《防火墙ACL与IPX防火墙》由会员分享,可在线阅读,更多相关《防火墙ACL与IPX防火墙(18页珍藏版)》请在金锄头文库上搜索。
1、ACL与IPX防火墙,访问控制列表:Access Control List,ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。这张表中包含了匹配关系、条件和查询语句,目的是为了对某种访问进行控制。 信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。,ACL的作用,ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,
2、ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。,路由器使用ACL处理数据包的过程,存在进站ACL?,拒绝或允许?,查询路由表是否有到目标网络的路由?,拒绝或允许?,存在出站ACL?,N,N,N,Y,允许,拒绝,拒绝,Y,数据包,进入路由器接口的数据包,丢弃数据包,出站OUT,进站IN,访问控制列表(ACL)分类,标准IP ACL :
3、只对数据包的源IP地址进行检查 其列表号1-90或1300-1999。 扩展IP ACL : 对数据包的源和目标IP地址进行检查 源和目标端口号 其列表号100-199或2000-2699,访问控制列表命令格式,标准IP ACLAccess-list Access-list-number (deny/permit) source-address source-wildcard扩展IP ACL Access-list Access-list-number (deny/permit) protocol source-address source-wildcard operator port des
4、tination-address destination-wildcard operator port established log,命令字,访问控制列表编号,对符合匹配的数据包所采取的动作,数据包源地址通配符掩码,数据包源地址,数据包源地址,协议,数据包源地址通配符掩码,逻辑操作:eq、neq、gt、lt、rage,判断包头的ACK,若设置,则匹配,ACL配置实例:允许一个源通信量通过,Permitting Traffic from Source Network 172.16.0.0 access-list 1 permit 172.16.0.0 0.0.255.255 interface
5、 ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,FTP服务器 Web服务器,ACL配置:外网只能访问WEB不能访问FTP,access-list 110 permit 172.16.3.0 0.0.0.255 host 172.16.4.13 eq 21 access-list 110 permit 172.16.3.0 0.0.0.255 host 172.16.4.13 eq 20 access-list 110 deny any host 172.16.4.13 eq 21 acce
6、ss-list 110 deny any host 172.16.4.13 eq 20 access-list 110 permit any host 172.16.4.13 eq 80 interface ethernet 1 ip access-group 110 out,FTP服务器 Web服务器,9,PIX防火墙,PIX防火墙简介,PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。具有Cisco的先进技术: 包括专用自适应安全算法 基于标准的VPN支持 入侵检测以及许多其他丰富的特征 为任何需要维护计算机网络的用户或组织提供了一个有效的解决方案。,10,PIX系列
7、产品,Cisco Secure PIX 535防火墙Cisco Secure PIX 525防火墙Cisco PIX 501 防火墙,PIX防火墙的配置模式,PIX防火墙的配置模式与路由器类似,有4种管理模式: PIXfirewall:用户模式 PIXfirewall#:特权模式 PIXfirewall(config)#:配置模式 monitor:ROM监视模式,开机按住Esc键或发送一个“Break”字符,进入监视模式。,PIX防火墙的配置,1、基本配置 1)连接到PIX (1) 用串行电缆PC连到CONSOL口 (2) 仿真终端连到PC的COM (3) 打开PIX,显示非特权模式 Pixf
8、irewall (4) 键入enable,输入密码(最初无密码)进入特权模式 Pixfirewall#,PIX防火墙的配置,(5)进入配置模式,设置启动密码; Pixfirewall#configure terminal Pixfirewall (config) #enable password (6)允许内部网络对控制台的telnet访问 Pixfirewall (config) #telnet 0.0.0.0 0.0.0.0 inside (7)设置TELNET密码 Pixfirewall (config) # password Pixfirewall (config) #write me
9、mory,PIX防火墙的配置,2)接口识别 Pixfirewall# show nameif Nameif ethernet0 outside security0 Nameif ethernet0 inside security100 为一个接口分配一个名字 Nameif hardware_id name security_level,2.命令行接口(command line interface,CLI),非特权模式:仅能用enable、quit、page命令 Pixfirewall 特权模式:能用show、debug、reload命令 Pixfirewall enable Pixfirewa
10、ll# 配置模式:进行配置 Pixfirewall# configure terminal Pixfirewall (config) #,3、IP配置,1) IP地址 Ip address interface-name netmask ping测试配置地址的连通性 2)默认路由 Route interface-name ip_address netmask gateway_ip(metric) 例如: Pixfirewall enable Pixfirewall# configure terminal Pixfirewall (config) # Route outside 0 0 202.1
11、39.22.1 3)静态路由 Pixfirewall (config) # Route inside 192.168.0.1 255.255.255.0 0 192.168.0.2 1,PIX 配置实例,1、保护一个私有网络 1)为每个接口配置名字和安全值 Pixfirewall (config) #write terminal Nameif ethernet0 public security0 Nameif ethernet0 finance security100 2)把接口设置为10/100自协商 Interface ethernet0 inside auto Interface eth
12、ernet1 outside auto 3) 为接口分配IP地址 IP address public 192.168.2.1 255.255.255.0 IP address finance 192.168.1.1 255.255.255.0,4) 建立ACL规则。 Access-list deny tcp any 192.168.1.0 255.255.255.0 eq any Access-list deny udp any 192.168.1.0 255.255.255.0 eq any 5) 把ACL应用到接口 Access-group acl_out in interface public 6) 指定TELNET登陆到PIX的客户 telnet 192.168.1.0 255.255.255.0 public telnet 192.168.2.0 255.255.255.0 finance,
