基于ACL的包过滤防火墙实验教学设计与实现-最新教育资料.docx

基于ACL的包过滤防火墙实验教学设计与实现 、引言 对于局域网的保护， 防火墙技术是一种行之有效的和广泛使 用的安全技术， 根据防火墙所采用的技术不同， 主要分为包过滤 型、应用代理型和监测型。 其中包过滤作为最早发展起来的一种 技术，通过对流经路由器的所有数据包逐个检查，查看源、目的 IP地址、端口号以及协议类型（UDP/TCP等，并依据所制定的 ACL来决定数据包是通过还是不通过，进而可以隔离风险区域与 安全区域的连接， 同时不会妨碍人们对风险区域的访问。 由于包 过滤防火墙技术大多是在网络层和传输层实现， 处理速度快， 对 应用非应用透明，简单实用，实现成本较低，在应用环境比较简单的情 况下，能够以较小的代价在一定程度上保证系统的安全， 常广泛。因此，作为计算机网络安全实验教学的一个重要环 节一一基于ACL的包过滤防火墙实验设计，对提高学生深刻理解 包过滤防火墙工作原理、ACL类别及规则设计、策略部署位置及 方向选择知识，掌握利用ACL对路由器端口进行数据包过滤， 维 护局域网安全具有重要作用。 应用非 二、基于ACL的包过滤防火墙实验设计 1.基于ACL的包过滤防火墙工作原理 ACL是为了保证内网的安全性，根据具体安全需求设定安全 策略，并将其部署在路由器的接口上， 通过匹配数据包信息与访 问表参数，来决定允许数据包通过还是拒绝数据包通过某个接口 来保障非授权用户只能访问特定的网络资源，从而达到对访问进 来保障非授权用户只能访问特定的网络资源， 从而达到对访问进 行控制的目的。 ACL是由一系列语句组成的列表，这些语句主要包括匹配条 件、采取的动作（一个是拒绝 deny,即拒绝数据包通过，过滤 掉数据包；一个是允许 permit ，即允许数据包通过，不过滤数 据包）两个内容。利用 ACL可以限制网络流量，提高网络性能， 控制网络通信流量等，同时也是网络访问控制的基本安全手段。 其工作原理如图 1 所示。 标准IP常用的ACL可分为标准访问列表和扩展访问列表两种。 标准 IP 访问列表只检查数据包的源地址, 从而允许或拒绝基于网络、 网或主机的 IP 地址的所有通信流量通过路由器的出口。扩展 访问列表, 它不仅检查数据包的源地址, 还要检查数据包的目的 地址、特定协议类型、源端口号、目的端口号等。所有访问控制 列表都有一个编号， 两种控制列表按照编号区分， 标准控制列表 编号范围为 1-99，扩展访问控制列表为 100-199 。 2. 实验设计 1）试验人员及软硬件配备 试验分两个实验小组， 每组 4 人，分别模拟一个局域网环境。 每组硬件配备：华为 S3026E交换机（24个10/100Base-TX以太 网接口）1台，华为R1760低端路由器（广域网接口： 1个同/ 异步串口 SO,局域网接口 ：一个 10/100M以太网接口 E0）1台，计算机2台；V35串行线缆一对；双绞线若干条。 试验环境设计 每个实验小组以交换机作为中心节点，连接 2台PC形成 一个星状网络拓扑结构， 利用双绞线将交换机与路由器以太网接 口相连，模拟一个小型局域网环境。两个实验小组之间利用 V35 串行线缆通过R1760低端路由器同/异步串口相连，模型形成一 个互联网环境，实验拓扑结构如图2 个互联网环境，实验拓扑结构如图 2 所示。 实验要求及涉及的知识点 ①每个实验小组 4 名成员， 分别承担网络环境组建、 网络设 备参数设计、ACL设计、网络设备配置工作。每个小组成员按照 自己分配的工作内容完成实验预习，并以小组为单位讨论相互之 自己分配的工作内容完成实验预习， 并以小组为单位讨论相互之 间工作的衔接及配置过程中的实验现象。 ②局域网1内，PCA配置成为Web服务器，PCB为一般客户 机；局域网2内，PCC配置成为Ftp服务器，PCD为一般客户机， 同PCB-样承担实验测试工作。 ③本实验涉及到协议、 端口、路由器工作原理及内外网端口 的控制、包过滤防火墙工作原理、ACL类别及规则设计、ACL部 署方法及方向选择等知识。 (4)基于ACL的包过滤防火墙配置步骤 ①定义对特定数据流的访问控制规则， 即定义访问控制列表 ACL。 ②将特定的规则应用到具体的接口上， 过滤特定方向的数据 流。三、基于ACL的包过滤防火墙实验的实现1.设备配置1）计算机配置局域网 1为 网段，网内各主机 IP 相关参数配置：PCA , PCB ;子网掩码: ;网关：54 流。 三、基于ACL的包过滤防火墙实验的实现 1.设备配置 1）计算机配置 局域网 1为 网段，网内各主机 IP 相关参数配 置：PCA , PCB ;子网掩码: ;网关：54。同时，主机 PCA运行 IIS ，提供 Web、Ftp 两种服务支持。局域网 2 为 网 段，