6访问控制列表和地址转换..ppt

* 辽宁工程技术大学 软件学院 * 配置步骤 按照实际情况需要以下几个步骤： 启用防火墙 定义访问控制列表 在接口上应用访问控制列表 在接口上利用访问控制列表定义地址转换 配置内部服务器的地址映射关系 * 辽宁工程技术大学 软件学院 * 配置命令(1) # 允许防火墙 [Quidway]firewall enable # 设置防火墙缺省过滤方式为允许包通过 [Quidway]firewall default permit # 配置访问规则禁止所有包通过 [Quidway]acl number 3000 match-order auto [Quidway-acl-adv-3000]rule deny ip source any destination any #配置规则允许内部服务器访问外部网络，允许特定主机访问外部网 [Quidway-acl-adv-3000]rule permit ip source 0 destination any [Quidway-acl-adv-3000]rule permit ip source 0 destination any * 辽宁工程技术大学 软件学院 * 配置命令(2) [Quidway-acl-adv-3000]rule permit ip source 0 destination any [Quidway-acl-adv-3000]rule permit ip source 0 destination any # 配置规则允许特定用户从外部网访问内部服务器 [Quidway]acl number 3001 match-order auto [Quidway-acl-adv-3001]rule deny ip source any destination any [Quidway-acl-adv-3001]rule permit tcp source 0 destination 0 * 辽宁工程技术大学 软件学院 * 配置命令(3) #将规则3000作用于接口Ethernet0/0进入的包 [Quidway-Ethernet0/0]firewall packet-filter 3000 inbound #将规则3001作用于接口Serial 0/0进入的包 [Quidway-Serial0/0]firewall packet-filter 3001 inbound #在接口Serial0/0上使用访问控制列表3000作地址转换的条件(Easy IP) [Quidway-Serial0/0]nat outbound 3000 * 辽宁工程技术大学 软件学院 * 配置命令(4) #设置内部FTP服务器 [Quidway-Serial0/0]nat server protocol tcp global inside ftp #设置内部Telnet服务器 [Quidway-Serial0/0]nat server protocol tcp global inside telnet #设置内部WWW服务器 [Quidway-Serial0/0]nat server protocol tcp global inside www * 辽宁工程技术大学 软件学院 * 本章总结 基本和扩展访问控制列表的配置方法 访问控制列表用于防火墙 地址转换的基本概念和配置方法 访问控制列表、地址转换、内部服务器的综合配置 * 辽宁工程技术大学 软件学院 * 下课了。。。 追求 休息一会儿。。。 * 辽宁工程技术大学 软件学院 * 内容回忆(2) 6.2 标准访问控制列表 标准访问控制列表的配置命令；反掩码；访问控制列表匹配规则的顺序 6.3 扩展访问控制列表 扩展访问控制列表的配置命令；基于TCP的常见的应用层协议；基于UDP的常见的应用层协议；ICMP的报文类型； 6.4 如何使用访问控制列表 防火墙配置常见的基本步骤；防火墙的高级应用 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用，胶片＋注释中有单独的文字说明课程目标，不需要再使用该页胶片。 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。 此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容