返回
6-1. 防火墙技术与包过滤防火墙

6-1. 防火墙技术与包过滤防火墙

ID:40673106

大小:536.50 KB

页数:11页

时间:2019-08-06

6-1. 防火墙技术与包过滤防火墙_第1页
6-1. 防火墙技术与包过滤防火墙_第2页
6-1. 防火墙技术与包过滤防火墙_第3页
6-1. 防火墙技术与包过滤防火墙_第4页
6-1. 防火墙技术与包过滤防火墙_第5页
资源描述:

《6-1. 防火墙技术与包过滤防火墙》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、防火墙技术以及防火墙技术的演进(基于IOS)ACL及其应用领域:l对进入接口的流量进行过滤(inboundACL)l对离开接口的流量进行过滤(outboundACL)l控制对路由器VTY线路的访问l控制路由更新l在DDR应用环境中界定“感兴趣的流量”lQoS用途(用于对流量进行分类)l限制Debug信息的输出l另外,IPSecVPN等领域也会用到ACL综上所述,我们不难看出ACL的应用领域广阔,但在通常情况下ACL作为一种流量过滤工具,被用来过滤进入和穿越路由器的流量。注意:ACL不能够过滤本路由器产生的流量。ACL语句的基本组件:l条件——匹配数据包的相应内容l操作

2、——Permit【显式】orDeny【显式或隐式】ACL通过将以下信息与预定义的条件进行匹配,来进行过滤决策:l源地址、目的地址【3层】l第2层协议信息l第3层协议信息l第4层协议信息ACL的规则和限制:lACL规则按照名称/编号分组àACL不是一条规则,而是一系列规则的集合。l每条语句都只有一组条件和一个操作。l如果一条语句中的条件没有被匹配,则处理(同组内的)下一条ACL语句。l如果某一条语句中的条件被匹配,则不再处理后面的语句。lACL的末尾有隐式的拒绝语句。l一个有效的ACL至少要有一条显式的允许语句。l使用ACL过滤时,如果CiscoIOS丢弃数据包,则生成

3、ICMP管理性禁止消息。l最精确的、约束性最强的语句应该放在ACL的顶部;最粗略的、约束性最弱的语句应该放在列表的底部。l在每个接口、每个协议、每个方向上仅能应用一个ACL(例如,在一个接口的出方向上只能应用一个IPACL)。l在数据包被路由之前处理inboundACL。l在数据包被路由到接口之后、离开接口之前,处理outboundACL。lACL应用到接口之后会影响穿越或抵达该接口的流量,但是并不会影响本路由器产生的流量。l默认情况下,路由器上有一个NULLACL,而且这个ACL被应用到了所有的接口上,NULLACL允许所有的流量(因为空ACL没有定义任意规则)。常

4、用的ACL类型:lStandardAccessControlList【标准ACL】à应用在靠近“目的”的地方lExtendedAccessControlList【扩展ACL】à应用在靠近“源”的地方lTimeRangeAccessControlList【时域ACL】à定义ACL的有效时间lReflexiveAccessControlList【自反列表】à准状态化防火墙lContext-BasedAccessControl(CBAC)àIOS状态化防火墙lLock-and-KeyACL(DynamicACL)通常情况下,配置访问列表的工作分为两个部分:l配置访问列表的条

5、件和操作。l激活访问列表(调用ACL)。实验1:使用包过滤防火墙过滤登录流量以及穿越流量Step1:配置接口IP地址R1(config)#ints1/1R1(config-if)#ipadd12.0.0.1255.255.255.0R1(config-if)#noshR2(config)#ints1/0R2(config-if)#ipadd12.0.0.2255.255.255.0R2(config-if)#noshR2(config-if)#ints1/1R2(config-if)#ipadd23.0.0.2255.255.255.0R2(config-if)#no

6、shR2(config-if)#intfa0/0R2(config-if)#ipadd45.0.0.2255.255.255.0R2(config-if)#noshR3(config)#ints1/0R3(config-if)#ipadd23.0.0.3255.255.255.0R3(config-if)#noshPC4(config)#intfa0/0PC4(config-if)#ipadd45.0.0.4255.255.255.0PC4(config-if)#noshR5(config)#intfa0/0R5(config-if)#ipadd45.0.0.5255

7、.255.255.0R5(config-if)#nosh测试基本连通性:R2#ping12.0.0.1R2#ping23.0.0.3R2#ping45.0.0.4R2#ping45.0.0.5基本连通正常Step2:将R4、R5模拟成PC4、PC5PC4/PC5(config)#noiproutingStep3:配置R1、R2、R3的静态路由实现连通性,PC上要配置默认网关R1(config)#iproute23.0.0.0255.255.255.0serial1/1R1(config)#iproute45.0.0.0255.255.255.0ser

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。