实验防火墙访问控制列表配置实验讲稿.ppt
《实验防火墙访问控制列表配置实验讲稿.ppt》由会员分享,可在线阅读,更多相关《实验防火墙访问控制列表配置实验讲稿.ppt(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、实验防火墙访问控制实验防火墙访问控制实验防火墙访问控制实验防火墙访问控制列表配置实验列表配置实验列表配置实验列表配置实验第一页,讲稿共二十九页哦学习目标学习目标l掌握一般防火墙技术掌握一般防火墙技术l掌握地址转换技术掌握地址转换技术学习完本课程,您应该能够:学习完本课程,您应该能够:第二页,讲稿共二十九页哦课程内容课程内容第一节第一节第一节第一节 防火墙防火墙防火墙防火墙第二节第二节第二节第二节 地址转换地址转换地址转换地址转换第三页,讲稿共二十九页哦防火墙示意图防火墙示意图l对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过
2、滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处第四页,讲稿共二十九页哦路由器实现防火墙功能路由器实现防火墙功能IP报文转发机制IP PacketIP Packet网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作:丢弃或转发由规则决定报文转发动作:丢弃或转发第五页,讲稿共二十九页哦访问控制列表的作用访问控制列表的作用l访问控制列表可以用于防火墙;l访问控制列表可用于QoS(Quality of Service),对数据流量进行控制;l在DCC中,访问控制列表还可用来规定触发拨号的条件;l访问控制列表还
3、可以用于地址转换;l在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。第六页,讲稿共二十九页哦ACL的机理的机理l一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头报头TCP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则第七页,讲稿共二十九页哦访问控制列表的分类访问控制列表的分类l按照访问控制列表的用途可以分为四类:基本的访问控制列表(basic acl)高级的访问控制列表(advanced acl)基于接口的访问控制列表(interface-
4、based acl)基于MAC的访问控制列表(mac-based acl)第八页,讲稿共二十九页哦访问控制列表的标识访问控制列表的标识l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表 10001999 基本的访问控制列表 20002999 高级的访问控制列表 30003999 基于MAC地址访问控制列表 40004999 第九页,讲稿共二十九页哦基本访问控制列表基本访问控制列表l基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通
5、过!路由器第十页,讲稿共二十九页哦基本访问控制列表的配置基本访问控制列表的配置l配置基本访问列表的命令格式如下:acl number acl-number match-order config|auto rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging fragment vpn-instance vpn-instanc-name 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?第十一页,讲稿共二十九页哦反掩码的使用反掩码的使用l反掩码和子网
6、掩码相似,但写法不同:0表示需要比较1表示忽略比较l反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位第十二页,讲稿共二十九页哦高级访问控制列表高级访问控制列表l高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器第十三页,讲稿共二十九页哦高级访问控制列表的配置高级访问控制列表的配置l高级访问控制列表规则的配置命令:rule rule-id permit|deny pr
7、otocol source sour-addr sour-wildcard|any destination dest-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name 第十四页,讲稿共二十
8、九页哦高级访问控制列表操作符高级访问控制列表操作符操作符及语法操作符及语法意义意义eq portnumber等于端口号等于端口号 portnumbergt portnumber 大于端口号大于端口号portnumberlt portnumber 小于端口号小于端口号portnumberneq portnumber不等于端口号不等于端口号portnumber range portnumber1 portnumber2介于端口号介于端口号portnumber1 和和portnumber2之之间间第十五页,讲稿共二十九页哦高级访问控制列表举例高级访问控制列表举例lrule deny icmp sou
9、rce 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect lrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging 10.1.0.0/16ICMP主机重定向报文TCP报文129.9.0.0/16202.38.160.0/24WWW 端口第十六页,讲稿共二十九页哦基于接口的访问控制列表基于接口的访问控制列表l基于接口的访问控制列表的配置acl number acl
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 防火墙 访问 控制 列表 配置 讲稿
限制150内