1 deny 10.0.0.0 0.255.255.255 Firewall(config) # access-list 1 permit any Firewall(config) # interface fa0/0 Firewall(config-if) # ip

11、 access-group 1 out,9.3.3 扩展IP访问列表的配置,1.配置扩展访问列表相关命令 (1)命令及格式 Firewall(config)#access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port options 参数注意: access-list-number:编号范围为100199。 Permit:通过;deny:禁止通过。 p

12、rotocol:需要被过滤的协议,如IP、TCP、UDP、ICMP、EIGRP、GRE等。 source-address :源IP地址。 source-wildcard:源通配符掩码。 source-port:源端口号,可以是单一的某个端口,也可以是一个端口范围。端口号可以使用一个数字或一个可识别的助记符显式地指定。例如,可以使用80或http来指定Web的超文本传输协议。端口的相关运算符如表9-3所示。,(2)将访问列表应用到接口的命令 访问列表应用到接口的命令:Firewall(config-if)#ip access-group access-list-number in|out。 参数

13、注意: access-list-number: 扩展ACL的表号范围为100199。 In:通过接口进入路由器的报文。 Out:通过接口离开路由器的报文。 (3)显示所有协议的访问列表配置细节 显示所有协议的访问列表配置细节的配置命令:Firewall(config)#show access-list access-list-number。 (4)显示IP访问列表 显示IP访问列表的配置命令:Firewall(config)#show ip access-list access-list-number。,2.扩展ACL配置举例 (1)只允许210.43.32.0网络的WWW数据到达网络192.

14、168.0.0,其他数据全部拒绝,配置命令如下: Firewall(config)# access-list 101 permit tcp 210.43.32.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 80 Firewall(config)# interface fa0/0 Firewall(config-if)# ip access-group 101 out (2)拒绝210.43.32.0网络的FTP 数据通过fa0/0 到达网络192.168.0.0,其他信息流均可通过,配置命令如下: Firewall(config)# access-list 101

15、deny tcp 210.43.32.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 21 Firewall(config)# access-list 101 permit ip 210.43.32.0 0.0.0.255 any Firewall(config)# interface fa0/0 Firewall(config-if)# ip access-group 101 out (3)仅拒绝从210.43.32.0通过fa0/0 发往别处的Telnet数据,而允许所有其他来源的数据,配置命令如下: Firewall(config)# access-list 1

16、01 deny tcp 210.43.32.0 0.0.0.255 any eq 23 Firewall(config)# access-lisst 101 permit ip any any Firewall(config)# interface fa0/0 Firewall(config-if)# ip access-group 101 out,9.4 现代访问控制列表的配置,9.4.1 命名访问列表配置 1.标准命名ACL 命名ACL允许使用一个字母、数字组合的字符串来表示ACL表号。 (1)配置标准命名ACL的命令: Firewall(config)#ip access-list standard name Firewall(config)#Deny|permit source address wildcard Firewall(config-if)#ip access-group name in|out (2)设计一个标准命名ACL,以用于阻塞来自一个特定子网192.168.0.0的通信流量,而允许所有其他通信流量,并把它们转发出去,配置命令如下: Firewal

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号