1、Chapter 11 網絡安全技術ISSUE 2.0學習目標掌握一般防火墻技術掌握地址轉換技術學習完本課程，您應該能夠：課程內容第一節(jié) 防火墻第二節(jié) 地址轉換防火墻示意圖對路由器需要轉發(fā)的數據包，先獲取包頭信息，然后和設定的規(guī)則進行比較，根據比較的結果對數據包進行轉發(fā)或者丟棄。而實現包過濾的核心技術是訪問控制列表。未授權用戶公司總部內部網絡辦事處訪問控制列表的作用訪問控制列表可以用于防火墻；訪問控制列表可用于QoS（Quality of Service），對數據流量進行控制；訪問控制列表還可以用于地址轉換；在配置路由策略時，可以利用訪問控制列表來作路由信息的過濾。ACL的機理一個IP數據包如下

2、圖所示（圖中IP所承載的上層協議為TCP）：IP報頭TCP報頭數據協議號源地址目的地址源端口目的端口對于TCP來說，這5個元素組成了一個TCP相關，訪問控制列表就是利用這些元素定義的規(guī)則訪問控制列表的分類按照訪問控制列表的用途可以分為四類:基本的訪問控制列表（basic acl）高級的訪問控制列表（advanced acl）基于接口的訪問控制列表（interface-based acl）基于MAC的訪問控制列表（mac-based acl）訪問控制列表的標識利用數字標識訪問控制列表利用數字范圍標識訪問控制列表的種類列表的種類數字標識的范圍基于接口的訪問控制列表 10001999 基本的訪問控制

3、列表 20002999 高級的訪問控制列表 30003999 基于MAC地址訪問控制列表 40004999 基本訪問控制列表基本訪問控制列表只使用源地址描述數據，表明是允許還是拒絕。從/24來的數據包可以通過！從/24來的數據包不能通過！路由器基本訪問控制列表的配置配置基本訪問列表的命令格式如下：acl number acl-number match-order config | auto rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment v

4、pn-instance vpn-instanc-name 怎樣利用 IP 地址 和 反掩碼wildcard-mask 來表示一個網段?反掩碼的使用反掩碼和子網掩碼相似，但寫法不同：0表示需要比較1表示忽略比較反掩碼和IP地址結合使用，可以描述一個地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位高級訪問控制列表高級訪問控制列表使用除源地址外更多的信息描述數據包，表明是允許還是拒絕。從/24來的,到0的，使用TCP協議，利用HTTP訪問的數據包可以通過！路由器高級訪問控制列表的配置高級訪問控制列表規(guī)則的配置命令：rule rule-id permit

5、| deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message |icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-n

6、ame 高級訪問控制列表操作符操作符及語法意義eq portnumber等于端口號 portnumbergt portnumber 大于端口號portnumberlt portnumber 小于端口號portnumberneq portnumber不等于端口號portnumber range portnumber1 portnumber2介于端口號portnumber1 和portnumber2之間高級訪問控制列表舉例rule deny icmp source 55 destination any icmp-type host-redirect rule deny tcp source 55

7、destination 55 destination-port eq /16ICMP主機重定向報文TCP報文/16/24WWW 端口基于接口的訪問控制列表基于接口的訪問控制列表的配置acl number acl-number match-order config | auto rule permit | deny interface interface-name time-range time-name logging undo rule rule-id訪問控制列表的使用防火墻配置常見步驟：啟用防火墻定義訪問控制列表將訪問控制列表應用到接口上公司總部網絡啟用防火墻將訪問控制列表應用到接口上防火

8、墻的屬性配置命令打開或者關閉防火墻firewall enable | disable 設置防火墻的缺省過濾模式firewall default permit|deny 顯示防火墻的統計信息display firewall-statistics all | interface interface-name | fragments-inspect 打開防火墻包過濾調試信息開關debugging firewall all | icmp | tcp | udp | others interface interface-name 訪問控制列表的顯示訪問控制列表的顯示與調試display acl all

9、| acl-number reset acl counter all | acl-number 在接口上應用訪問控制列表將訪問控制列表應用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置：firewall packet-filter acl-number inbound | outbound match-fragments normally | exactly Ethernet0/0訪問控制列表3000作用在Ethernet0/0接口在out方向有效Serial0/0訪問控制列表2000作用在Serial0/0接口上在in方向上有效基于時間段的包過濾“特殊時間段內應用特殊的規(guī)則”上班時

10、間（上午8：00 下午5：00）只能訪問特定的站點；其余時間可以訪問其他站點時間段的配置命令time range 命令time-range time-name start-time to end-time days from time1 date1 to time2 date2 顯示 time range 命令display time-range all | time-name 訪問控制列表的組合一條訪問列表可以由多條規(guī)則組成，對于這些規(guī)則，有兩種匹配順序：auto和config。規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。深度的判斷要依靠通配比較位和

11、IP地址結合比較rule deny source 55 rule permit source 55 兩條規(guī)則結合則表示禁止一個大網段 （）上的主機但允許其中的一小部分主 機（）的訪問規(guī)則沖突時，若匹配順序為config，先配置的規(guī)則會被優(yōu)先考慮。實驗命令A路由器：第一步：配置rip路由Quidwayint e0/0Quidwayip address Quidwayint s3/0Quidwayip address QuidwayripQuidwaynetwork Quidwaynetwork 第二步：配置ACLQuidwayfirewall enableQuidwayfirewall default permitQuidwayacl number 3000 match-order auto Quidway-acl-adv-3000rule 0 deny ip source any destination any Quidway-acl-adv-3000rule 1 permit ip source 0 destination any Quidway-acl-adv-3000rule 2 permit ip source 0 destination anyQ