实验七防火墙基本配置Word格式文档下载.docx
- 文档编号:20720390
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:8
- 大小:45.80KB
实验七防火墙基本配置Word格式文档下载.docx
《实验七防火墙基本配置Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《实验七防火墙基本配置Word格式文档下载.docx(8页珍藏版)》请在冰豆网上搜索。
对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
3、访问控制列表
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(AccessControlList)定义的。
访问控制列表是由permit|deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
访问控制列表(AccessControlList)的作用
访问控制列表可以用于防火墙;
访问控制列表可用于Qos(QualityofService),对数据流量进行控制;
访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
一个IP数据包如下图所示(图中IP所承载的上层协议为TCP)
ACL示意图
ACL的分类
按照访问控制列表的用途,可以分为四类:
●基本的访问控制列表(basicacl)
●高级的访问控制列表(advancedacl)
●基于接口的访问控制列表(interface-basedacl)
●基于MAC的访问控制列表(mac-basedacl)
访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。
4、防火墙的配置项目
防火墙的配置包括:
允许/禁止防火墙
配置标准访问控制列表
配置扩展访问控制列表
配置在接口上应用访问控制列表的规则
设置防火墙的缺省过滤方式
设置特殊时间段
指定日志主机
允许/禁止防火墙
在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。
请在系统视图下进行下列配置。
表1允许/禁止防火墙
操作
命令
启动防火墙
firewallenable
禁止防火墙
firewalldisable
缺省情况下,防火墙处于“启动”状态。
配置标准访问控制列表
标准访问控制列表序号可取值1~99之间的整数。
首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。
若不配置匹配顺序的话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
表2配置标准访问控制列表
进入ACL视图并配置访问控制列表的匹配顺序
aclacl-number[match-orderconfig|auto]
配置标准访问列表规则
rule{normal|special}{permit|deny}[source
source-addrsource-wildcard|any]
删除特定的访问列表规则
undorule{rule-id|normal|special}
删除访问列表
undoacl{acl-number|all}
normal指该规则是在普通时间段内起起用;
special指该规则是在特殊时间段内起作用,使用special时用户需另外设定特殊时间段。
具有同一序号的多条规则按照“深度优先原则”进行匹配。
缺省情况下,为normal时间段。
配置扩展访问控制列表
扩展访问控制列表可取值100~199之间的整数。
表3配置扩展访问控制列表
配置TCP/UDP协议的扩展访问列表规则
rule{normal|special}{permit|deny}
{tcp|udp}
[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]
配置ICMP协议的扩展访问列表规则
rule{normal|special}{permit|deny}ICMP[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]
从表2和表3中的rule配置命令的参数中可以看出标准列表仅能对source数据源作规则设置,而扩展控制列表则还可以对destination目的地址进行规则设置。
参数说明:
normal指该规则是在普通时间段内起起用;
设置防火墙的缺省过滤方式
防火墙的缺省过滤方式是指:
当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候,将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。
表4设置防火墙缺省过滤方式
设置防火墙的缺省过滤方式为允许报文通过
firewalldefaultpermit
设置防火墙的缺省过滤方式为禁止报文通过
firewalldefaultdeny
缺省情况下,防火墙的缺省过滤方式为允许报文通过。
配置在接口上应用访问控制列表的规则
若要实现接口对报文的过滤功能,就必须先将相应访问控制列表规则应用到接口上。
用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。
请在接口视图下进行下列配置。
表5配置接口上应用访问控制列表的规则
配置在接口的入口或出口方向上应用访问控制列表规则
firewallpacket-filteracl-number[inbound|outbound]
取消在接口的入口或出口方向上应用访问控制列表规则
undofirewallpacket-filteracl-number
[inbound|outbound]
缺省情况下,接口上未定义过滤报文的规则。
在一个接口的一个方向上(inbound或outbound方向),最多可以应用20条访问规则。
即在firewallpacket-filterinbound方向上可应用20条规则;
在firewallpacket-filteroutbound方向上也可应用20条规则。
若两条互相冲突的规则序号不同,优先匹配acl-number较大的规则。
防火墙的显示和调试
在所有视图下使用debugging、reset、display命令。
表3-12防火墙的显示和调试
显示包过滤规则及在接口上的应用
displayacl[all|acl-number|interfacetypenumber]
显示防火墙状态
displayfirewall
显示当前时间段的范围
displaytimerange
显示当前时间是否在特殊时间段之内
displayisintr
清除访问规则计数器
resetaclcounters[acl-number]
打开防火墙包过滤调试信息开关
debuggingfilter{all|icmp|tcp|udp}
3.8.4实验过程
1、防火墙配置实验示例
组网方案
要求通过配置静态路由,使任意两台主机或路由器之间都能两两互通。
网络拓扑
请按下图连接好线缆,并配置好路由器接口和计算机的IP地址,所有的子网掩码均为24位掩码。
图2配置防火墙组网图
2、配置步骤
首先用分别Console线缆连接两个路由器并进入配置视图,按下面步骤对接口进行配置。
配置好计算机的IP地址和子网掩码,计算机A的网关地址设置为10.100.110.100,计算机B的网关地址设置为10.100.120.100
#配置路由器RouterA启动防火墙
[RouterA]firewallenable
#配置路由器接口IP
[RouterA]interfaceEthernet0/0
[RouterA-Ethernet0/0]ipaddress192.10.1.124
[RouterA-Ethernet0/0]quit
[RouterA]interfaceEthernet0/1
[RouterA-Ethernet0/1]ipaddress10.100.110.10024
[RouterA-Ethernet0/1]quit
#配置路由器静态路由
[RouterA]iproute-static10.100.120.0255.255.255.0192.10.1.2
#配置路由器RouterB,并启动防火墙
[RouterB]firewallenable
[RouterB]interfaceEthernet0/0
[RouterB-Ethernet0/0]ipaddress192.10.1.224
[RouterB-Ethernet0/0]quit
[RouterB]interfaceEthernet1
[RouterB-Ethernet0/1]ipaddress10.100.120.10024
[RouterB-Ethernet0/1]quit
[RouterA]iproute-static10.100.110.0255.255.255.0192.10.1.1
#测试网络连通性
在计算机A上使用命令:
Ping10.100.120.139
#在路由器A上设置标准控制列表
#在路由器A上验证标准访问控制列表禁止IP地址为10.100.110.138的主机访问10.100.120的网络,而允许其他IP访问。
#进入2001号标准访问控制列表视图
[RouterA]aclnumber2001
#设置控制规则
[RouterA-acl-2001]ruledenysource10.100.110.1380.0.0.0
#上条命令中最后一个参数0.0.0.0是反掩码,用来唯一确定一个IP,若改为
0.0.0.255则用来确定对一个C类的网络实施访问控制。
#允许其他的IP地址的数据通过路由器A访问外网
[RouterA-acl-2001]rulepermitsourceany
#注意:
2001号控制列表有上面有两条规则,其匹配时按深度优先规则,先匹配精确的规则,因此当IP时10.100.110.138时将先按第一条规则执行
#返回系统视图
[RouterA-acl-2001]quit
#进入接口LAN1,在其上应用访问控制列表的规则
[RouterA-ethernet0/1]firewallpacket-filter2001inbound
#这时若把IP地址改为其他的地址,如:
10.100.110.140则可以通过路由器访问外网。
可以用Ping命令测试连通性
#在路由器B上使用扩展控制列表
[RouterB]aclnumber3002
#设置控制规则,只禁止目的IP地址为10.100.110.138数据通过路由器B的Ethernet0/0,其他目的地址的数据包都能通过。
[RouterB-acl-3002]ruledenyipdestination10.100.120.1380.0.0.0
#允许所有除了上个规则外的数据包访问外网
[RouterB-acl-3002]rulepermitipsourceanydestinationany
#进入接口Ethernet0/0,在其上应用访问控制列表的规则
[RouterB]interfaceEthernet0/0
[RouterB-Ethernet0/0]firewallpacket-filter3002outbound
#这时若计算机A的IP为10.100.110.138,则在计算机B上使用Ping命令则无法连通,若将计算机A的IP改为其他地址则可以连通计算机B
3.8.5实验总结
根据实验情况简单描述自己对防火墙工作原理的认识并列举出一种防火墙其它应用案例。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 防火墙 基本 配置