《网络安全-第一次实验》由会员分享,可在线阅读,更多相关《网络安全-第一次实验(26页珍藏版)》请在金锄头文库上搜索。
1、实验1 防火墙的连接 串口连接 telnet连接 Web界面连接1234华3 f100基础命令 dis cu 显示当前配置信息 普通视图中save,保存当前配置 系统配置视图中quit,当前视图退出 进入接口视图,配置ip 命令行中敲?,可以显示各种命令的用法2 防火墙中ACL的使用 需求:假设防火墙IP地址为192.168.0.1, 实验机器的IP为192.168.0.2,现要封IP为 192.168.0.2的ping数据包。 防火墙为了过滤数据包,需要配置一系列 的规则,以决定什么样的数据包能够通过 ,这些规则就是通过访问控制列表ACL( Access Control List)定义的。
2、按照访问控制列表的用途,可以分为四类: 基本的访问控制列表(basic acl) 高级的访问控制列表(advanced acl) 基于接口的访问控制列表(interface-based acl) 基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指 定的,10001999是基于接口的访问控制列表, 20002999范围的访问控制列表是基本的访问控 制列表,30003999范围的访问控制列表是高级 的访问控制列表,40004999范围的访问控制列 表是基于MAC地址访问控制列表。 可以使用如下命令创建一个访问控制列表: acl number acl-
3、number match-order config | auto match-order config:指定匹配该规则时按用户的配置顺序。 match-order auto:指定匹配该规则时系统自动排序,即按“深度 优先”的顺序。 使用如下的命令删除一个或所有的访问控制列表: undo acl number acl-number | all 例如 sys 进入配置视图 acl number 3000 进入了ACL视图之后,就可以配置ACL的规则了 创建1个访问控制列表可以使用如下的命令定义一个基本访问控制列表的规则: rule rule-id permit | deny source sour
4、-addr sour-wildcard | any time-range time-name logging fragment vpn- instance vpn-instance-name rule-id:可选参数,ACL规则编号,范围为065534 permit:允许符合条件的数据包。 deny:丢弃符合条件的数据包。 source:可选参数,指定ACL规则的源地址信息。如果不指定,表示报 文的任何源地址都匹配。 sour-addr:数据包的源地址,点分十进制表示。 sour-wildcard:源地址通配符,点分十进制表示。 any:表示所有源地址,作用与源地址是0.0.0.0,通配符是2
5、55.255.255.255 相同。 可以使用如下命令删除一个基本访问控制列表的规则: undo rule rule-id source time-range logging fragment vpn-instance 可以使用如下的命令定义一个高级访问控制列表规则: rule rule-id permit | deny protocol source sour- addr sour-wildcard | any destination dest-addr dest-wildcard | any soucre-port operator port1 port2 destination-port
6、 operator port1 port2 icmp-type icmp-message | icmp-type icmp-code dscp dscp established precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instance-name protocol:用名字或数字表示的IP承载的协议类型。数字范围为1 255;名称取值范围为:gre、icmp、igmp、ip、ipinip、ospf、 tcp、udp。 destination:可选参数,指定ACL规则的目
7、的地址信息。如果不 配置,表示报文的任何目的地址都匹配。 icmp-type:可选参数,指定ICMP报文的类型和消息码信息,仅仅在报文协议是ICMP的情况下有 效。如果不配置,表示任何ICMP类型的报文都匹配。 icmp-type:ICMP包可以依据ICMP的消息类型进行过滤。取值为0255的数字。 icmp-code:依据ICMP的消息类型进行过滤的ICMP包也可以依据消息码进行过滤。取值为0255 的数字。 icmp-message:ICMP包可以依据ICMP消息类型名称或ICMP消息类型和码的名称进行过滤。 source-port:可选参数,指定UDP或者TCP报文的源端口信息,仅仅在规
8、则指定的协议号是TCP 或者UDP有效。如果不指定,表示TCP/UDP报文的任何源端口信息都匹配。 destination-port:可选参数,指定UDP或者TCP报文的目的端口信息,仅仅在规则指定的协议号 是TCP或者UDP有效。如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配。 operator:可选参数。比较源或者目的地址的端口号的操作符,名字及意义如下:lt(小于),gt( 大于),eq(等于),neq(不等于),range(在范围内)。只有range需要两个端口号做操作数 ,其他的只需要一个端口号做操作数。 port1,port2:可选参数。TCP或UDP的端口号,用名称或
9、数字表示,数字的取值范围为065535 。 logging:可选参数,是否对符合条件的数据包做日志。日志内容包括访问控制列表规则的序号, 数据包允许或被丢弃,IP承载的上层协议类型,源/目的地址,源/目的端口号,数据包的数目。目 前支持此选项的业务只有包过滤防火墙(在接口下被firewall packet-filter命令引用)。 进入访问控制列表视图添加规则进入某端口视图添加该过滤规则实验结果表明icmp包过不了,telnet 可以ACL对分片报文的支持 传统的包过滤并不处理所有IP报文分片,而是只对第一个(首片)分 片报文进行匹配处理,后续分片一律放行。这样,网络攻击者可能构 造后续的分片
10、报文进行流量攻击,就带来了安全隐患。 在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对 非首片分片报文有效,而对非分片报文和首片分片报文则忽略此规则 。而不包含此关键字的配置规则项对所有报文均有效。 H3C-acl-basic-2000 rule deny source 202.101.1.0 0.0.0.255 fragment H3C-acl-basic-2000 rule permit source 202.101.2.0 0.0.0.255 H3C-acl-adv-3001 rule permit ip destination 171.16.23.1 0 fra
11、gment H3C-acl-adv-3001 rule deny ip destination 171.16.23.2 0上述规则项中,所有项对非首片分片报文均有效;第一,三项对非分 片和首片分片报文是被忽略的,仅仅对非首片分片报文有效。注意的问题 不同的系统版本命令配置可能有差异 防火墙和路由器命令配置可能有差异 但基本类似学生实践环节 实验1 PC机联通防火墙 登录防火墙,设置Ethernet0/0 IP地址,设置 PC机IP地址,互相ping通防火墙PCEthernet 0/0 192.168.0.1/24192.168.0.2/24学生实践环节 实验2 ACL应用 要求PC机ping不
12、通防火墙,防火墙可ping通 PC机 PC机可telnet防火墙,PC机不可ftp到防火墙防火墙PCEthernet 0/0 192.168.0.1/24192.168.0.2/24学生实践环节 实验3 网络联通实验 PC A 和PC B要互相PING通 防火墙A为白名单模式,防火墙B为黑名单模式 PC A建立web网站,PC B可访问PC A的web网站但不能远程桌面到PC A(远程桌面端口为3389) PC A在10点30分11点可以PING通PC B,其他时间则不通防火墙 APC AEthernet 0/0 192.168.0.1/24192.168.0.2/24防火墙 BPC BEthernet 0/4 10.1.1.1/24Ethernet 0/4 10.1.1.2/24Ethernet 0/0 172.16.0.1/24172.16.0.2/24
