电子商务安全实验指导书.doc

《电子商务安全》

实验指导书

南京工业大学

经济管理学院

2011年9月

实验二:防火墙

一.实验目的掌握防火墙的使用

二.实验内容:防火墙以及个人防火墙的设置和使用.

三.实验要求:掌握防火墙的基本原理和作用.

四.实验学时:2学时

五.实验步骤:

网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。在网络安全技术中，防火墙技术是一种经常被采用的对报文的访问控制技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。为了对进入网络的数据进行访问控制，防火墙需要对每个进入的数据包按照预先设定的规则进行检查。目前的防火墙也有检查由内到外的数据包的功能。我们在系统视图下，使用如下命令启用防火墙功能：

[Quidway]firewallenable

并在接口视图下利用如下命令将规则应用到该接口的某个方向上：

[Quidway-Ethernet0]firewallpacket-filteracl-number[inbound|outbound]

可以在系统视图下使用如下命令改变缺省行为：

[Quidway]firewalldefaultdeny|permit

访问控制列表ACL

路由器的防火墙配置包括两个内容，一是定义对特定数据流的访问控制规则，即定义访问控制列表ACL；二是定义将特定的规则应用到具体的接口上，从而过滤特定方向上的数据流。常用的访问控制列表可以分为两种：标准访问控制列表和扩展访问控制列表。标准访问控制列表仅仅根据IP报文的源地址域区分不同的数据流，扩展访问控制列表则可以根据IP报文中更多的域（如目的IP地址，

上层协议信息等）来区分不同的数据流。所有访问控制列表都有一个编号，标准访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制列表编号范围为1～99，扩展访问控制列表为100～199。

定义标准访问控制列表的命令格式为：

[Quidway]aclacl-number[match-orderconfig|auto]

[Quidway-acl-10]rule{normal|special}{permit|deny}[sourcesource-addr

source-wildcard|any]

以下是一个标准访问控制列表的例子：

[Quidway]acl20

[Quidway-acl-20]rulenormalpermitsource55

[Quidway-acl-20]rulenormaldenysourceany

这个访问控制列表20包含两条规则，共同表示除了源IP地址在网络

/24内的允许通过以外，其他源IP地址的数据包都禁止通过。

定义扩展访问控制列表的规则

[Quidway]aclacl-number[match-orderconfig|auto]

[Quidway-acl-10]rule{normal|special}{permit|deny}pro-number[source

source-addrsource-wildcard|any][source-portoperator

port1[port2]][destinationdest-addrdest-wildcard|any][destination-port

operatorport1[port2]][icmp-typeicmp-typeicmp-code][logging]

以下是一个扩展访问控制列表的例子：

[Quidway]acl120

[Quidway-acl-120]rulenormalpermitipsource

destination

[Quidway-acl-120]rulenormaldenyipsourceanydestinationany

这条访问控制列表120规定了除主机到主机的数据

流可以通过外，其他一律禁止。

[Quidway]acl121

[Quidway-acl-121]rulepermittcpsourceanydestination

destination-porteaualftplogging

[Quidway-acl-121]rulepermittcpsourceanydestination

destination-porteaualtelnetlogging

[Quidway-acl-121]ruledenyipsourceanydestin