防火墙配置与NAT配置VIP专享VIP免费

1第七讲防火墙配置与NAT配置防火墙技术访问控制列表AR18防火墙配置AR28防火墙配置NAT技术AR18NAT配置AR28NAT配置2防火墙技术—概念防火墙（Firewall）的本义是一种建筑结构，它用来防止大火从建筑物的一部分蔓延到另一部分。在计算机网络中，防火墙是指用于完成下述功能的软件或硬件：对单个主机或整个计算机网络进行保护，使之能够抵抗来自外部网络的不正当访问。3防火墙技术—分类包过滤防火墙（PacketFilterFirewall）：对IP包进行过滤，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等，然后和设定的规则进行比较，根据比较的结果决定数据包是否被允许通过。应用层报文过滤（ApplicationSpecificPacketFilter）：也称为状态防火墙，它维护每一个连接的状态，并且检查应用层协议的数据，以此决定数据包是否被允许通过。4防火墙技术—示意图RInternet公司总部内部网络未授权用户办事处防火墙一般被放置在内部网和Internet之间5防火墙技术—路由器实现包过滤防火墙路由器上的IP包转发机制IPPacketIPPacket网络层数据链路层输入IP包规则库输出IP包规则库由规则决定对IP包的处理:丢弃或通过由规则决定对IP包的处理:丢弃或通过路由器可以在输入和输出两个方向上对IP包进行过滤接口1接口26访问控制列表—概念访问控制列表（AccessControlList,ACL）是实现包过滤规则库的一般方法，它由一系列“permit”或“deny”的规则组成。除安全之外，访问控制列表还有以下两种应用：QoS（QualityofService）NAT（NetworkAddressTranslation）7访问控制列表—分类（AR18）标准访问控制列表只使用源IP地址来描述IP包数字标识：2000—2999扩展访问控制列表使用源和目的IP地址，协议号，源和目的端口号来描述IP包数字标识：3000—39998访问控制列表—标准ACL[Quidway]aclacl-number[match-order{config|auto}]acl-number：2000—2999config：配置顺序//缺省值auto：深度优先[Quidway-acl-2000]rule[normal|special]{permit|deny}[sourcesource-addrsource-wildcard|any]normal：该规则在所有时间段内起作用；//缺省值special：该规则在指定时间段内起作用，使用special时用户需另外设定时间段source-wildcard：反掩码（通配符）9访问控制列表—反掩码（通配符）例如：[Quidway-acl-2000]rulenormalpermitsource192.168.1.00.0.0.255反掩码和子网掩码功能相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位10访问控制列表—扩展ACL配置TCP/UDP协议的扩展ACL配置ICMP协议的扩展ACL配置其他协议的扩展ACL11访问控制列表—扩展ACL（续）配置TCP/UDP协议的扩展ACL：rule[normal|special]{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]]Operator的语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号portnumbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间12访问控制列表—扩展ACL（续）配置TCP/UDP协议的扩展ACL举例：rulenormaldenytcpsource192.168.0.10.0.0.0destination202.118.66.660.0.0.0destination-portequal80配置ICMP协议的扩展ACL：rule[normal|special]{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code]注：缺省为全部ICMP消息类型配置ICMP协议的扩展ACL举例：rulenormaldenyicmpsourceanydestination210.30.103.00.0.0.255icmp-typeecho13访问控制列表—扩展ACL（续）ICMP协议消息类型的助记符：echoecho-replyhost-unreachablenet-redirectnet-unreachableparameter-problemport-unre...