网络的主要任务是提供信息传输服务,确保数据在传输过程中的安全至关重要。防火墙技术是一种常见的网络安全手段,通过对进入网络的数据包进行检查,防止非法数据流进入内部网络。这个过程涉及到访问控制列表(ACL)的设置和应用。
首先,我们需要在系统视图中启用防火墙功能,命令如下: ``` [Quidway]firewall enable ``` 接着,在接口视图中,我们可以将特定的规则应用到接口的某个方向上,例如: ``` [Quidway-Ethernet0]firewall packet-filter acl-number[inbound | outbound] ``` 此外,还可以在系统视图中设置防火墙的默认行为,允许或拒绝所有未明确指定的数据包: ``` [Quidway]firewall default deny | permit ```
访问控制列表(ACL)是防火墙配置的核心部分,它包括定义数据流访问控制规则和应用这些规则到具体接口。标准访问控制列表和扩展访问控制列表是两种常用的列表,前者主要根据源ip地址进行区分,后者则可以基于更多字段,如目的IP地址、协议类型等。
例如,我们可以定义一个标准访问控制列表,允许来自特定网络的数据包通过,同时拒绝其他数据包: ``` [Quidway]acl 20 [Quidway-acl-20]rule normal permit source 10.0.0.0 0.0.0.255 [Quidway-acl-20]rule normal deny source any ```
而在扩展访问控制列表中,我们可以更精细地控制数据流,例如允许特定IP地址之间的数据传输,同时记录日志信息: ``` [Quidway]acl 120 [Quidway-acl-120]rule normal permit ip source 10.0.0.1 0.0.0.0 destiNATion 202.0.0.1 0.0.0.0 logging ```
在实际应用中,防火墙的配置通常需要满足以下要求:
1. 外部网络只有特定用户可以访问内部服务器。 2. 内部网络只有特定主机可以访问外部网络。
以下是一个配置示例:
第一步,启用防火墙功能: ``` [Quidway]firewall enable ```
第二步,设置防火墙默认行为为允许通过: ``` [Quidway]firewall default permit ```
第三步,配置特定主机可以访问外部网络: ``` [Quidway]acl 30 [Quidway-acl-30]rule permit ip source 129.38.1.4 0.0.0.0 any ```
第四步,配置外部特定用户可以访问内部服务器: ``` [Quidway]acl 40 [Quidway-acl-40]rule permit ip source 202.39.2.3 0.0.0.0 destination 10.0.0.1 0.0.0.0 ```
第五步,将第三步的规则应用到接口E0进入的数据包: ``` [Quidway-Ethernet0]firewall packet-filter 30 inbound ```
第六步,将第四步的规则应用到接口S0进入的数据包: ``` [Quidway-Serial0]firewall packet-filter 40 inbound ```
通过上述配置,我们就可以有效地控制数据包的流向,确保网络的安全性。同时,还需不断调整和优化防火墙规则,以适应不断变化的网络环境。
实验十三、防火墙的配置
一. 实验原理
1.1 防火墙原理
网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。在网络安全技术中,防火墙技术是一种经常被采用的对报文的访问控制技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。为了对进入网络的数
据进行访问控制,防火墙需要对每个进入的数据包按照预先设定的规则进行检查。目前的防火墙也有检查由内到外的数据包的功能。
我们在系统视图下,使用如下命令启用防火墙功能:
[Quidway]firewall enable
并在接口视图下利用如下命令将规则应用到该接口的某个方向上:
[Quidway-Ethernet0]firewall packet-filter acl-number[inbound |
outbound]
可以在系统视图下使用如下命令改变缺省行为:
[Quidway]firewall default deny | permit
1.2 访问控制列表ACL
路由器的防火墙配置包括两个内容,一是定义对特定数据流的访问控
制规则,即定义访问控制列表ACL;二是定义将特定的规则应用到具体的
接口上,从而过滤特定方向上的数据流。
常用的访问控制列表可以分为两种:标准访问控制列表和扩展访问控
制列表。标准访问控制列表仅仅根据IP 报文的源地址域区分不同的数据
流,扩展访问控制列表则可以根据IP 报文中更多的域(如目的IP 地址,
上层协议信息等)来区分不同的数据流。所有访问控制列表都有一个编号,
标准访问控制列表和扩展访问控制列表按照这个编号区分:标准访问控制
列表编号范围为1~99,扩展访问控制列表为100~199。
定义标准访问控制列表的命令格式为:
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit|deny}[source source-addr
source-wildcard | any]
以下是一个标准访问控制列表的例子:
[Quidway]acl 20
[Quidway-acl-20]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-20]rule normal deny source any
这个访问控制列表20 包含两条规则,共同表示除了源IP 地址在网络
10.0.0.0/24 内的允许通过以外,其他源IP 地址的数据包都禁止通过。
定义扩展访问控制列表的规则
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit | deny}pro-number [source
source-addr source-wildcard | any][source-port operator
port1[port2]][destination dest-addr dest-wildcard | any][destination-port
operator port1[port2]][icmp-type icmp-type icmp-code][logging]
以下是一个扩展访问控制列表的例子:
[Quidway]acl 120
[Quidway-acl-120]rule normal permit ip source 10.0.0.1 0.0.0.0
destination 202.0.0.1 0.0.0.0
[Quidway-acl-120]rule normal deny ip source any destination any
这条访问控制列表120 规定了除主机10.0.0.1 到主机202.0.0.1 的数据
流可以通过外,其他一律禁止。
[Quidway]acl 121
[Quidway-acl-121]rule permit TCP source any destination 10.0.0.1 0.0.0.0
destination-port eaual ftp logging
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.2 0.0.0.0
destination-port eaual Telnet logging
[Quidway-acl-121]rule deny ip source any destination any
这种规则实现的需求是:仅允许目的为FTP 服务器10.0.0.1 的FTP 请
求报文输入和目的为TELNET 服务器10.0.0.2 的TELNET 报文输入,禁止其他一切输入报文。
二. 实验内容:防火墙的配置
三. 实验目的:学习配置访问控制列表设计防火墙
四. 实验环境:实验环境如下图所示:
公司对外的IP 地址为202.38.160.1。通过配置防火墙,希望实现以下
要求:
(1)外部网络只有特定用户可以访问内部服务器
(2)内部网络只有特定主机可以访问外部网络。
在本实验中,假定外部特定用户的IP 地址为202.39.2.3。
五. 实验步骤:
(1)启用防火墙功能
(2)设置防火墙缺省过滤方式为允许通过
(3)配置允许特定主机允许访问外部网,此处的特定主机为129.38.1.4 和
三个服务器
(4)配置规则允许特定用户从外部网访问内部服务器
(5)将第三步所配规则作用于从接口E0 进入的包
(6)将第四步所配规则作用于从接口S0 进入的包
六.思考题:
(1)如下图所示的网络环境中,基于需求:PCA 可以ping 通PCB,但是
PCB 不能ping 通PCA,请列出路由器RTA 上的防火墙配置。
路由器各接口IP 地址设置如下:
RTA RTB
E0 10.0.0.1/24 10.0.2.1/24
S0 10.0.1.1/24 10.0.1.2/24
PC 机的IP 地址和缺省网关的IP 地址如下:
PCA PCB
IP Address 10.0.0.2/24 10.0.2.2/24
Gateway 10.0.0.1 10.0.2.1
