实训指导3.1-1基于路由器配置基本防护功能.ppt

《实训指导3.1-1基于路由器配置基本防护功能.ppt》由会员分享，可在线阅读，更多相关《实训指导3.1-1基于路由器配置基本防护功能.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、专 业 务 实学学 以以 致致 用用国家高等职业教育国家高等职业教育网络技术专业教学资源库网络技术专业教学资源库计算机网络安全技术与实施计算机网络安全技术与实施学习情境学习情境学习情境学习情境3 3 3 3：实训任务：实训任务：实训任务：实训任务3.13.13.13.1基于路由器配置基本防护功能（基于路由器配置基本防护功能（PT+IOSPT+IOS）专 业 务 实学学 以以 致致 用用内容内容内容内容介绍介绍介绍介绍任务场景任务场景1任务相关任务相关工具软件介绍工具软件介绍2任务设计、规划任务设计、规划3任务实施及方法技巧任务实施及方法技巧4任务检查与评价任务检查与评价5任务总结任务总结6专

2、业 务 实学学 以以 致致 用用任务场景任务场景专 业 务 实学学 以以 致致 用用任务相关工具软件介绍任务相关工具软件介绍专 业 务 实学学 以以 致致 用用任务设计、规划任务设计、规划u对于一些小型企业网络的接入控制，可以通过基本的包过滤加以实现对于一些小型企业网络的接入控制，可以通过基本的包过滤加以实现专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧防火墙相关知识防火墙相关知识严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。在建筑中，防火墙是用于防止一侧起火而

3、引起另一侧起火而设置的一道屏障。网络中的防火墙也是由此引申面来的。由软件和硬件组成的防火墙应该具有以下功能：所有进出网络的通信数据流都应该通过防火墙。所有穿过防火墙的通信数据流都必须有安全策略和计划的确认和授权。理论上说，防火墙是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻击的。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 Internet防火墙防火墙路由器路由器LANWANISP交换机交换机内部网络内部网络外部网络外部网络专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方

4、法技巧 防火墙定义：防火墙定义：防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合，防火墙是作为Internet的第一道防线，是把内部网和公共网分隔的特殊网络互连设备，可以用于网络用户访问控制、认证服务、数据过滤等。防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是

5、提供可控的过滤网络通信，只允许授权的通信。它是网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。如图所示。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 防火墙技术的发展：防火墙技术的发展：u第一代防火墙：采用了包过滤（Packet Filter）技术。u第二、三代防火墙：1989年，推出了电路层

6、防火墙，和应用层防火墙的初步结构。u第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。u第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 设置防火墙的目的：设置防火墙的目的：u确保内部网向外部网的全功能互联和内部网的安全；u所有内部网络与外部网的信息交流必须经过防火墙；u只有按本地的安全策略被授权的信息才允许通过；u防火墙本身具有防止被穿透的能力。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 防火墙的功能：防火墙的功能：防火墙是网络安全的屏

7、障，防火墙是一个安全策略的检查站。防火墙可以强化网络安全策略。防火墙能有效地记录因特网上的活动，对网络存取和访问进行监控审计防止内部信息的外泄，防火墙限制暴露用户点。防火墙的作用：防火墙的作用：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 防火墙的局限性或不足之处防火墙的局限性或不足之处不能防范恶意的知情者。防火墙不能防范不通过它的连接-防火墙防外不防内。防火墙不能防备全部的威胁，防火墙只实现了粗粒度的访问控制。防火墙不能防范病毒，无法防止

8、数据驱动型攻击。防火墙难于管理和配置，易造成安全漏洞。很难为用户在防火墙内外提供一致的安全策略。防火墙的局限性不止防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。还有防火墙本身的缺陷。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 防火墙类型防火墙类型1-1-包过滤型包过滤型 包过滤路由器基本的思想很简单：对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包；往往配置成双向的。包过滤路由器如何过滤：u过滤的规则以IP和传输层

9、的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号。u过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。u如果匹配到一条规则，则根据此规则决定转发或者丢弃。u如果所有规则都不匹配，则根据缺省策略。安全缺省策略两种基本策略，或缺省策略：安全缺省策略两种基本策略，或缺省策略：u没有被拒绝的流量都可以通过：管理员必须针对每一种新出现的攻击，制定新的规则。u没有被允许的流量都要拒绝：比较保守，根据需要，逐渐开放。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 包过滤技术在网络层上进行监测，并没有考虑连接状态信息。通常在路由器上实现，

10、实际上是一种网络的访问控制机制。优点：实现简单、对用户透明、效率高缺点：正确制定规则并不容易、不可能引入认证机制举例：ipchains 和iptablesIpchains的用法示例：ipchains-A input-i eth0-s 192.168.1.0/24-j DENYipchains-A input-p tcp-d 162.105.73.192/26 any -y i eth0-j DENYipchains A input p tcp d 162.105.73.254 80-i eth0 j ACCEPT专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 此处实验

11、可以用ACL在PT中完成。往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口1023所有往内的包都是ACK=1专 业 务 实学学 以以 致致 用用B楼楼C楼楼E楼楼F楼楼G楼楼宾馆宾馆学生公寓学生公寓路由器路由器某职业技术学院网络拓扑图某职业技术学院网络拓扑图专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL简介简介（1）ACL技术产生背景 网络中数据流的多样性，用户要求对某些特定

12、的数据流采取特殊的策略，需要一种工具来挑选感兴趣的数据流：u只允许特定的主机访问服务器u限制FTP流量占用的带宽u过滤某些路由信息（2）什么是 ACL？Access Control list（访问控制列表），ACL是网络设备处理数据包转发的一组规则，网络设备利用这组规则来决定数据包允许转发还是拒绝转发。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL简介简介（3）ACL过滤依据u源 IP 地址u目的 IP 地址uMAC 地址u协议u应用类型专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL简介简介（4）ACL组成u由一组具有相同编号或者

13、名字的访问控制规则组成（ACL规则）u规则中定义检查字段u由Permit/deny定义执行的动作（5）ACL工作原理u通过编号或者名字调用ACLu网络设备根据ACL规则检查报文，并采取相应操作专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL简介简介（6）ACL匹配规则u自上而下u当报文匹配某条规则后，将执行操作，跳出匹配过程u细化的语句放在前面u缺省最后隐含一条“deny any”的规则（一个ACL中至少要有一条Permit规则）（7）ACL规则修改：全局模式下编号ACL规则的修改u新规则添加到ACL的末尾u无法单独删除某条规则建议：u导出配置文件进行修改u将AC

14、L规则复制到编辑工具进行修改u删除所有ACL规则重新编写专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL简介简介（8）ACL处理方法 在创建访问控制列表之后，必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量。所谓的入站或出站，总是相对路由器来说的。进入路由器接口的流量称为入站流量，流出接口的则称为出站流量。u数据包到达接口时，路由器会检查以下参数：u是否有针对该接口的 ACL？u该 ACL 控制的是入站流量还是出站流量？u此流量是否符合允许或拒绝的条件？专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 防火墙包过滤实验

15、防火墙包过滤实验2专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧（2）定义的字段）定义的字段 对于允许或拒绝对于允许或拒绝 IP 流量的访问列表，标识号的范围是流量的访问列表，标识号的范围是 1 到到 99 和和 1300 到到 1999。（1）标号范围）标号范围根据数据包的源根据数据包的源 IP 地址过滤数据包地址过滤数据包标准标准ACLACL专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧 access-list access-list-number deny|permit source address source-wildcard lo

16、g 删除 ACL：no access-list list number ACL 的应用：将 ACL 指派到一个或多个接口，指定是入站流量还是出站流量。尽可能靠近目的地址应用标准 ACL。(config-if)#ip access-group access list number in|out 要从接口中删除 ACL 而不破坏 ACL，使用 no ip access-group interface 命令。（3）基本配置）基本配置标准标准ACLACL专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧标准标准ACLACL 通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位

17、通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的 举例计算表示下列网络中的所有节点的通配符掩码：192.5.5.0 255.255.255.0192.5.5.0 255.255.255.0答案：192.5.5.0 0.0.0.255192.5.5.0 0.0.0.255这个通配符掩码与C类地址的子网掩码正好相反在本例中，根据通配符掩码中为0的位，比较数据包的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配 通配符掩码 0.0.0.0 要求 IP 地址的所有 32 个比特位均应完全匹配，作用等同于host参数。通配符掩码

18、255.255.255.255，是过滤所有主机，作用等同于any。（4）通配符掩码（）通配符掩码（wildcard）专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧（2）定义的字段）定义的字段 不仅可以根据源 IP 地址过滤，也可根据目的 IP 地址、协议和端口号过滤流量。扩展 ACL 的编号范围是 100 到 199 和 2000 到 2699。（1）标号范围）标号范围扩展扩展ACLACL专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧扩展扩展ACLACL access-list access-list-number permit|deny p

19、rotocol source source-wildcard destination destination-wildcard operator port log 举例：某公司有一台地址为 192.168.5.25 的服务器。该公司有以下要求：允许访问 192.168.1.0 局域网中的所有主机 允许访问主机 192.168.2.6 拒绝访问 192.168.3.0 局域网中的所有主机 允许访问企业中的所有其它主机 access-list 100 per ip 192.168.1.0 0.0.0.255 host 192.168.5.25 access-list 100 per host 19

20、2.168.2.6 0.0.0.255 host 192.168.5.25 access-list 100 deny ip 192.168.3.0 0.0.0.255 host 192.168.5.25 access-list 100 per ip any any（3）基本配置）基本配置专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧命名命名ACLR(config)#ip access-list standard|extended nameR(config-ext-nacl)#permit|deny protocol source source-wildcard des

21、tination destination-wildcard operator port log在接口上引用此名称即可，也可以配合NAT、VTY等访问被引用。命名ACL是以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以使网络管理员方便修改ACL。专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL配置（基于长春办事处接入路由器配置）配置（基于长春办事处接入路由器配置）u实例1：配合NAT转换u实例2：拒绝无线用户访问外网u实例3：过滤BOGONS网段u实例4：过滤典型病毒攻击专 业 务

22、 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL配置实例配置实例1：配合配合NATNAT转换转换/定义一个访问标准控制列表定义一个访问标准控制列表Z_R(config)#access-list 10 permit 192.168.201.0 0.0.0.255Z_R(config)#access-list 10 deny any /默认规则，可省略/定义基于接口的定义基于接口的NATNAT超载转换，并分别在接口下定义好超载转换，并分别在接口下定义好NATNAT内部与外部接口内部与外部接口Z_R(config)#ip nat inside source list 10 int

23、erface Fastethernet 0/0 overloadZ_R(config)#interface fastethernet 0/0Z_R(config-if)#ip nat outside/设置此接口为设置此接口为NATNAT转换的外部网络接口，即公网接口转换的外部网络接口，即公网接口Z_R(config)#interface fastethernet0/1Z_R(config-if)#ip nat inside专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL配置实例配置实例2：拒绝：拒绝无线用户无线用户访问外网访问外网拒绝无线用户（拒绝无线用户（192

24、.168.201.3-4192.168.201.3-4）访问外网）访问外网Z_R(config)#access-list 11 deny 192.168.201.3Z_R(config)#access-list 11 deny 192.168.201.4Z_R(config)#access-list 11 permit 192.168.201.0 0.0.0.255Z_R(config)#access-list 11 deny anyZ_R(config)#interface fastethernet 0/1Z_R(config-if)#ip access-group 11 in专 业 务 实

25、学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL配置实例配置实例3：过滤：过滤BOGONS网段网段定义一个访问扩展控制列表bogonsZ_R(config)#ip access-list extended bogonsZ_R(config-ext-nac1)#remark unassigned iana addressesZ_R(config-ext-nac1)#deny ip 1.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 2.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#d

26、eny ip 5.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 7.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 23.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 27.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 31.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 36.0.0.0 0.255.255.2

27、55 anyZ_R(config-ext-nac1)#deny ip 37.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 39.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 41.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 42.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 49.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1

28、)#deny ip 50.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 58.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 59.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 60.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 70.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 71.0.0.0 0.255.

29、255.255 anyZ_R(config-ext-nac1)#deny ip 72.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 73.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 74.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 75.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 76.0.0.0 0.255.255.255 anyZ_R(config-ext

30、-nac1)#deny ip 77.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 78.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 79.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 83.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 84.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 85.0.0.0 0

31、.255.255.255 anyZ_R(config-ext-nac1)#deny ip 86.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 87.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 88.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 89.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 90.0.0.0 0.255.255.255 anyZ_R(confi

32、g-ext-nac1)#deny ip 91.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 92.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 93.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 93.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 94.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 95.0.

33、0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 96.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 97.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 98.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 99.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 100.0.0.0 0.255.255.255 anyZ_R

34、(config-ext-nac1)#deny ip 101.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 102.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 103.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 104.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 105.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#de

35、ny ip 106.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 107.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 108.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 109.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 110.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 111.0.0.0 0.25

36、5.255.255 anyZ_R(config-ext-nac1)#deny ip 112.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 113.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 114.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 115.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 116.0.0.0 0.255.255.255 anyZ_R(con

37、fig-ext-nac1)#deny ip 117.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 118.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 119.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 120.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 121.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny i

38、p 122.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 123.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 124.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 125.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 126.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#deny ip 197.0.0.0 0.255.25

39、5.255 anyZ_R(config-ext-nac1)#deny ip 201.0.0.0 0.255.255.255 anyZ_R(config-ext-nac1)#permit ip any anyZ_R(config-ext-nac1)#exit接口应用Z_R(config)#interface Fastethernet 0/0Z_R(config-if)#ip access-group bogons inZ_R(config-if)#exit专 业 务 实学学 以以 致致 用用任务实施及方法技巧任务实施及方法技巧ACL配置实例配置实例4：过滤典型病毒攻击：过滤典型病毒攻击定义一个访

40、问扩展控制列表antivirusZ_R(config)#ip access-list extended antivirusZ_R(config-ext-nac1)#deny tcp any any eq 135Z_R(config-ext-nac1)#deny tcp any any eq 139Z_R(config-ext-nac1)#deny tcp any any eq 445Z_R(config-ext-nac1)#deny tcp any any eq 593Z_R(config-ext-nac1)#deny tcp any any eq 3389Z_R(config-ext-nac

41、1)#deny tcp any any eq 4444Z_R(config-ext-nac1)#deny udp any any eq tftpZ_R(config-ext-nac1)#exit接口应用Z_R(config)#interface Fastethernet 0/0Z_R(config-if)#ip access-group antivirus inZ_R(config-if)#exit专 业 务 实学学 以以 致致 用用任务检查与评价任务检查与评价任务检查与评价：任务检查与评价：u学习防火墙相关概念及需求点学习防火墙相关概念及需求点u能够正确理解路由器实现包过滤的原理能够正确理解

42、路由器实现包过滤的原理u深入理解路由器实现包过滤的方法深入理解路由器实现包过滤的方法u掌握路由器实现包过滤的配置掌握路由器实现包过滤的配置专 业 务 实学学 以以 致致 用用任务检查与评价任务检查与评价任任务务评评价价：是否掌握防火墙包过滤技术的原理与方法，能力得到提升，具体评价要点参见下表：任务任务3.1-3.1-知识技能要点测评表知识技能要点测评表序号序号测评要点测评要点具体目标具体目标测评权重测评权重1知识理解能理解防火墙包过滤技术的原理，选择合适的实施点。202工具及软件使用能够熟在PT中实现路由器ACL的配置。103任务实施掌握ACL的配置方法与技巧204专业能力提升掌握ACL技术，

43、通过ACL技术去深入理解防火墙的工作原理与工作过程205方法能力提升利用学习资源自主进行深入学习206社会能力提升通过小组合作完成任务，提升表达、沟通能力10专 业 务 实学学 以以 致致 用用任务总结任务总结小结小结u主要介绍了防火墙的概念主要介绍了防火墙的概念u防火墙的功能防火墙的功能u防火墙的不足之处防火墙的不足之处u包过滤技术防火墙及实验包过滤技术防火墙及实验练习练习u一般的防火墙是不可以防病毒，为什么？一般的防火墙是不可以防病毒，为什么？u完成包过滤技术防火墙实验。完成包过滤技术防火墙实验。u利用软件利用软件SMOOTHWALLSMOOTHWALL实现防火墙。实现防火墙。专 业 务 实学学 以以 致致 用用谢谢您的收看！谢谢您的收看！请多提宝贵意见！请多提宝贵意见！谢谢谢谢