实验8 防火墙访问控制列表ACL配置实验VIP专享VIP免费

华为3Com培训中心华为华为3Com3Com公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播Chapter11网络安全技术Chapter11网络安全技术ISSUE2.0ISSUE2.02学习目标学习目标掌握一般防火墙技术掌握地址转换技术学习完本课程，您应该能够：3课程内容课程内容第一节防火墙第一节防火墙第二节地址转换第二节地址转换4防火墙示意图防火墙示意图对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处5访问控制列表的作用访问控制列表的作用访问控制列表可以用于防火墙；访问控制列表可用于QoS（QualityofService），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。6ACL的机理ACL的机理一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则7访问控制列表的分类访问控制列表的分类按照访问控制列表的用途可以分为四类:基本的访问控制列表（basicacl）高级的访问控制列表（advancedacl）基于接口的访问控制列表（interface-basedacl）基于MAC的访问控制列表（mac-basedacl）8访问控制列表的标识访问控制列表的标识利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表1000～1999基本的访问控制列表2000～2999高级的访问控制列表3000～3999基于MAC地址访问控制列表4000～49999基本访问控制列表基本访问控制列表基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器10基本访问控制列表的配置基本访问控制列表的配置配置基本访问列表的命令格式如下：aclnumberacl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instanc-name]怎样利用IP地址和反掩码wildcard-mask来表示一个网段?11反掩码的使用反掩码的使用反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位12高级访问控制列表高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器13高级访问控制列表的配置高级访问控制列表的配置高级访问控制列表规则的配置命令：rule[rule-id]{permit|deny}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instancevpn-instanc-name]14高级访问控制列表操作符高级访问控制列表操作符操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间15高级访问控制列表举例高级访问控制列表举例ruledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-porteqwwwlogging10.1.0.0/16ICMP主机重定向报文TCP报文129.9.0.0/16202.38.160.0/24WWW端口16基于接口的访问控制列表基于接口的访问控制列表基于接口的访问控制列表的配置aclnumberacl...