防火墙的配置

实验十三、防火墙的配置

一. 实验原理
1.1 防火墙原理
网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。在网络安全技术中，防火墙技术是一种经常被采用的对报文的访问控制技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。为了对进入网络的数
据进行访问控制，防火墙需要对每个进入的数据包按照预先设定的规则进行检查。目前的防火墙也有检查由内到外的数据包的功能。
我们在系统视图下，使用如下命令启用防火墙功能：
[Quidway]firewall enable
并在接口视图下利用如下命令将规则应用到该接口的某个方向上：
[Quidway-Ethernet0]firewall packet-filter acl-number[inbound |
outbound]
可以在系统视图下使用如下命令改变缺省行为：
[Quidway]firewall default deny | permit
1.2 访问控制列表ACL
路由器的防火墙配置包括两个内容，一是定义对特定数据流的访问控
制规则，即定义访问控制列表ACL；二是定义将特定的规则应用到具体的
接口上，从而过滤特定方向上的数据流。
常用的访问控制列表可以分为两种：标准访问控制列表和扩展访问控
制列表。标准访问控制列表仅仅根据IP 报文的源地址域区分不同的数据
流，扩展访问控制列表则可以根据IP 报文中更多的域（如目的IP 地址，
上层协议信息等）来区分不同的数据流。所有访问控制列表都有一个编号，
标准访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制
列表编号范围为1～99，扩展访问控制列表为100～199。
定义标准访问控制列表的命令格式为：
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit|deny}[source source-addr
source-wildcard | any]
以下是一个标准访问控制列表的例子：
[Quidway]acl 20
[Quidway-acl-20]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-20]rule normal deny source any
这个访问控制列表20 包含两条规则，共同表示除了源IP 地址在网络
10.0.0.0/24 内的允许通过以外，其他源IP 地址的数据包都禁止通过。
定义扩展访问控制列表的规则
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit | deny}pro-number [source
source-addr source-wildcard | any][source-port operator
port1[port2]][destination dest-addr dest-wildcard | any][destination-port
operator port1[port2]][icmp-type icmp-type icmp-code][logging]
以下是一个扩展访问控制列表的例子：
[Quidway]acl 120

[Quidway-acl-120]rule normal permit ip source 10.0.0.1 0.0.0.0
destination 202.0.0.1 0.0.0.0
[Quidway-acl-120]rule normal deny ip source any destination any
这条访问控制列表120 规定了除主机10.0.0.1 到主机202.0.0.1 的数据
流可以通过外，其他一律禁止。
[Quidway]acl 121
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.1 0.0.0.0
destination-port eaual ftp logging
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.2 0.0.0.0
destination-port eaual telnet logging
[Quidway-acl-121]rule deny ip source any destination any
这种规则实现的需求是：仅允许目的为FTP 服务器10.0.0.1 的FTP 请
求报文输入和目的为TELNET 服务器10.0.0.2 的TELNET 报文输入，禁止其他一切输入报文。
二. 实验内容：防火墙的配置
三. 实验目的：学习配置访问控制列表设计防火墙
四. 实验环境：实验环境如下图所示：

公司对外的IP 地址为202.38.160.1。通过配置防火墙，希望实现以下
要求：
（1）外部网络只有特定用户可以访问内部服务器
（2）内部网络只有特定主机可以访问外部网络。
在本实验中，假定外部特定用户的IP 地址为202.39.2.3。
五. 实验步骤：
（1）启用防火墙功能
（2）设置防火墙缺省过滤方式为允许通过
（3）配置允许特定主机允许访问外部网，此处的特定主机为129.38.1.4 和
三个服务器
（4）配置规则允许特定用户从外部网访问内部服务器
（5）将第三步所配规则作用于从接口E0 进入的包
（6）将第四步所配规则作用于从接口S0 进入的包
六．思考题：
（1）如下图所示的网络环境中，基于需求：PCA 可以ping 通PCB，但是
PCB 不能ping 通PCA，请列出路由器RTA 上的防火墙配置。

路由器各接口IP 地址设置如下：
RTA RTB
E0 10.0.0.1/24 10.0.2.1/24
S0 10.0.1.1/24 10.0.1.2/24
PC 机的IP 地址和缺省网关的IP 地址如下：
PCA PCB
IP Address 10.0.0.2/24 10.0.2.2/24

Gateway 10.0.0.1 10.0.2.1