路由器实验三.doc

路由器实验三防火墙实验
一、实验内容:学习使用Quidway R2621模块化路由器的访问控制列表(ACL)进行防火墙实验。
二、实验目的:使用R2621模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。
三、实验工具:Quidway R2621模块化路由器、QuidwayS3026E交换机、Console配置线缆、双绞线、V35串口线缆、PC。
四、实验命令说明
防火墙
访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。
包过滤技术
一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
访问控制列表
为过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。一般采用访问控制列表来配置过滤规则,访问控制列表可分为标准访问控制列表和扩展访问控制列表。
访问控制列表(Access Control List )的作用:
l访问控制列表可以用于防火墙;
l访问控制列表可用于Qos(Quality of Service),对数据流量进行控制;
l访问控制列表还可以用于地址转换;
l在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
一个IP数据包如下图所示(图中IP所承载的上层协议为TCP)
协议号
源地址
目的地址
源端口
目的端口
对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则
IP报头
TCP报头
数据
图 1 ACL示意图
ACL的分类
l利用数字标识访问控制列表
l利用数字范围标识访问控制列表的种类
列表的种类
数字标识的范围
IP standard list 标准访问控制列表
1-99
IP extended list扩展访问控制列表
100-199
防火墙的配置
防火墙的配置包括:
l允许/禁止防火墙
l配置标准访问控制列表
l配置扩展访问控制列表
l配置在接口上应用访问控制列表的规则
l设置防火墙的缺省过滤方式
l设置特殊时间段
l指定日志主机
允许/禁止防火墙
在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。
请在系统视图下进行下列配置。
表1 允许/禁止防火墙
操作
命令
启动防火墙
firewall enable
禁止防火墙
firewall disable
缺省情况下,防火墙处于“启动”状态。
配置标准访问控制列表
标准访问控制列表序号可取值1~99之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
表2 配置标准访问控制列表
操作
命令
进入ACL视图并配置访问控制列表的匹