資源描述:
《防火墻配置與NAT配置》由會員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1�、第七講防火墻配置與NAT配置防火墻技術(shù)訪問控制列表AR18防火墻配置AR28防火墻配置NAT技術(shù)AR18NAT配置AR28NAT配置1防火墻技術(shù)—概念防火墻(Firewall)的本義是一種建筑結(jié)構(gòu)���,它用來防止大火從建筑物的一部分蔓延到另一部分����。在計(jì)算機(jī)網(wǎng)絡(luò)中���,防火墻是指用于完成下述功能的軟件或硬件:對單個主機(jī)或整個計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù),使之能夠抵抗來自外部網(wǎng)絡(luò)的不正當(dāng)訪問�����。2防火墻技術(shù)—分類包過濾防火墻(PacketFilterFirewall):對IP包進(jìn)行過濾���,先獲取包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號�����、數(shù)據(jù)包的源地址�、目的地址�、源端口和目的端口等�,然
2�����、后和設(shè)定的規(guī)則進(jìn)行比較��,根據(jù)比較的結(jié)果決定數(shù)據(jù)包是否被允許通過�����。應(yīng)用層報(bào)文過濾(ApplicationSpecificPacketFilter):也稱為狀態(tài)防火墻,它維護(hù)每一個連接的狀態(tài)�,并且檢查應(yīng)用層協(xié)議的數(shù)據(jù)�����,以此決定數(shù)據(jù)包是否被允許通過��。3防火墻技術(shù)—示意圖Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處防火墻一般被放置在內(nèi)部網(wǎng)和Internet之間4防火墻技術(shù)—路由器實(shí)現(xiàn)包過濾防火墻路由器上的IP包轉(zhuǎn)發(fā)機(jī)制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層輸入IP包規(guī)則庫輸出IP包規(guī)則庫由規(guī)則決定對IP包的處理:丟棄或通過由規(guī)則決定對IP包的處理:丟棄或通
3、過路由器可以在輸入和輸出兩個方向上對IP包進(jìn)行過濾接口1接口25訪問控制列表—概念訪問控制列表(AccessControlList,ACL)是實(shí)現(xiàn)包過濾規(guī)則庫的一般方法���,它由一系列“permit”或“deny”的規(guī)則組成。除安全之外�,訪問控制列表還有以下兩種應(yīng)用:QoS(QualityofService)NAT(NetworkAddressTranslation)6訪問控制列表—分類(AR18)標(biāo)準(zhǔn)訪問控制列表只使用源IP地址來描述IP包數(shù)字標(biāo)識:2000—2999擴(kuò)展訪問控制列表使用源和目的IP地址���,協(xié)議號,源和目的端口號來描述IP包數(shù)字標(biāo)識:3000—399
4���、97訪問控制列表—標(biāo)準(zhǔn)ACL[Quidway]aclacl-number[match-order{config
5���、auto}]acl-number:2000—2999config:配置順序//缺省值auto:深度優(yōu)先[Quidway-acl-2000]rule[normal
6、special]{permit
7����、deny}[sourcesource-addrsource-wildcard
8�����、any]normal:該規(guī)則在所有時間段內(nèi)起作用�����;//缺省值special:該規(guī)則在指定時間段內(nèi)起作用,使用special時用戶需另外設(shè)定時間段source-wildcard:反掩碼(
9����、通配符)8訪問控制列表—反掩碼(通配符)例如:[Quidway-acl-2000]rulenormalpermitsource192.168.1.00.0.0.255反掩碼和子網(wǎng)掩碼功能相似�����,但寫法不同:0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用�����,可以描述一個地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位9訪問控制列表—擴(kuò)展ACL配置TCP/UDP協(xié)議的擴(kuò)展ACL配置ICMP協(xié)議的擴(kuò)展ACL配置其他協(xié)議的擴(kuò)展ACL10訪問控制列表—擴(kuò)展ACL(續(xù))配置TCP/UDP協(xié)議的擴(kuò)展ACL:rule[normal
10�、
11����、special]{permit
12、deny}{tcp
13����、udp}[sourcesource-addrsource-wildcard
14���、any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard
15、any][destination-portoperatorport1[port2]]Operator的語法意義equalportnumber等于端口號portnumbergreater-thanportnumber大于端口號portnumberless-thanportnumber小于端口號p
16�、ortnumbernot-equalportnumber不等于端口號portnumberrangeportnumber1portnumber2介于端口號portnumber1和portnumber2之間11訪問控制列表—擴(kuò)展ACL(續(xù))配置TCP/UDP協(xié)議的擴(kuò)展ACL舉例:rulenormaldenytcpsource192.168.0.10.0.0.0destination202.118.66.660.0.0.0destination-portequal80配置ICMP協(xié)議的擴(kuò)展ACL:rule[normal
17����、special]{permit
18、deny}icm
19���、p[sourcesour
