基于路由器的网络安全研究和实现设计说明

1、 PAGE30 / NUMPAGES37 基于路由器的网络安全研究和实现摘要 在这篇论文中，介绍了计算机的网络安全与防火墙的技术，主要讨论防火墙的概念和分类，详细说明了防火墙技术中的包过滤功能。还介绍了AAA配置技术、OSPF配置技术和ACL访问控制列表。详细介绍与讲解了通过ACL访问控制列表来实现了一个基本的软件防火墙。最后描述对互联网的简单防火墙技术的发展趋势。 关键词 网络安全，防火墙，包过滤，ACLResearch and implementation of network security based on routerAbstractIn this paper , the comp

2、uter network security and the techniques of firewalls were mainly discussed, Focuses on the concept of a firewall, a detailed description of the packet filtering in the firewall technology.It also introduced the configuration Technology of AAA OSPF and Access Control Listtec , Introduced and explain

3、ed in detail to achieve a basic software firewall by ACL. Finally described the trend of development of the firewalls techniques in Internet briefly.Key Wordsnetwork security，firewalls，Packet filtering，ACL目录 TOC o 1-3 h z u HYPERLINK l _Toc357433392第1章绪论 PAGEREF _Toc357433392 h 1HYPERLINK l _Toc3574

4、333931.1选题的背景和意义 PAGEREF _Toc357433393 h 1HYPERLINK l _Toc3574333941.1.1国外的研究现状 PAGEREF _Toc357433394 h 1HYPERLINK l _Toc3574333951.1.2发展趋势 PAGEREF _Toc357433395 h 2HYPERLINK l _Toc3574333961.2研究的基本容 PAGEREF _Toc357433396 h 2HYPERLINK l _Toc357433397第2章配置基本网络环境 PAGEREF _Toc357433397 h 4HYPERLINK l _

5、Toc3574333982.1配置基本网络环境 PAGEREF _Toc357433398 h 4HYPERLINK l _Toc3574333992.1.1构建小型模拟局域网 PAGEREF _Toc357433399 h 5HYPERLINK l _Toc357433400第3章 AAA配置 PAGEREF _Toc357433400 h 6HYPERLINK l _Toc3574334013.1 AAA简介 PAGEREF _Toc357433401 h 6HYPERLINK l _Toc3574334023.1.1什么是AAA PAGEREF _Toc357433402 h 6HYPE

6、RLINK l _Toc3574334033.2简单基本的AAA配置 PAGEREF _Toc357433403 h 6HYPERLINK l _Toc3574334043.2.1组网需求 PAGEREF _Toc357433404 h 6HYPERLINK l _Toc3574334053.2.2配置步骤 PAGEREF _Toc357433405 h 7HYPERLINK l _Toc357433406第4章 OSPF配置 PAGEREF _Toc357433406 h 8HYPERLINK l _Toc3574334074.1 OSPF简介 PAGEREF _Toc357433407 h

7、 8HYPERLINK l _Toc3574334084.1.1 OSPF的主要特性 PAGEREF _Toc357433408 h 8HYPERLINK l _Toc3574334094.1.2 OSPF协议路由计算的过程 PAGEREF _Toc357433409 h 8HYPERLINK l _Toc3574334104.2 OSPF的配置 PAGEREF _Toc357433410 h 9HYPERLINK l _Toc3574334114.2.1配置步骤 PAGEREF _Toc357433411 h 10HYPERLINK l _Toc357433412第5章防火墙 PAGEREF

8、 _Toc357433412 h 13HYPERLINK l _Toc3574334135.1防火墙简介 PAGEREF _Toc357433413 h 13HYPERLINK l _Toc3574334145.1.1什么是防火墙 PAGEREF _Toc357433414 h 13HYPERLINK l _Toc3574334155.1.2防火墙的分类 PAGEREF _Toc357433415 h 13HYPERLINK l _Toc3574334165.2 包过滤 PAGEREF _Toc357433416 h 14HYPERLINK l _Toc3574334175.2.1包过滤可实现

9、的功能 PAGEREF _Toc357433417 h 14HYPERLINK l _Toc3574334185.2.2网络设备的包过滤的特性 PAGEREF _Toc357433418 h 15HYPERLINK l _Toc357433419第6章 ACL配置 PAGEREF _Toc357433419 h 16HYPERLINK l _Toc3574334206.1访问控制列表 PAGEREF _Toc357433420 h 16HYPERLINK l _Toc3574334216.1.1标准访问控制列表 PAGEREF _Toc357433421 h 16HYPERLINK l _To

10、c3574334226.1.2扩展访问控制列表 PAGEREF _Toc357433422 h 16HYPERLINK l _Toc3574334236.2防火墙的配置 PAGEREF _Toc357433423 h 17HYPERLINK l _Toc3574334246.2.1配置步骤 PAGEREF _Toc357433424 h 18HYPERLINK l _Toc3574334256.2.2防火墙的显示与调试 PAGEREF _Toc357433425 h 22HYPERLINK l _Toc357433426结论 PAGEREF _Toc357433426 h 23HYPERLIN

11、K l _Toc357433427参考文献 PAGEREF _Toc357433427 h 24HYPERLINK l _Toc357433428附录 PAGEREF _Toc357433428 h 26HYPERLINK l _Toc357433429致 PAGEREF _Toc357433429 h 29图目录 TOC h z t 图标题 c HYPERLINK l _Toc357433430图2.1 设备配置图 PAGEREF _Toc357433430 h 5HYPERLINK l _Toc357433431图5.1 包过滤示意图 PAGEREF _Toc357433431 h 14表

12、目录 TOC h z t 表标题 cHYPERLINK l _Toc357433432表2.1 设备配置信息 PAGEREF _Toc357433432 h 4HYPERLINK l _Toc357433433表6.1扩展访问列表的操作符operator的意义 PAGEREF _Toc357433433 h 17HYPERLINK l _Toc357433434表6.2防火墙的显示和调试 PAGEREF _Toc357433434 h 22HYPERLINK l _Toc357433435表I防火墙的显示和调试（TCP） PAGEREF _Toc357433435 h 26HYPERLINK

13、l _Toc357433436表II防火墙的显示和调试（UDP） PAGEREF _Toc357433436 h 27HYPERLINK l _Toc357433437表III ICMP报文类型的助记符 PAGEREF _Toc357433437 h 28第1章 绪论1.1选题的背景和意义随着网络应用的日益普与，尤其是在一些敏感场合（如电子商务）的应用，因此网络安全成为日益迫切的需求之一；路由器作为部网络与外部网络之间通讯的关键，完全有必要提供充分而又可靠的安全保护功能。本课题的目的就是设计一种基于路由器的网络安全解决方案，从安全性、处理速度等方面对其进行可用性评估。1.1.1国外的研究现状现

14、今网络多都使用TCP/IP协议，但是因此TCP/IP协议本身存在缺陷，从而导致了网络的不安全。虽然TCP/IP协议具有许多特点，如支持多种应用协议、互联能力强、网络技术独立、等等；但是由于TCP/IP协议在定制时，并没有考虑到安全方面的主要因素，因此协议中还是有很多的安全问题存在。主要有：1. TCP/IP协议数据流在使用FTP、 和Telnet传输时，用户的账号以与口令非常容易被窃听、修改和伪造。2作为网络节点的唯一标识，源地址是通过利用IP地址对TCP/IP协议进行欺骗，因为IP地址不是完全固定的；因此，攻击者可以通过直接修改节点的IP地址冒充某个可信节点的%-地址来进行攻击。3为了测试目

15、的设置一个选项IP Soure routing，源路由一般情况下选择欺骗IP数据包；从而使攻击者可以利用这一选项，直接指明出一条路由方式来进行伪装、欺骗，然后进行不正当方式的连接。1.1.2发展趋势网络安全不只是一个单纯的技术间题，同时也是一个非常关键的管理问题。对计算机系统的安全事件进行收集、记录、分析、判断，然后采取对应的安全措施来进行处理的一个过程被称为安全审计。其基本的功能分别为：对用户、操作命令、文件操作等审计对象进行选择；对文件系统完整性进行定期的检测；设置选择逐出系统；保护数据的安全与审计日志等。成立专门负责计算机网络信息安全的行政管理机构，从而审查和订制计算机网络的信息安全措施

16、。确认安全措施实施的方针、政策以与原则；具体组织、协调、监督、检查信息安全措施的执行。来自计算机网络信息系统部的危害当中，很多是人为造成的对信息安全的危害。由于思想上的松懈和安全意识偏弱，从而给了攻击者可乘之机。因此，加强单位人员的思想教育，培养单位人员的责任感也是保护网络安全不可或缺的一个重要环节。 计算机网络安全发展至今，俨然已成为了一个横跨通信技术、网络技术、安全技术、计算机技术、密码学等等多种门科技术的综合性学科。因此计算机网络安全的发展在向高端技术发展的同时会朝着全方位化、纵深化、专业化的方向发展，随着各种新兴技术的不断发展和出现，网络安全将会由单一的技术向各种技术融合的方向发展。基

17、于路由器的大多数主要安全技术通常都是相辅相成的，为了系统安全性的提高，必须通过各种安全机制协调工作。当今，由于信息化的高速发展，加强路由器安全机制和安全协议，改进新的算法研究将会成为保证网络安全的高效性的唯一选择。1.2研究的基本容随着Internet的飞速发展，全国每个中小型企业和事业单位都在建设局域网并连入了互联网，所以信息网络安全就必须同时跟上发展的脚步，成为我们最需要着重关心的问题之一。我们可以采取在普通路由器中添加安全模块，从技术上加强路由器的安全性；或者借助管理手段，从管理上加强对路由器的安全性等多种手段来保证基于路由器的网络环境下的安全性。网络安全与防火墙关系密不可分，网络防火墙

18、的构建需要明确安全策略，安全而又全面的分析和业务的需求分析将决定一个组织全局的安全策略，因此我们需要仔细并且正确的设置网络安全策略，从而使这个计算机网络防火墙发挥它最大的作用。 其中，明确定义哪些数据包允许或禁止通过并使用网络服务，以与这些服务的详细使用规则，同时网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现；这些都属于网络防火墙的安全策略。本文就着重介绍与说明在路由器下通过访问控制列表（ACL）方法实现安全策略，构建出一个小型、简易、安全有合理的计算机网络的防火墙体系结构，从而实现具体的网络防火墙功能，并对其实现和具体应用进行详细的叙述。第2章 配置基本网络环境2.1配置基本网络

19、环境（1）按照表2.1所示容，正确填写计算机（PA、PB、PC、PD）与路由器（RA、RB、RC、RD）的网络连接参数表2. SEQ 表 * ARABIC s 1 1 设备配置信息设备名称配置参数设备名称配置参数路由器（RA）S0IP地址：子网掩码：路由器(RB)S0IP地址：子网掩码：S1IP地址：子网掩码：S1IP地址：子网掩码：Eth0IP地址：子网掩码：Eth0IP地址：子网掩码：路由器(RC)S0IP地址：子网掩码：路由器（RD）S0IP地址：子网掩码：S1IP地址：子网掩码：S1IP地址：子网掩码：Eth0IP地址：子网掩码：Eth0IP地址：子网掩码：计算机（PC-A）IP地址：

20、子网掩码：默认网关：计算机（PC-B）IP地址：子网掩码：默认网关：计算机（PC-C）IP地址：子网掩码：默认网关：计算机(PC-D)IP地址：子网掩码：默认网关：计算机（PC-E）IP地址：子网掩码：默认网关：计算机（PC-F）IP地址：子网掩码：默认网关：计算机（PC-G）IP地址：子网掩码：默认网关：计算机（PC-H）IP地址：子网掩码：默认网关：2.1.1构建小型模拟局域网设备连接如图2.1所示构建出一个小型模拟局域网（由路由器、交换机、PC组成）。图2.1 设备配置图第3章 AAA配置3.1 AAA简介3.1.1什么是AAA用来对认证、授权和计费这三种安全功能进行配置的一个框架，被称

21、为：Authentication，Authorization and Accounting ，即认证、授权和计费，一般情况下缩写为AAA即可，简称：“三A认证”；它是对网络安全进行管理的认证方式之一，对所有类型LOGIN用户进行本地认证、授权、计费。在这里，网络安全主要指的是访问控制，其中包括了：（1）规定了哪些用户可以访问指定网络服务器（2）具有访问权限的用户组分别可以得到哪些服务，可以做些什么（3）对正在使用该网络资源的用户组进行计费功能AAA可完成下列服务：（1）认证：判断认证用户是否可以获得访问权限（2）授权：被授权的用户组可以使用哪些服务。（3）计费：记录用户组使用网络资源的具体情况

22、。3.2简单基本的AAA配置3.2.1组网需求对所有类型login用户进行本地认证，但不要求计费。3.2.2配置步骤# 使能AAARouter aaa-enable# 配置Login用户Router local-user ftp service-type ftp password simple ftp Router local-user admin service-type administrator ssh password cipher adminRouter local-user operator service-type operator ssh password simple ope

23、ratorRouter local-user guest service-type guest ssh password simple guest# 配置对login用户进行认证Router aaa authentication-scheme login default local Router login-method authentication-mode con defaultRouter login-method authentication-mode async defaultRouter login-method authentication-mode hwtty defaultR

24、outer login-method authentication-mode pad defaultRouter login-method authentication-mode telnet defaultRouter login-method authentication-mode ssh default# 配置对FTP用户进行认证Router login-method authentication-mode ftp default# 配置对login用户不计费Router undo login-method accounting-mode login conRouter undo log

25、in-method accounting-mode login asyncRouter undo login-method accounting-mode login hwttyRouter undo login-method accounting-mode login padRouter undo login-method accounting-mode login telnetRouter undo login-method accounting-mode login ssh四台路由器均要进行一样的AAA配置，指令一样，不作重复。第4章 OSPF配置4.1 OSPF简介由IETF组织研发的

26、一个基于链路状态下的自治系统部路由协议被称为：开放最短路由优先协议（Open Shortest Path First），简称OSPF，目前普遍使用的是版本2（RFC1583）。4.1.1 OSPF的主要特性1.适应围支持最多几千台路由器的各种大、中、小规模的网络。2.快速收敛在网络的拓扑结构发生变化后立即发送并更新报文并在自治系统中达到同步。3.无自环用最短路径树算法计算路由，保证了不会生成自环路由。4.区域划分为了减少占用带宽，自治系统的网络被划分成的区域传送的路由信息被抽象。5.等值路由到同一目的地址的多条等值路由。6.路由分级当同时使用不同等级的路由时，按区域路由、区域间路由、第一类外部

27、路由和第二类外部路由这个优先顺序分级。7.支持验证支持基于接口的报文验证，保障了路由计算的安全性、稳定性。8.组播发送在有组播发送能力的链路层上，基于组播地址进行接收、发送报文。在达到了广播作用的同时又最大程度地减少了对其它网络设备的干扰。4.1.2 OSPF协议路由计算的过程OSPF协议路由的计算过程可简单描述如下： 1. 描述整个自治系统拓扑结构的链路状态数据库（简称LSDB）是由每一台支持OSPF协议的路由器维护着；他们都会根据周围的网络拓扑结构来生成链路状态并且发布Link State Advertising（LSA），然后再将LSA发送给网络中其它路由器。这样，每台路由器都将会收到来

28、自其它路由器的 LSA，然后将所有的 LSA 放在一起组成了一个相对完整的链路状态数据库。2. 对路由器周围网络拓扑结构的具体描述被称为LSA，而对整个网络的拓扑结构的一种描述则被成为LSDB。自然而然，自治系统的各个路由器都将得到完全一样的网络拓扑图是因为路由器会将LSDB转换成一带有权值的真实反映整个网络拓扑结构的有向图。3. 使用SPF算法的每台路由器都会计算出一棵到自治系统中各个节点的路由的树，这是一棵以自己为根的最短路径树，这棵树给出了通过广播外部路由的路由器来记录关于整个自治系统的额外信息。另外，为了建立多个邻接（Adjacent）关系，使处于广播网和NBMA网中的每台路由器都可以

29、将存储在本地的路由信息广播到整个自治系统中去，则会出现多次传递任意一台路由器的路由变化的情况，因而浪费了宝贵的带宽资源。为了解决这个难题，OSPF因此定义了“指定路由器”（Designated Router），简称为DR；为了大大减少各路由器之间邻居关系的数量，DR接收所有路由器发送出来的路由信息，然后再由它将该网络的链路状态广播出去。 OSPF支持IP子网和外部路由信息的标记接收，它支持基于接口的报文验证以保证路由计算的安全性；并使用IP组播方式发送和接收报文。4.2 OSPF的配置必须先启动OSPF、使能OSPF网络后，才能在各项配置任务中配置其它与协议相关的功能特性，而OSPF是否使能将

30、不会影响在接口下配置的与协议相关的参数。关闭OSPF的同时原来在接口下配置的与协议相关的参数也同时失效。4.2.1配置步骤1. 配置路由器RARAinterface S0RA-Serial0ip address RA-Serial0interface S1RA-Serial1ip address RA-Serial1interface eth0RA-Ethernet0ip address RA-Ethernet0quitRAospf enableRA-ospfinterface s0RA-Serial0ospf enable area 0RA-Serial0interface s1RA-Ser

31、ial1ospf enable area 0RA-Serial1quitRAinterface e0RA-Ethernet0ospf enable area 02. 配置路由器RBRBinterface S0RB-Serial0ip address RB-Serial0interface S1RB-Serial1ip address RB-Serial1quitRBospf enableRB-ospfinterface s0RB-Serial0ospf enable area 0RB-Serial0interface s1RB-Serial1ospf enable area 0RB-Seria

32、l1quitRBinterface eth0RB-Ethernet0ip address RB-Ethernet0ospf enable area 0RB-Ethernet0quit3. 配置路由器RCRCinterface S0RC-Serial0ip address RC-Serial0interface S1RC-Serial1ip address RC-Serial1quitRCospf enableRC-ospfinterface s0RC-Serial0ospf enable area 0RC-Serial0interface s1RC-Serial1ospf enable are

33、a 0RC-Serial1quitRCinterface eth0RC-Ethernet0ip address RC-Ethernet0ospf enable area 0RC-Ethernet0quit4. 配置路由器RDRDinterface S0RD-Serial0ip address RD-Serial0interface S1RD-Serial1ip address RD-Serial1interface eth0RD-Ethernet0ip address RD-Ethernet0quitRDospf enableRD-ospfinterface s0RD-Serial0ospf

34、enable area 0RD-Serial0interface s1RD-Serial1ospf enable area 0RD-Serial1interface e0RD-Ethernet0ospf enable area 0RD-Ethernet0quit如此配置完成后，所有的端口都可以相互PING通。如图2.1 构建的小型局域网就完成了。第5章 防火墙5.1防火墙简介5.1.1什么是防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，拒绝非法用户访问网络并保障合法用户正常工作，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃。为了阻止未

35、经认证或者未经授权的用户访问保护部网络或数据，防止来自外网的恶意攻击，一般将防火墙设置在外部网和部网的连接处。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来，从而达到即使该访问是来自局域网部，也必须经过防火墙的过滤的效果。 防火墙可通过监测、限制、更改跨越防火墙的数据流来保护部网络的安全性，尽可能地对外部屏蔽网络部的信息、结构和运行状况。现在的许多防火墙同时甚至还可以对用户进行身份鉴别，对信息进行安全加密处理等等。5.1.2防火墙的分类防火墙一般被分为网络层防火墙和应用层防火墙两种类型。网络层防火墙主要是用来获取协议号、源地址、目的地址和目的端口等等数据包的信息；或者选择直接获

36、取的一段数据。而选择对整个信息流进行系统的分析则是应用层防火墙。常见的防火墙有以下几类：1.应用网关（Application Gateway）：检验通过此网关的所有数据包中的位于应用层的数据。比如FTP网关，连接中传输的所有FTP数据包都必须经过此FTP网关。2.包过滤（Packet Filter）：是指对每个数据包都将会完全按照用户所定义的规则来比较进入的数据包的源地址、目的地址是否符合所定义的规则。如用户规定禁止端口是25或者大于等于1024的数据包通过，则只要端口符合该条件，该数据包便被禁止通过此防火墙。3.代理（Proxy）：通常情况下指的是地址代理。它的机制是将网主机的IP地址和端口

37、替换为路由器或者服务器的IP地址和端口。让所有的外部网络主机与部网络之间的相互访问都必须通过使用代理服务器来实现。这样，就可以控制外部网络中的主机对部网络中具有重要资源的机器的访问。5.2 包过滤一般情况下，包过滤是指对路由器需要转发的数据包，先获取信息中所承载的上层IP协议中的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，比较后的结果对数据包进行转发或者丢弃。因此只要用户所配置的规则比较符合实际的应用，那么在这一层就可以过滤掉许多带有安全隐患的未知数据包。包过滤（对IP数据包）所选取用来判断的元素如下图所示（图中IP所承载的上层协议为TCP）。图5.1

38、包过滤示意图5.2.1包过滤可实现的功能1. 不让任何人从外界使用Telnet登录。2. 让每个人经由SMTP（Simple Message Transfer Protocol，简单传输协议）向我们发送电子。3. 使得某台机器可以通过NNTP（Network News Transfer Protocol，网络新闻传输协议）向我们发送新闻，而其它机器都不具备此项服务等等。5.2.2网络设备的包过滤的特性1. 基于访问控制列表（ACL）：访问控制列表的运用面很广，它不仅仅可以应用在包过滤中，还可应用在如地址转换和IPSec等其它需要对数据流进行分类的特性中的应用中。1.1支持标准与扩展访问控制列表

39、：可以是只设定一个简单的地址围的标准访问控制列表；也可以使用具体到协议、源地址围、目的地址围、源端口围、目的端口围以与优先级与服务类型等等的扩展访问控制列表功能。1.2. 支持时间段：可以使访问控制列表在完全自定义的特定的时间段起作用，比如可设置每周一的8:00至20:00此访问控制列表起作用。2. 支持访问控制列表的自动排序：为了简化配置的复杂程度，方便对于访问控制列表的配置与维护，可以选择是否针对某一类的访问控制列表进行自动排序。 3. 可以具体到接口的输入与输出方向：可以在连接WAN的接口的输出方向上应用某条包过滤规则，也可以在该接口的输入方向上应用其它的包过滤规则。4. 支持基于接口进

40、行过滤：可以在一个接口的某个方向上设定禁止或允许转发来自某个接口的报文。5. 支持对符合条件的报文做日志：可记录报文的相关信息，并提供机制保证在有大量一样触发日志的情况下不会消耗过多的资源。本文主要使用包过滤功能（ACL访问控制列表）实现基本的防火墙功能，下面将着重介绍ACL访问控制列表的配置。第6章 ACL配置6.1访问控制列表简单的来说就是需要配置一些过滤数据包的规则，规定什么样的数据包可以通过，什么样的数据包不能通过。访问控制列表可分为标准访问控制列表和扩展访问控制列表。6.1.1标准访问控制列表acl acl-number match-order config | auto rule

41、normal | special permit | deny source source-addr source-wildcard | any 6.1.2扩展访问控制列表acl acl-number match-order config | auto rule normal | special permit | deny pro-number source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destinatio

42、n-port operator port1 port2 icmp-type icmp-type icmp-code logging其中“protocol-number”用名字或数字表示的IP承载的协议类型。数字围为0255；名字取值围为：icmp、igmp、ip、tcp、udp、gre、ospf。对于“protocol”参数的不同，该命令又有以下形式：1.“protocol”为ICMP时的命令格式如下：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination des

43、t-addr dest- wildcard | any icmp-type icmp-type icmp-code logging2. “protocol”为IGMP、IP、GRE、OSPF时的命令格式如下： rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging3.“protocol”为TCP或UDP时的命令格式如下：rule normal | sp

44、ecial permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging只有TCP和UDP协议需要指定端口围，支持的操作符与其语法如下表：表6.1扩展访问列表的操作符operator的意义操作符与语法意义equal port-number等于端口号port-numbergreater-t

45、han port-number大于端口号port-numberless-than port-number小于端口号port-numbernot-equal port-number不等于端口号port-numberrange port-number1 port-number2介于端口号port-number1 和 port-number2之间用户通过配置防火墙添加适当的访问规则，就可利用包过滤来对通过路由器的IP包进行检查，从而过滤掉用户不希望通过路由器的包，起到网络安全的作用。6.2防火墙的配置防火墙的配置包括：1.允许/禁止防火墙2.配置标准访问控制列表3.配置扩展访问控制列表4.配置在接口

46、上应用访问控制列表的规则5.设置防火墙的缺省过滤方式6.设置特殊时间段6.2.1配置步骤配置路由器RA：RAfirewall enable 启用防火墙功能RAtimerange enable 启用时间段功能RAfirewall default permit 设置防火墙缺省过滤方式RAsettr 08:00 18:00 *设定工作时间段*RAacl 3001 创建ACL规则编号3001RA-acl-3001rule special deny tcp source any destination any destination-port greater-than 1024RAacl 3002RA-

47、acl-3002rule permit ip source destination 55 在下班时间允许PC-A 访问网段202.0.3.*RA-acl-3002rule permit tcp source any destination any destination-port eq smtp 在下班时间允许发送RA-acl-3002rule special deny ip source destination 55 在上班时间禁止PC-A访问网段202.0.3.*RA-acl-3002rule special permit ip source destination 7 0 在上班时间允许

48、PC-A 只能访问百度RA-acl-3002rule special deny tcp source destination any destination-port eq smtp 在上班时间禁止PC-A对外发送RA-acl-3002rule special deny tcp source destination any destination-port eq 在上班时间禁止PC-B 使用www服务RA-acl-3002rule special deny tcp source destination any destination-port eq smtp 在上班时间禁止PC-B对外发送RA

49、-acl-3002rule special permit tcp source destination any destination-port eq ftp 在上班时间允许PC-B使用ftp服务RA-acl-3002rule special permit tcp source destination any destination equal telnet 在上班时间允许PC-C使用telnet功能RA-acl-3002quitRAinterface s0RA-s0firewall packet-filter 3001 inbound 将规则3001作用于从接口S0进入的包RA-s0quit

50、RAinterface e0RA-E0firewall packet-filter 3002 inbound 将规则3002作用于从接口Ethernet0进入的包配置路由器RB:RBfirewall enableRBfirewall default permitRBacl 3003禁止所有包通过RB-acl-3003rule deny ip source any destination any 配置规则允许特定主机访问外部网，允许部服务器访问外部网。RB-acl-3003rule permit ip source destination any RB-acl-3003rule permit i

51、p source destination anyRB-acl-3003rule permit ip source destination anyRB-acl-3003rule permit ip source destination anyRBacl 3004配置规则允许特定用户从外部网访问部特定服务器。RB-acl-3004rule permit ip source destination 55 RB-acl-3004rule deny ip source destination 55配置规则允许特定用户从外部网取得数据（只允许端口大于1024的包）。RB-acl-3004rule perm

52、it tcp source any destination destination-port greater-than 1024 RB-acl-3004quitRBinterface E0RB-E0firewall packet-filter 3003 inboundRB-EOquitRBinterface S1RB-S1fire packet-filter 3004 inboundRB-s1quit配置路由器RC:RCfirewall enableRCtimerange enableRCfirewall default permitRCsettr 17:00 17:05 RCacl 3006

53、RC-acl-3006rule normal permit icmp source destination icmp-type echoRC-acl-3006rule normal permit icmp source destination icmp-type echo-replyRC-acl-3006rule normal permit icmp source destination icmp-type echo-replyRC-acl-3006rule normal permit icmp source destination icmp-type echoRC-acl-3006rule

54、normal deny tcp source destination destination-port equal telnetRC-acl-3006rule normal deny tcp source destination destination-port equal telnetRC-acl-3006rule special deny icmp source destination icmp-type echoRC-acl-3006rule special deny icmp source destination icmp-type echo-replyRC-acl-3006rule

55、special deny icmp source destination icmp-type echoRC-acl-3006rule special deny icmp source destination icmp-type echo-replyRC-acl-3006quitRCinterface s0RC-Serial0fire packet-filter 3006 inbound配置路由器RD:RDfirewall enableRDtimerange enableRDfirewall default permitRDsettr 18:00 23:59RDacl 3005RD-acl-30

56、05rule deny ip source destination any 在普通时段禁止访问部网RD-acl-3005rule special permit ip source destination 在特殊时段可以访问PC-E将一些常用病毒入侵的端口禁用，防止病毒入侵RD-acl-3005rule deny udp source any destination any destination-port eq 135RD-acl-3005rule deny udp source any destination any destination-port eq 137RD-acl-3005rul

57、e deny udp source any destination any destination-port eq 138RD-acl-3005rule deny udp source any destination any destination-port eq 445RD-acl-3005rule deny udp source any destination any destination-port eq 1434RD-acl-3005rule deny tcp source any destination any destination-port eq 135RD-acl-3005ru

58、le deny tcp source any destination any destination-port eq 137RD-acl-3005rule deny tcp source any destination any destination-port eq 139RD-acl-3005rule deny tcp source any destination any destination-port eq 445RD-acl-3005rule deny tcp source any destination any destination-port eq 4444RD-acl-3005r

59、ule deny tcp source any destination any destination-port eq 5554RD-acl-3005rule deny tcp source any destination any destination-port eq 9995RD-acl-3005rule deny tcp source any destination any destination-port eq 9996RD-acl-3005quitRDinterface E0RD-E0fire packet-filter 3005 inboundRD-E0quit6.2.2防火墙的显

60、示与调试在所有视图下使用debugging、reset、display命令。表6.2防火墙的显示和调试操作命令显示包过滤规则与在接口上的应用display acl all | acl-number | interface type number 显示防火墙状态display firewall显示当前时间段的围display timerange显示当前时间是否在特殊时间段之display isintr清除访问规则计数器reset acl counters acl-number 打开防火墙包过滤调试信息开关debugging filter all | icmp | tcp | udp结论本文介绍了