实验防火墙访问控制列表配置实验

实验防火墙访问控制列表配置实验第一页，共二十九页，2022年，8月28日学习目标掌握一般防火墙技术掌握地址转换技术学习完本课程，您应该能够：第二页，共二十九页，2022年，8月28日课程内容

第一节防火墙第二节地址转换第三页，共二十九页，2022年，8月28日防火墙示意图对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处第四页，共二十九页，2022年，8月28日路由器实现防火墙功能IP报文转发机制IPPacketIPPacket网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作：丢弃或转发由规则决定报文转发动作：丢弃或转发第五页，共二十九页，2022年，8月28日访问控制列表的作用访问控制列表可以用于防火墙；访问控制列表可用于QoS（QualityofService），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。第六页，共二十九页，2022年，8月28日ACL的机理一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则第七页，共二十九页，2022年，8月28日访问控制列表的分类按照访问控制列表的用途可以分为四类:基本的访问控制列表（basicacl）高级的访问控制列表（advancedacl）基于接口的访问控制列表（interface-basedacl）基于MAC的访问控制列表（mac-basedacl）第八页，共二十九页，2022年，8月28日访问控制列表的标识利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表1000～1999基本的访问控制列表2000～2999高级的访问控制列表3000～3999基于MAC地址访问控制列表4000～4999第九页，共二十九页，2022年，8月28日基本访问控制列表基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器第十页，共二十九页，2022年，8月28日基本访问控制列表的配置配置基本访问列表的命令格式如下：acl

number

acl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]怎样利用IP地址和

反掩码wildcard-mask

来表示一个网段?第十一页，共二十九页，2022年，8月28日反掩码的使用反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位第十二页，共二十九页，2022年，8月28日高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器第十三页，共二十九页，2022年，8月28日高级访问控制列表的配置高级访问控制列表规则的配置命令：rule[rule-id]{permit|deny}protocol[source

sour-addrsour-wildcard|any][destination

dest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-type

icmp-code}][precedence

precedence][tos

tos][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]第十四页，共二十九页，2022年，8月28日高级访问控制列表操作符操作符及语法意义eqportnumber等于端口号portnumbergtportnumber

大于端口号portnumberltportnumber

小于端口号portnumberneqportnumber不等于端口号portnumber

rangeportnumber1portnumber2介于端口号portnumber1

和portnumber2之间第十五页，共二十九页，2022年，8月28日高级访问控制列表举例ruledenyicmpsource55destinationanyicmp-typehost-redirect

ruledenytcpsource55destination55destination-porteqwwwlogging

/16ICMP主机重定向报文TCP报文/16/24WWW端口第十六页，共二十九页，2022年，8月28日基于接口的访问控制列表基于接口的访问控制列表的配置aclnumberacl-number[match-order{config|auto}]rule{permit|deny}[interface

interface-name][time-range

time-name][logging]undorule

rule-id第十七页，共二十九页，2022年，8月28日访问控制列表的使用防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上公司总部网络启用防火墙将访问控制列表应用到接口上第十八页，共二十九页，2022年，8月28日防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的统计信息displayfirewall-statistics{all|interface

interface-name|fragments-inspect}

打开防火墙包过滤调试信息开关debuggingfirewall

{all|icmp|tcp|udp|others}[interfaceinterface-name

]第十九页，共二十九页，2022年，8月28日访问控制列表的显示访问控制列表的显示与调试display

acl{all|acl-number}reset

acl

counter{all|acl-number}第二十页，共二十九页，2022年，8月28日在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewall

packet-filter

acl-number{inbound|outbound}[match-fragments{normally|exactly}]Ethernet0/0访问控制列表3000作用在Ethernet0/0接口在out方向有效Serial0/0访问控制列表2000作用在Serial0/0接口上在in方向上有效第二十一页，共二十九页，2022年，8月28日基于时间段的包过滤“特殊时间段内应用特殊的规则”上班时间（上午8：00－下午5：00）只能访问特定的站点；其余时间可以访问其他站点第二十二页，共二十九页，2022年，8月28日时间段的配置命令timerange命令time-rangetime-name[start-timetoend-time][days][

fromtime1date1][totime2date2]显示timerange命令displaytime-range{all|time-name}第二十三页，共二十九页，2022年，8月28日访问控制列表的组合一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledenysource55rulepermitsource55两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主机（）的访问规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。第二十四页，共二十九页，2022年，8月28日实验命令A路由器：第一步：配置rip路由[Quidway]inte0/0[Quidway]ints3/0[Quidway]rip[Quidway]network[Quidway]network第二步：配置ACL[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]rule0denyipsourceanydestinationany第二十五页，共二十九页，2022年，8月28日[Quidway-acl-adv-3000]rule1permitipsource0destinationany[Quidway-acl-adv-3000]rule2permitipsource0destinationany[Quidway]inte0/0[Quidway-Ethernet0/0]firewallpacket-filter3000inbound第三步：验证主机配置IP地址等，用Ping命令测试连接对面的主机第一次：第二次：第二十六页，共二十九页，2022年，8月28日B路由器：第一步：配置rip路由[Quidway]inte0/0[Quidway]ints3/0[Quidway]rip第二步：配置ACL[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]rule0denyipsourceanydestinationany第二十七页，共二十九页，2022年，8月28日[Quidway-acl-adv-3000]rule1permitipsource0destinationany