实验七、防火墙基本配置讲解(共9页).doc
《实验七、防火墙基本配置讲解(共9页).doc》由会员分享,可在线阅读,更多相关《实验七、防火墙基本配置讲解(共9页).doc(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上实验七 交换机基本配置一、 实验目的(1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面;(2)掌握Quidway S系列中低端交换机几种常用配置方法;(3)掌握Quidway S系列中低端交换机基本配置命令。二、实验环境Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。交换机,标准Console配置线。三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。预备知识1、防火
2、墙防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。2、包过滤技术一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。3、访问控制列表路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Contro
3、l List)定义的。访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。访问控制列表(Access Control List )的作用l访问控制列表可以用于防火墙;l访问控制列表可用于Qos(Quality of Service),对数据流量进行控制;l访问控制列表还可以用于地址转换;l在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示(图中IP所承载的上层协议为
4、TCP) ACL示意图ACL的分类按照访问控制列表的用途,可以分为四类:l 基本的访问控制列表(basic acl)l 高级的访问控制列表(advanced acl)l 基于接口的访问控制列表(interface-based acl)l 基于MAC的访问控制列表(mac-based acl)访问控制列表的使用用途是依靠数字的范围来指定的,10001999是基于接口的访问控制列表,20002999范围的数字型访问控制列表是基本的访问控制列表,30003999范围的数字型访问控制列表是高级的访问控制列表,40004999范围的数字型访问控制列表是基于MAC地址访问控制列表。4、防火墙的配置项目防火
5、墙的配置包括:l允许/禁止防火墙l配置标准访问控制列表l配置扩展访问控制列表l配置在接口上应用访问控制列表的规则l设置防火墙的缺省过滤方式l设置特殊时间段l指定日志主机允许/禁止防火墙在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。请在系统视图下进行下列配置。表1 允许/禁止防火墙操作命令启动防火墙firewall enable 禁止防火墙firewall disable缺省情况下,防火墙处于“启动”状态。配置标准访问控制列表标准访问控制列表序号可取值199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不
6、配置匹配顺序的话,按照auto方式进行。请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。表2 配置标准访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto 配置标准访问列表规则rule normal | special permit | deny source source-addr source-wildcard | any 删除特定的访问列表规则undo rule rule-id | normal | special删除访问列表undo acl acl-number| all n
7、ormal指该规则是在普通时间段内起起用;special指该规则是在特殊时间段内起作用,使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下,为normal时间段。配置扩展访问控制列表扩展访问控制列表可取值100199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。表3 配置扩展访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl ac
8、l-number match-order config | auto 配置TCP/UDP协议的扩展访问列表规则rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging配置ICMP协议的扩展访问列表规则rule normal | specia
9、l permit | deny ICMP source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging删除特定的访问列表规则undo rule rule-id | normal | special删除访问列表undo acl acl-number| all 从表2和表3中的rule配置命令的参数中可以看出标准列表仅能对source数据源作规则设置,而扩展控制列表则还可以对destination目的地址进行规则设置。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 防火墙 基本 配置 讲解
限制150内