网络安全-第1次实验.pptVIP

实验 1 防火墙的连接 串口连接 telnet连接 Web界面连接 华3 f100基础命令 dis cu 显示当前配置信息 普通视图中save，保存当前配置 系统配置视图中quit，当前视图退出 进入接口视图，配置ip 命令行中敲？，可以显示各种命令的用法 2 防火墙中ACL的使用 需求：假设防火墙IP地址为，实验机器的IP为，现要封IP为的ping数据包。 防火墙为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。 按照访问控制列表的用途，可以分为四类： 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 基于MAC的访问控制列表（mac-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的访问控制列表是基本的访问控制列表，3000～3999范围的访问控制列表是高级的访问控制列表，4000～4999范围的访问控制列表是基于MAC地址访问控制列表。 可以使用如下命令创建一个访问控制列表： acl number acl-number [ match-order { config | auto } ] match-order config：指定匹配该规则时按用户的配置顺序。 match-order auto：指定匹配该规则时系统自动排序，即按“深度优先”的顺序。 使用如下的命令删除一个或所有的访问控制列表： undo acl { number acl-number | all } 例如 sys 进入配置视图 acl number 3000 进入了ACL视图之后，就可以配置ACL的规则了 创建1个访问控制列表 可以使用如下的命令定义一个基本访问控制列表的规则： rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instance-name ] rule-id：可选参数，ACL规则编号，范围为0～65534 permit：允许符合条件的数据包。 deny：丢弃符合条件的数据包。 source：可选参数，指定ACL规则的源地址信息。如果不指定，表示报文的任何源地址都匹配。 sour-addr：数据包的源地址，点分十进制表示。 sour-wildcard：源地址通配符，点分十进制表示。 any：表示所有源地址，作用与源地址是，通配符是55相同。 可以使用如下命令删除一个基本访问控制列表的规则： undo rule rule-id [ source ] [ time-range ] [ logging ] [ fragment ] [ vpn-instance ] 可以使用如下的命令定义一个高级访问控制列表规则： rule [ rule-id ] { permit | deny } protocol [ source { sour-addr sour-wildcard | any } ] [ destination { dest-addr dest-wildcard | any } ] [ soucre-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type { icmp-message | icmp-type icmp-code } ] [ dscp dscp ] [ established ] [ precedence precedence ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instance-name ] protocol：用名字或数字表示的IP承载的协议类型。数字范围为1～255；名称取值范围为：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。 destination：可选参数，指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。 icmp-type：可选参数，指定ICMP报文的类型和消息码信息，仅仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。 icmp-type