2023年实验三十三:防火墙技术.docx
( 4.5 )《2023年实验三十三:防火墙技术.docx》由会员分享,可在线阅读,更多相关《2023年实验三十三:防火墙技术.docx(8页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、2023年实验三十三:防火墙技术 实验三十三:防火墙技术 一、理论基础 1.什么是防火墙 对于报文的访问控制技术被称为防火墙技术。实施是为了保护内部网络免遭非法数据包的侵害。正如防火墙这一词语本身所显示的那样,防火墙一般部署于一个网络的边缘,用于控制进入网络数据包的种类。 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 一般应将防火墙置于被保护网络的入口点来执行访问控制。例如,将防火墙设置在内部网和外部网的连接处,以保护内部网络或数据免于为未认证或未
2、授权的用户访问,防止来自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来,对受保护数据的访问都必须经过防火墙的过滤,即使该访问是来自组织内部。 防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。现在的许多防火墙同时还具有一些其它特点,如进行用户身份鉴别,对信息进行安全(加密)处理等等。 在路由器上配置了防火墙特性后,路由器就成了一个健壮而有效的防火墙。 2.防火墙的分类 一般把防火墙分为两类:网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息,如协议号、源地址、目的地址和目的
3、端口等或者直接获取包头的一段数据,而应用层的防火墙则对整个信息流进行分析。 常见的防火墙有以下几类: 应用网关(Application Gateway) 包过滤(Packet Filter) 代理(Proxy) 3、ACL 华为路由器的防火墙配置包括两个内容,一是定义对特定数据流的访问控制规则,即定义访问控制列表ACL;二是定义将特定的规则应用到具体的接口上,从而过滤特定方向的数据流。 常用的访问控制列表可以分为两种:标准的访问控制列表和扩展的访问控制列表。标准访问控制列表仅仅可以根据IP报文的源地址域区分不同的数据流,扩展访问控制列表则可以根据IP报文中的更多域(如目的IP地址,上层协议信息
4、等)来区分不同数据流。 所有的访问控制列表都有一个编号,标准的访问控制列表和扩展的访问控制列表就是按照这个编号来区分的:标准的访问控制列表编号范围是1-99,扩展的访问控制列表编号范围是100-199。 二、实验案例 防火墙的配置 1、实验拓扑结构图: 在实验室我们用RouterA模拟企业网,用另一台路由器RouterB模拟外部网。 2、配置说明: RouterA的各个接口的地址分别为: E0:192.168.1.1/24 S0:192.168.2.1/24 RouterB的各个接口的地址分别为: E0:192.168.3.1/24 S0:192.168.2.2/24 pcA的地址:192.1
5、68.1.2/24 网关:192.168.1.1 pcB的地址:192.168.1.3/24 网关:192.168.1.1 pcC的地址:192.168.3.2/24 网关:192.168.3.2 3、具体的配置: 方法一:(标准的) RouterA上配置策略 (启动防火墙) routerAfirewall enable Firewall enabled routerAacl 1 routerA-acl-2000rule normal permit source 192.168.1.2 0.0.0.0 Rule has been added to normal packet-filtering
6、 rules routerA-acl-2000rule normal deny source 192.168.1.0 0.0.0.255 Rule has been added to normal packet-filtering rules routerA-acl-2000 routerAint s0 routerA-Serial0firewall packet-filter 1 outbound routerA-Serial0 routerAdis cur Now create configuration. Current configuration version 1.74 sysnam
7、e routerA firewall enable aaa-enable aaa accounting-scheme optional acl 2000 match-order auto rule normal permit source 192.168.1.2 0.0.0.0 rule normal deny source 192.168.1.0 0.0.0.255 interface Aux0 async mode flow link-protocol ppp interface Ethernet0 ip addre 192.168.1.1 255.255.255.0 interface
8、Serial0 link-protocol ppp ip addre 192.168.2.1 255.255.255.0 firewall packet-filter 2000 outbound interface Serial1 link-protocol ppp interface Serial2 link-protocol ppp quit rip network all quit return RouterB的配置: RouterBint s0 RouterB-Serial0ip addre 192.168.2.2 255.255.255.0 RouterB-Serial0 %15:4
9、9:51: Line protocol ip on the interface Serial0 is UP RouterB-Serial0int E0 RouterB-Ethernet0ip addre 192.168.3.1 255.255.255.0 RouterB-Ethernet0 %15:50:31: Line protocol ip on the interface Ethernet0 is UP RouterB-Ethernet0 RouterBrip waiting. RIP is running RouterB-ripnetwork all RouterB-ripsave N
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 实验 三十三 防火墙 技术
淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
限制150内