返回
防火墙配置与NAT配置

防火墙配置与NAT配置

ID:42482436

大小:1.21 MB

页数:57页

时间:2019-09-15

防火墙配置与NAT配置_第1页
防火墙配置与NAT配置_第2页
防火墙配置与NAT配置_第3页
防火墙配置与NAT配置_第4页
防火墙配置与NAT配置_第5页
资源描述:

《防火墙配置与NAT配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第七讲防火墙配置与NAT配置防火墙技术访问控制列表AR18防火墙配置AR28防火墙配置NAT技术AR18NAT配置AR28NAT配置1防火墙技术—概念防火墙(Firewall)的本义是一种建筑结构,它用来防止大火从建筑物的一部分蔓延到另一部分。在计算机网络中,防火墙是指用于完成下述功能的软件或硬件:对单个主机或整个计算机网络进行保护,使之能够抵抗来自外部网络的不正当访问。2防火墙技术—分类包过滤防火墙(PacketFilterFirewall):对IP包进行过滤,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然

2、后和设定的规则进行比较,根据比较的结果决定数据包是否被允许通过。应用层报文过滤(ApplicationSpecificPacketFilter):也称为状态防火墙,它维护每一个连接的状态,并且检查应用层协议的数据,以此决定数据包是否被允许通过。3防火墙技术—示意图Internet公司总部内部网络未授权用户办事处防火墙一般被放置在内部网和Internet之间4防火墙技术—路由器实现包过滤防火墙路由器上的IP包转发机制IPPacketIPPacket网络层数据链路层输入IP包规则库输出IP包规则库由规则决定对IP包的处理:丢弃或通过由规则决定对IP包的处理:丢弃或通

3、过路由器可以在输入和输出两个方向上对IP包进行过滤接口1接口25访问控制列表—概念访问控制列表(AccessControlList,ACL)是实现包过滤规则库的一般方法,它由一系列“permit”或“deny”的规则组成。除安全之外,访问控制列表还有以下两种应用:QoS(QualityofService)NAT(NetworkAddressTranslation)6访问控制列表—分类(AR18)标准访问控制列表只使用源IP地址来描述IP包数字标识:2000—2999扩展访问控制列表使用源和目的IP地址,协议号,源和目的端口号来描述IP包数字标识:3000—399

4、97访问控制列表—标准ACL[Quidway]aclacl-number[match-order{config

5、auto}]acl-number:2000—2999config:配置顺序//缺省值auto:深度优先[Quidway-acl-2000]rule[normal

6、special]{permit

7、deny}[sourcesource-addrsource-wildcard

8、any]normal:该规则在所有时间段内起作用;//缺省值special:该规则在指定时间段内起作用,使用special时用户需另外设定时间段source-wildcard:反掩码(

9、通配符)8访问控制列表—反掩码(通配符)例如:[Quidway-acl-2000]rulenormalpermitsource192.168.1.00.0.0.255反掩码和子网掩码功能相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位9访问控制列表—扩展ACL配置TCP/UDP协议的扩展ACL配置ICMP协议的扩展ACL配置其他协议的扩展ACL10访问控制列表—扩展ACL(续)配置TCP/UDP协议的扩展ACL:rule[normal

10、

11、special]{permit

12、deny}{tcp

13、udp}[sourcesource-addrsource-wildcard

14、any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard

15、any][destination-portoperatorport1[port2]]Operator的语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号p

16、ortnumbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间11访问控制列表—扩展ACL(续)配置TCP/UDP协议的扩展ACL举例:rulenormaldenytcpsource192.168.0.10.0.0.0destination202.118.66.660.0.0.0destination-portequal80配置ICMP协议的扩展ACL:rule[normal

17、special]{permit

18、deny}icm

19、p[sourcesour

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。