- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于ACL的包过滤防火墙实验教学设计与实现
、引言
对于局域网的保护, 防火墙技术是一种行之有效的和广泛使 用的安全技术, 根据防火墙所采用的技术不同, 主要分为包过滤 型、应用代理型和监测型。 其中包过滤作为最早发展起来的一种 技术,通过对流经路由器的所有数据包逐个检查,查看源、目的
IP地址、端口号以及协议类型(UDP/TCP等,并依据所制定的
ACL来决定数据包是通过还是不通过,进而可以隔离风险区域与
安全区域的连接, 同时不会妨碍人们对风险区域的访问。 由于包 过滤防火墙技术大多是在网络层和传输层实现, 处理速度快, 对
应用非应用透明,简单实用,实现成本较低,在应用环境比较简单的情 况下,能够以较小的代价在一定程度上保证系统的安全, 常广泛。因此,作为计算机网络安全实验教学的一个重要环 节一一基于ACL的包过滤防火墙实验设计,对提高学生深刻理解 包过滤防火墙工作原理、ACL类别及规则设计、策略部署位置及 方向选择知识,掌握利用ACL对路由器端口进行数据包过滤, 维 护局域网安全具有重要作用。
应用非
二、基于ACL的包过滤防火墙实验设计
1.基于ACL的包过滤防火墙工作原理
ACL是为了保证内网的安全性,根据具体安全需求设定安全
策略,并将其部署在路由器的接口上, 通过匹配数据包信息与访
问表参数,来决定允许数据包通过还是拒绝数据包通过某个接口
来保障非授权用户只能访问特定的网络资源,从而达到对访问进
来保障非授权用户只能访问特定的网络资源,
从而达到对访问进
行控制的目的。
ACL是由一系列语句组成的列表,这些语句主要包括匹配条
件、采取的动作(一个是拒绝 deny,即拒绝数据包通过,过滤
掉数据包;一个是允许 permit ,即允许数据包通过,不过滤数 据包)两个内容。利用 ACL可以限制网络流量,提高网络性能,
控制网络通信流量等,同时也是网络访问控制的基本安全手段。
其工作原理如图 1 所示。
标准IP常用的ACL可分为标准访问列表和扩展访问列表两种。
标准
IP
访问列表只检查数据包的源地址, 从而允许或拒绝基于网络、 网或主机的 IP 地址的所有通信流量通过路由器的出口。扩展 访问列表, 它不仅检查数据包的源地址, 还要检查数据包的目的 地址、特定协议类型、源端口号、目的端口号等。所有访问控制 列表都有一个编号, 两种控制列表按照编号区分, 标准控制列表 编号范围为 1-99,扩展访问控制列表为 100-199 。
2. 实验设计
1)试验人员及软硬件配备
试验分两个实验小组, 每组 4 人,分别模拟一个局域网环境。
每组硬件配备:华为 S3026E交换机(24个10/100Base-TX以太
网接口)1台,华为R1760低端路由器(广域网接口: 1个同/
异步串口 SO,局域网接口 :一个 10/100M以太网接口 E0)1台,计算机2台;V35串行线缆一对;双绞线若干条。
试验环境设计
每个实验小组以交换机作为中心节点,连接 2台PC形成
一个星状网络拓扑结构, 利用双绞线将交换机与路由器以太网接 口相连,模拟一个小型局域网环境。两个实验小组之间利用 V35
串行线缆通过R1760低端路由器同/异步串口相连,模型形成一
个互联网环境,实验拓扑结构如图2
个互联网环境,实验拓扑结构如图
2 所示。
实验要求及涉及的知识点
①每个实验小组 4 名成员, 分别承担网络环境组建、 网络设
备参数设计、ACL设计、网络设备配置工作。每个小组成员按照
自己分配的工作内容完成实验预习,并以小组为单位讨论相互之
自己分配的工作内容完成实验预习,
并以小组为单位讨论相互之
间工作的衔接及配置过程中的实验现象。
②局域网1内,PCA配置成为Web服务器,PCB为一般客户 机;局域网2内,PCC配置成为Ftp服务器,PCD为一般客户机, 同PCB-样承担实验测试工作。
③本实验涉及到协议、 端口、路由器工作原理及内外网端口 的控制、包过滤防火墙工作原理、ACL类别及规则设计、ACL部 署方法及方向选择等知识。
(4)基于ACL的包过滤防火墙配置步骤
①定义对特定数据流的访问控制规则, 即定义访问控制列表
ACL。
②将特定的规则应用到具体的接口上, 过滤特定方向的数据
流。三、基于ACL的包过滤防火墙实验的实现1.设备配置1)计算机配置局域网 1为 网段,网内各主机 IP 相关参数配置:PCA , PCB ;子网掩码: ;网关:54
流。
三、基于ACL的包过滤防火墙实验的实现
1.设备配置
1)计算机配置
局域网 1为 网段,网内各主机 IP 相关参数配
置:PCA , PCB ;子网掩码:
;网关:54。同时,主机 PCA运行
IIS ,提供 Web、Ftp 两种服务支持。局域网 2 为 网
段,
您可能关注的文档
最近下载
- 国家开放大学电大本科《社会政策》2024期末试题及答案(试卷号:1306).pdf VIP
- 涉路施工安全培训教育.pptx
- 2022-2023学年人教版小学数学一年级下册期末试卷 含答案.docx
- 五邑大学2021-2022学年第2学期《高等数学(下)》期末试卷(B卷)附标准答案.pdf
- 创新工作室活动记录.pdf
- DB37_T 1914—2024 液氨存储与装卸作业安全技术规范.pdf
- 2021国家开放大学电大本科《社会政策》期末试题及答案(试卷号:1306).docx VIP
- GBT 50476-2019 混凝土结构耐久性设计标准规范.pdf
- optics教程.doc
- 最新动态葡萄糖图谱报告临床应用专家共识要点.pdf
文档评论(0)