实验七、防火墙基本配置要点.doc

实验七 交换机基本配置 实验目的 （1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。 实验 熟悉交换机开机界面； （2）掌握Quidway S系列中低端交换机几种常用配置方法掌握Quidway S系列中低端交换机Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 标准Console线 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。 预备知识 防火墙 防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 包过滤技术 一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 访问控制列表 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。 访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 ?访问控制列表可以用于防火墙； ?访问控制列表可用于Qos（Quality of Service），对数据流量进行控制； ?访问控制列表还可以用于地址转换； ?在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类 按照访问控制列表的用途，可以分为四类： 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 基于MAC的访问控制列表（mac-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 防火墙的配置项目 防火墙的配置包括： ?允许/禁止防火墙 ?配置标准访问控制列表 ?配置扩展访问控制列表 ?配置在接口上应用访问控制列表的规则 ?设置防火墙的缺省过滤方式 ?设置特殊时间段 ?指定日志主机 允许/禁止防火墙 在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。 请在系统视图下进行下列配置。 表1 允许/禁止防火墙 操作 命令 启动防火墙 firewall enable 禁止防火墙 firewall disable 缺省情况下，防火墙处于“启动”状态。 配置标准访问控制列表 标准访问控制列表序号可取值1～99之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话，按照auto方式进行。 请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。 表2 配置标准访问控制列表 操作 命令 进入ACL视图并配置访问控制列表的匹配顺序 acl acl-number [ match-order config | auto ] 配置标准访问列表规则 rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 删除特定的访问列表规则 undo rule { rule-id | normal | special} 删除访问列表 undo acl {acl-number| all } normal指该规则是在普通时间段内起起用；special指该规则是在特殊时间段内起作用，使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。 缺省情况下，为normal时间段。 配置扩展访问控制列表 扩展访问控制列表可取值100～