实验防火墙访问控制列表配置实验.ppt
《实验防火墙访问控制列表配置实验.ppt》由会员分享,可在线阅读,更多相关《实验防火墙访问控制列表配置实验.ppt(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、实验防火墙访问控制列实验防火墙访问控制列表配置实验表配置实验现在学习的是第1页,共29页学习目标学习目标l掌握一般防火墙技术掌握一般防火墙技术l掌握地址转换技术掌握地址转换技术学习完本课程,您应该能够:学习完本课程,您应该能够:现在学习的是第2页,共29页课程内容课程内容现在学习的是第3页,共29页防火墙示意图防火墙示意图l对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处现在学习的是第4页,共29页路由器实现防火墙功能路由器实现防火墙功能IP报文转发机制IP Pac
2、ketIP Packet网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作:丢弃或转发由规则决定报文转发动作:丢弃或转发现在学习的是第5页,共29页访问控制列表的作用访问控制列表的作用l访问控制列表可以用于防火墙;l访问控制列表可用于QoS(Quality of Service),对数据流量进行控制;l在DCC中,访问控制列表还可用来规定触发拨号的条件;l访问控制列表还可以用于地址转换;l在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。现在学习的是第6页,共29页ACL的机理的机理l一个IP数据包如下图所
3、示(图中IP所承载的上层协议为TCP):IP报头报头TCP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则现在学习的是第7页,共29页访问控制列表的分类访问控制列表的分类l按照访问控制列表的用途可以分为四类:基本的访问控制列表(basic acl)高级的访问控制列表(advanced acl)基于接口的访问控制列表(interface-based acl)基于MAC的访问控制列表(mac-based acl)现在学习的是第8页,共29页访问控制列表的标识访问控制列表的标识l
4、利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表 10001999 基本的访问控制列表 20002999 高级的访问控制列表 30003999 基于MAC地址访问控制列表 40004999 现在学习的是第9页,共29页基本访问控制列表基本访问控制列表l基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器现在学习的是第10页,共29页基本访问控制列表的配置基本访问控制列表的配置l配置基本访问列表的命令格式如下:acl num
5、ber acl-number match-order config|auto rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging fragment vpn-instance vpn-instanc-name 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?现在学习的是第11页,共29页反掩码的使用反掩码的使用l反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较l反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前2
6、4位003255只比较前22位0255255255只比较前8位现在学习的是第12页,共29页高级访问控制列表高级访问控制列表l高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器现在学习的是第13页,共29页高级访问控制列表的配置高级访问控制列表的配置l高级访问控制列表规则的配置命令:rule rule-id permit|deny protocol source sour-addr sour-wildcard|any destination des
7、t-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name 现在学习的是第14页,共29页高级访问控制列表操作符高级访问控制列表操作符操作符及语法操作符及语法意义意义eq portnumber等
8、于端口号等于端口号 portnumbergt portnumber 大于端口号大于端口号portnumberlt portnumber 小于端口号小于端口号portnumberneq portnumber不等于端口号不等于端口号portnumber range portnumber1 portnumber2介于端口号介于端口号portnumber1 和和portnumber2之之间间现在学习的是第15页,共29页高级访问控制列表举例高级访问控制列表举例lrule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type ho
9、st-redirect lrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging 10.1.0.0/16ICMP主机重定向报文TCP报文129.9.0.0/16202.38.160.0/24WWW 端口现在学习的是第16页,共29页基于接口的访问控制列表基于接口的访问控制列表l基于接口的访问控制列表的配置acl number acl-number match-order config|auto rule permit|deny in
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 防火墙 访问 控制 列表 配置
限制150内