收藏
下载资源

实验8 防火墙访问控制列表acl配置实验

上传人:mg****85 文档编号:49490005 上传时间:2018-07-29 格式:PPT 页数:26 大小:875KB
返回 下载 相关 举报
实验8 防火墙访问控制列表acl配置实验_第1页
第1页 / 共26页
实验8 防火墙访问控制列表acl配置实验_第2页
第2页 / 共26页
实验8 防火墙访问控制列表acl配置实验_第3页
第3页 / 共26页
实验8 防火墙访问控制列表acl配置实验_第4页
第4页 / 共26页
实验8 防火墙访问控制列表acl配置实验_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《实验8 防火墙访问控制列表acl配置实验》由会员分享,可在线阅读,更多相关《实验8 防火墙访问控制列表acl配置实验(26页珍藏版)》请在金锄头文库上搜索。

1、华为3Com培训中心华为华为3Com3Com公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播Chapter 11 网络安全技术ISSUE 2.0ISSUE 2.02学习目标l掌握一般防火墙技术l掌握地址转换技术学习完本课程,您应该能够:3课程内容第一节第一节 防火墙防火墙第二节第二节 地址转换地址转换4防火墙示意图l对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处5访问控制列表的作用l访问控制列表可以用于防火墙;l访问控制列表可用于QoS(Q

2、uality of Service),对数据流量进行控制;l访问控制列表还可以用于地址转换;l在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。6ACL的机理l一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组 成了一个TCP相关,访问控 制列表就是利用这些元素定 义的规则7访问控制列表的分类l按照访问控制列表的用途可以分为四类:基本的访问控制列表(basic acl)高级的访问控制列表(advanced acl)基于接口的访问控制列表(interface-based acl)基于MAC的访

3、问控制列表(mac-based acl)8访问控制列表的标识l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表 10001999 基本的访问控制列表 20002999 高级的访问控制列表 30003999 基于MAC地址访问控制列表 40004999 9基本访问控制列表l基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从 202.110.10.0/24 来的数据包可以 通过!从 192.110.10.0/24 来的数据包不能 通过!路由器10基本访问控制列表的配置l配置基本访问列表的命令格式如下:acl number acl-

4、number match-order config | auto rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment vpn-instance vpn-instanc-name 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?11反掩码的使用l反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较l反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位02552

5、55255只比较前8位12高级访问控制列表l高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的, 到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!路由器13高级访问控制列表的配置l高级访问控制列表规则的配置命令:rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any soucre-port operator port1 port2 d

6、estination-port operator port1 port2 icmp-type icmp-message |icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name 14高级访问控制列表操作符操作符及语法意义eq portnumber等于端口号 portnumbergt portnumber 大于端口号portnumberlt portnumber 小于端口号portnumberneq portnumbe

7、r不等于端口号portnumberrange portnumber1 portnumber2介于端口号portnumber1 和portnumber2之间15高级访问控制列表举例lrule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect lrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging 10.1.0.0/16ICMP主

8、机重定向报文TCP报文129.9.0.0/16202.38.160.0/24WWW 端口16基于接口的访问控制列表l基于接口的访问控制列表的配置acl number acl-number match-order config | auto rule permit | deny interface interface-name time-range time-name logging undo rule rule-id17访问控制列表的使用l防火墙配置常见步骤:启用防火墙定义访问控制列表将访问控制列表应用到接口上公司总部网络启用防火墙将访问控制列表应用到接 口上18防火墙的属性配置命令l打开或者

9、关闭防火墙firewall enable | disable l设置防火墙的缺省过滤模式firewall default permit|deny l显示防火墙的统计信息display firewall-statistics all | interface interface-name | fragments-inspect l打开防火墙包过滤调试信息开关debugging firewall all | icmp | tcp | udp | others interface interface-name 19访问控制列表的显示l访问控制列表的显示与调试display acl all | acl-

10、number reset acl counter all | acl-number 20在接口上应用访问控制列表l将访问控制列表应用到接口上l指明在接口上是OUT还是IN方向l在接口视图下配置:firewall packet-filter acl-number inbound | outbound match-fragments normally | exactly Ethernet0/0访问控制列表3000 作用在Ethernet0/0接 口 在out方向有效 Serial0/0访问控制列表2000 作用在Serial0/0接口 上 在in方向上有效21基于时间段的包过滤l“特殊时间段内应用

11、特殊的规则”上班时间 (上午8:00 下午5:00) 只能访问特定的站点;其余 时间可以访问其他站点22时间段的配置命令ltime range 命令time-range time-name start-time to end-time days from time1 date1 to time2 date2 l显示 time range 命令display time-range all | time-name 23访问控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。l规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将

12、会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较 rule deny source 202.38.0.0 0.0.255.255 rule permit source 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问l规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。24实验命令A路由器: 第一步:配置rip路由 Quidwayint e0/0 Quidwayip address 192.168.0.1 255.255.255.0 Quidwayin

13、t s3/0 Quidwayip address 212.0.0.1 255.255.255.0 Quidwayrip Quidwaynetwork 192.168.0.0 Quidwaynetwork 212.0.0.0 第二步:配置ACL Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl number 3000 match-order auto Quidway-acl-adv-3000rule 0 deny ip source any destination any 25Quidway-acl-adv-3000

14、rule 1 permit ip source 192.168.0.1 0 destination any Quidway-acl-adv-3000rule 2 permit ip source 192.168.0.2 0 destination anyQuidwayint e 0/0Quidway-Ethernet0/0firewall packet-filter 3000 inbound 第三步:验证主机配置IP地址等,用Ping命令测试主机第一次:ip:192.168.0.2 submask:255.255.255.0 gateway: 192.168.0.1第二次:ip: 192.168.0.3 submask:255.255.255.0 gateway: 192.168.0.1华为3Com技术有限公司华为3Com公司网址: www.huawei-华为3Com技术论坛网址: forum.huawei-

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号