电脑桌面
添加小米粒文库到电脑桌面
安装后可以在桌面快捷访问

防火墙配置与NAT配置VIP专享VIP免费

防火墙配置与NAT配置_第1页
防火墙配置与NAT配置_第2页
防火墙配置与NAT配置_第3页
1第七讲防火墙配置与NAT配置防火墙技术访问控制列表AR18防火墙配置AR28防火墙配置NAT技术AR18NAT配置AR28NAT配置2防火墙技术—概念防火墙(Firewall)的本义是一种建筑结构,它用来防止大火从建筑物的一部分蔓延到另一部分。在计算机网络中,防火墙是指用于完成下述功能的软件或硬件:对单个主机或整个计算机网络进行保护,使之能够抵抗来自外部网络的不正当访问。3防火墙技术—分类包过滤防火墙(PacketFilterFirewall):对IP包进行过滤,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然后和设定的规则进行比较,根据比较的结果决定数据包是否被允许通过。应用层报文过滤(ApplicationSpecificPacketFilter):也称为状态防火墙,它维护每一个连接的状态,并且检查应用层协议的数据,以此决定数据包是否被允许通过。4防火墙技术—示意图RInternet公司总部内部网络未授权用户办事处防火墙一般被放置在内部网和Internet之间5防火墙技术—路由器实现包过滤防火墙路由器上的IP包转发机制IPPacketIPPacket网络层数据链路层输入IP包规则库输出IP包规则库由规则决定对IP包的处理:丢弃或通过由规则决定对IP包的处理:丢弃或通过路由器可以在输入和输出两个方向上对IP包进行过滤接口1接口26访问控制列表—概念访问控制列表(AccessControlList,ACL)是实现包过滤规则库的一般方法,它由一系列“permit”或“deny”的规则组成。除安全之外,访问控制列表还有以下两种应用:QoS(QualityofService)NAT(NetworkAddressTranslation)7访问控制列表—分类(AR18)标准访问控制列表只使用源IP地址来描述IP包数字标识:2000—2999扩展访问控制列表使用源和目的IP地址,协议号,源和目的端口号来描述IP包数字标识:3000—39998访问控制列表—标准ACL[Quidway]aclacl-number[match-order{config|auto}]acl-number:2000—2999config:配置顺序//缺省值auto:深度优先[Quidway-acl-2000]rule[normal|special]{permit|deny}[sourcesource-addrsource-wildcard|any]normal:该规则在所有时间段内起作用;//缺省值special:该规则在指定时间段内起作用,使用special时用户需另外设定时间段source-wildcard:反掩码(通配符)9访问控制列表—反掩码(通配符)例如:[Quidway-acl-2000]rulenormalpermitsource192.168.1.00.0.0.255反掩码和子网掩码功能相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位10访问控制列表—扩展ACL配置TCP/UDP协议的扩展ACL配置ICMP协议的扩展ACL配置其他协议的扩展ACL11访问控制列表—扩展ACL(续)配置TCP/UDP协议的扩展ACL:rule[normal|special]{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]]Operator的语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号portnumbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间12访问控制列表—扩展ACL(续)配置TCP/UDP协议的扩展ACL举例:rulenormaldenytcpsource192.168.0.10.0.0.0destination202.118.66.660.0.0.0destination-portequal80配置ICMP协议的扩展ACL:rule[normal|special]{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code]注:缺省为全部ICMP消息类型配置ICMP协议的扩展ACL举例:rulenormaldenyicmpsourceanydestination210.30.103.00.0.0.255icmp-typeecho13访问控制列表—扩展ACL(续)ICMP协议消息类型的助记符:echoecho-replyhost-unreachablenet-redirectnet-unreachableparameter-problemport-unre...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。
3、如文档内容存在违规,或者侵犯商业秘密、侵犯著作权等,请点击“违规举报”。

碎片内容

确认删除?
VIP
微信客服
  • 扫码咨询
会员Q群
  • 会员专属群点击这里加入QQ群
客服邮箱
回到顶部