网络安全实验new.ppt

1 计算机网络工程 西北工业大学计算机学院 计算机学院网络工程实验 学习目标 掌握一般防火墙技术 掌握地址转换技术 课程内容 路由器实现防火墙功能 访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可用于Qos（Quality of Service）对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 ACL的机理 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： ACL的分类 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl number ** [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 扩展访问控制列表的配置命令 配置TCP/UDP协议的扩展访问列表： rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表： rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表： rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 扩展访问控制列表操作符的含义 扩展访问控制列表举例 rule deny icmp source 55 destination any icmp-type 5 1 如何使用访问控制列表 按照实际需求可以扩展以下应用： 设置防火墙的缺省过滤模式 允许或禁止时间段过滤 指定日志主机 防火墙的属性配置命令 打开或者关闭防火墙 firewall { enable | disable } 设置防火墙的缺省过滤模式 firewall default { permit|deny } 显示防火墙的状态信息 display firewall 在接口上应用访问控制列表 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 基于时间段的包过滤 “特殊时间段内应用特殊的规则” 访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny source 55 rule permit source 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主机（）的访问。 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。 访问控制列表配置举例 访问控制列表配置举例 ASPF技术 ASPF技术 TCP SYN Flooding攻击图示 课程内容 地址转换的提出背景 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以