数据通信--第11章-包过滤和防火墙.ppt

主要内容1、通过配置路由器RTA和RTB实现非直连网段的互通。2、配置RTA，使来自1.1.1.2的数据包无法通过。第11章包过滤和防火墙11.1网络防火墙技术11.2访问控制列表的配置11.3配置路由器成为防火墙11.1网络防火墙技术防火墙是由软件或硬件构成的网络安全系统。防火墙用来在两个网络之间实施访问控制策略。11.1.1防火墙的功能1.位置2.功能只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他数据禁止通过。防火墙受到攻击后，应能稳定有效的工作。防火墙可以记录和统计网络的使用情况。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能隔离网络中的某些网段。11.1.1防火墙的功能3.不足不能防范不经过防火墙的攻击。不能防范恶意的知情者或内部用户的误操作。不能防止病毒或木马文件。由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。11.1.1防火墙的功能工作在网络层和传输层，可根据数据包头源地址、目的地址、端口号和协议类型等标准确定是否允许通过。不针对各个具体的网络服务采取特殊的处理方式，因此适用于所有的网络服务。大多数据由路由器集成。11.1.2包过滤防火墙1.特点11.1.2包过滤防火墙2.案例11.2访问控制列表的配置11.2.1访问控制列表的分类1.基本的访问控制列表（basicacl）2.高级的访问控制列表（advancedacl）3.基于接口的访问控制列表3000--3999advancedacl2000--2999basicacl数字标识范围列表种类基本访问控制列表的特点标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器11.2.2基本访问控制列表创建基本访问控制列表aclnumberacl-number[match-orderconfig|auto]注意：number范围：2000－2999match-order方式：config和auto两种Config：指按照配置的顺序执行Auto：指按照深度优先的方式执行缺省匹配顺序为config。11.2.2基本访问控制列表在基本访问控制列表视图下，配置ACL规则rule[rule-id]{permit|deny}[sourcesource-addrsource-wildcard|any][time-rangetime-name]rule-id：ACL的规则编号，范围为0～127source：指定ACL规则的源地址信息，其中source-wildcard指反掩码。time-range：对应的ACL规则在规定时间生效效的设置。11.2.2基本访问控制列表路由器允许源地址为202.110.10.0/24网段数据通过，拒绝源地址192.110.10.0/24网段数据通过。[Quidway]aclnumber2000[Quidway-acl-basic-2000]rule1permitsource202.110.10.00.0.0.255[Quidway-acl-basic-2000]rule2denysource192.110.10.00.0.0.25511.2.3配置举例11.3配置路由器成为防火墙启用防火墙设置防火墙缺省过滤方式定义访问控制列表为访问控制列表配置规则将访问控制列表应用到接口上11.3.1包过滤防火墙的配置过程视图：系统视图命令：firewall{enable|disable}1、打开或者关闭防火墙视图：系统视图命令：firewalldefault{permit|deny}2、设置防火墙缺省过滤方式11.3.2包