电子实验
实验十三、防火墙的配置
一. 实验原理
1.1 防火墙原理
网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。在网络安全技术中,防火墙技术是一种经常被采用的对报文的访问控制技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。为了对进入网络的数
据进行访问控制,防火墙需要对每个进入的数据包按照预先设定的规则进行检查。目前的防火墙也有检查由内到外的数据包的功能。
我们在系统视图下,使用如下命令启用防火墙功能:
[Quidway]firewall enable
并在接口视图下利用如下命令将规则应用到该接口的某个方向上:
[Quidway-Ethernet0]firewall packet-filter acl-number[inbound |
outbound]
可以在系统视图下使用如下命令改变缺省行为:
[Quidway]firewall default deny | permit
1.2 访问控制列表ACL
路由器的防火墙配置包括两个内容,一是定义对特定数据流的访问控
制规则,即定义访问控制列表ACL;二是定义将特定的规则应用到具体的
接口上,从而过滤特定方向上的数据流。
常用的访问控制列表可以分为两种:标准访问控制列表和扩展访问控
制列表。标准访问控制列表仅仅根据IP 报文的源地址域区分不同的数据
流,扩展访问控制列表则可以根据IP 报文中更多的域(如目的IP 地址,
上层协议信息等)来区分不同的数据流。所有访问控制列表都有一个编号,
标准访问控制列表和扩展访问控制列表按照这个编号区分:标准访问控制
列表编号范围为1~99,扩展访问控制列表为100~199。
定义标准访问控制列表的命令格式为:
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit|deny}[source source-addr
source-wildcard | any]
以下是一个标准访问控制列表的例子:
[Quidway]acl 20
[Quidway-acl-20]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-20]rule normal deny source any
这个访问控制列表20 包含两条规则,共同表示除了源IP 地址在网络
10.0.0.0/24 内的允许通过以外,其他源IP 地址的数据包都禁止通过。
定义扩展访问控制列表的规则
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit | deny}pro-number [source
source-addr source-wildcard | any][source-port operator
port1[port2]][destination dest-addr dest-wildcard | any][destination-port
operator port1[port2]][icmp-type icmp-type icmp-code][logging]
以下是一个扩展访问控制列表的例子:
[Quidway]acl 120
[Quidway-acl-120]rule normal permit ip source 10.0.0.1 0.0.0.0
destination 202.0.0.1 0.0.0.0
[Quidway-acl-120]rule normal deny ip source any destination any
这条访问控制列表120 规定了除主机10.0.0.1 到主机202.0.0.1 的数据
流可以通过外,其他一律禁止。
[Quidway]acl 121
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.1 0.0.0.0
destination-port eaual ftp logging
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.2 0.0.0.0
destination-port eaual telnet logging
[Quidway-acl-121]rule deny ip source any destination any
这种规则实现的需求是:仅允许目的为FTP 服务器10.0.0.1 的FTP 请
求报文输入和目的为TELNET 服务器10.0.0.2 的TELNET 报文输入,禁止其他一切输入报文。
二. 实验内容:防火墙的配置
三. 实验目的:学习配置访问控制列表设计防火墙
四. 实验环境:实验环境如下图所示:
公司对外的IP 地址为202.38.160.1。通过配置防火墙,希望实现以下
要求:
(1)外部网络只有特定用户可以访问内部服务器
(2)内部网络只有特定主机可以访问外部网络。
在本实验中,假定外部特定用户的IP 地址为202.39.2.3。
五. 实验步骤:
(1)启用防火墙功能
(2)设置防火墙缺省过滤方式为允许通过
(3)配置允许特定主机允许访问外部网,此处的特定主机为129.38.1.4 和
三个服务器
(4)配置规则允许特定用户从外部网访问内部服务器
(5)将第三步所配规则作用于从接口E0 进入的包
(6)将第四步所配规则作用于从接口S0 进入的包
六.思考题:
(1)如下图所示的网络环境中,基于需求:PCA 可以ping 通PCB,但是
PCB 不能ping 通PCA,请列出路由器RTA 上的防火墙配置。
路由器各接口IP 地址设置如下:
RTA RTB
E0 10.0.0.1/24 10.0.2.1/24
S0 10.0.1.1/24 10.0.1.2/24
PC 机的IP 地址和缺省网关的IP 地址如下:
PCA PCB
IP Address 10.0.0.2/24 10.0.2.2/24
Gateway 10.0.0.1 10.0.2.1
全部0条评论
快来发表一下你的评论吧 !