防火墻配置與NAT配置課件.ppt

防火墻配置與NAT配置課件.ppt

ID:57067112

大小:1.19 MB

頁數(shù):42頁

時(shí)間:2020-07-30

防火墻配置與NAT配置課件.ppt_第1頁
防火墻配置與NAT配置課件.ppt_第2頁
防火墻配置與NAT配置課件.ppt_第3頁
防火墻配置與NAT配置課件.ppt_第4頁
防火墻配置與NAT配置課件.ppt_第5頁
資源描述:

《防火墻配置與NAT配置課件.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、1第七講防火墻配置與NAT配置防火墻技術(shù)訪問控制列表防火墻配置(V5&V7)NAT技術(shù)NAT配置(V5&V7)2防火墻技術(shù)—概念防火墻(Firewall)的本義是一種建筑結(jié)構(gòu),它用來防止大火從建筑物的一部分蔓延到另一部分。在計(jì)算機(jī)網(wǎng)絡(luò)中,防火墻是指用于完成下述功能的軟件或硬件:對單個(gè)主機(jī)或整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù),使之能夠抵抗來自外部網(wǎng)絡(luò)的不正當(dāng)訪問。3防火墻技術(shù)—分類包過濾防火墻(PacketFilterFirewall):對IP包進(jìn)行過濾,先獲取包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號、數(shù)據(jù)包的源地址、目的地址

2、、源端口和目的端口等,然后和設(shè)定的規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果決定數(shù)據(jù)包是否被允許通過。應(yīng)用層報(bào)文過濾(ApplicationSpecificPacketFilter):也稱為狀態(tài)防火墻,它維護(hù)每一個(gè)連接的狀態(tài),并且檢查應(yīng)用層協(xié)議的數(shù)據(jù),以此決定數(shù)據(jù)包是否被允許通過。4防火墻技術(shù)—示意圖Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處防火墻一般被放置在內(nèi)部網(wǎng)和Internet之間5防火墻技術(shù)—路由器實(shí)現(xiàn)包過濾防火墻路由器上的IP包轉(zhuǎn)發(fā)機(jī)制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層輸入IP包規(guī)則庫輸出IP包規(guī)則庫

3、由規(guī)則決定對IP包的處理:丟棄或通過由規(guī)則決定對IP包的處理:丟棄或通過路由器可以在輸入和輸出兩個(gè)方向上對IP包進(jìn)行過濾接口1接口26訪問控制列表—概念訪問控制列表(AccessControlList,ACL)是實(shí)現(xiàn)包過濾規(guī)則庫的一般方法,它由一系列“permit”或“deny”的規(guī)則組成。除安全之外,訪問控制列表還有以下兩種應(yīng)用:QoS(QualityofService)NAT(NetworkAddressTranslation)7訪問控制列表—分類(V5&V7)基于接口的訪問控制列表(Interface-base

4、dACL)使用接口來控制網(wǎng)絡(luò)包數(shù)字標(biāo)識:1000—1999基本的訪問控制列表(BasicACL)只使用源IP地址來控制IP包數(shù)字標(biāo)識:2000—2999高級的訪問控制列表(AdvancedACL)使用源和目的IP地址,協(xié)議號,源和目的端口號來控制IP包數(shù)字標(biāo)識:3000—3999基于MAC的訪問控制列表(MAC-basedACL)使用MAC地址來控制網(wǎng)絡(luò)包數(shù)字標(biāo)識:4000—49998訪問控制列表—創(chuàng)建ACL(V5&V7)[Quidway]aclnumberacl-number[match-order{config

5、

6、auto}]config:匹配規(guī)則時(shí)按用戶的配置順序。//缺省值auto:匹配規(guī)則時(shí)按“深度優(yōu)先”的順序。創(chuàng)建ACL后,將進(jìn)入ACL視圖:[Quidway-acl-adv-3000]進(jìn)入ACL視圖之后,就可以配置ACL的規(guī)則了。9訪問控制列表—BasicACL[Quidway-acl-basic-2000]rule[rule-id]{permit

7、deny}[sourcesour-addrsour-wildcard

8、any][time-rangetime-name]rule-id:可選參數(shù),規(guī)則編號,范圍為0~655

9、34。少了[normal

10、special]time-range:可選參數(shù),指定訪問控制列表的生效時(shí)間。其余與AR18同舉例:[Quidway-acl-basic-2000]rulepermitsource192.168.1.10.0.0.010訪問控制列表—AdvancedACL[Quidway-acl-adv-3000]rule[rule-id]{permit

11、deny}protocol[sourcesour-addrsour-wildcard

12、any][destinationdest-addrdest-mask

13、

14、any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message

15、icmp-typeicmp-code}][time-rangetime-name]格式與AR18中的三種擴(kuò)展ACL基本相同:protocol:ip,ospf,igmp,gre,icmp,tcp,udp,etc.少了[normal

16、special]多了rule-id和time-rangeoperator被簡化:“eq”-等于

17、端口號,“gt”–大于端口號,“l(fā)t”–小于端口號,“neq”–不等于端口號,“range”–介于兩端口號之間11防火墻配置V5&V7—啟動/禁止啟動防火墻[Quidway]firewallenable禁止防火墻[Quidway]undofirewallenable缺省情況下,防火墻處于“禁止”狀態(tài)12防火墻配置V5&V7—缺省過濾方式缺省過濾

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時(shí)可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。