基于路由器的網絡安全研究和實現畢業(yè)設計

1、<p>　　基于路由器的網絡安全研究和實現</p><p>　　【摘要】 在這篇論文中，介紹了計算機的網絡安全與防火墻的技術，主要討論防火墻的概念和分類，詳細說明了防火墻技術中的包過濾功能。還介紹了AAA配置技術、OSPF配置技術和ACL訪問控制列表。詳細介紹與講解了通過ACL訪問控制列表來實現了一個基本的軟件防火墻。最后描述對互聯網的簡單防火墻技術的發(fā)展趨勢。 </p><p&g

2、t;　　【關鍵詞】 網絡安全，防火墻，包過濾，ACL</p><p>　　Research and implementation of network security based on router</p><p>　　【Abstract】 In this paper , the computer network security and the techniques of fir

3、ewalls were mainly discussed, Focuses on the concept of a firewall, a detailed description of the packet filtering in the firewall technology.It also introduced the configuration Technology of AAA OSPF and Access Control

4、 Listtec , Introduced and explained in detail to achieve a basic software firewall by ACL. Finally described the trend of development of the firewalls techniques in Internet briefly.</p><p>　　【Key Words】 n

5、etwork security，firewalls，Packet filtering，ACL </p><p><b>　　目錄</b></p><p><b>　　第1章 緒論1</b></p><p>　　1.1選題的背景和意義1</p><p>　　1.1.1國內外的研究現狀1</

6、p><p>　　1.1.2發(fā)展趨勢2</p><p>　　1.2研究的基本內容2</p><p>　　第2章 配置基本網絡環(huán)境4</p><p>　　2.1配置基本網絡環(huán)境4</p><p>　　2.1.1構建小型模擬局域網5</p><p>　　第3章 AAA配置6</p>

7、<p>　　3.1 AAA簡介6</p><p>　　3.1.1什么是AAA6</p><p>　　3.2簡單基本的AAA配置6</p><p>　　3.2.1組網需求6</p><p>　　3.2.2配置步驟7</p><p>　　第4章 OSPF配置8</p><p&g

8、t;　　4.1 OSPF簡介8</p><p>　　4.1.1 OSPF的主要特性8</p><p>　　4.1.2 OSPF協(xié)議路由計算的過程8</p><p>　　4.2 OSPF的配置9</p><p>　　4.2.1配置步驟10</p><p>　　第5章 防火墻13</p><

9、p>　　5.1防火墻簡介13</p><p>　　5.1.1什么是防火墻13</p><p>　　5.1.2防火墻的分類13</p><p>　　5.2 包過濾14</p><p>　　5.2.1包過濾可實現的功能14</p><p>　　5.2.2網絡設備的包過濾的特性15</p>&

10、lt;p>　　第6章 ACL配置16</p><p>　　6.1訪問控制列表16</p><p>　　6.1.1標準訪問控制列表16</p><p>　　6.1.2擴展訪問控制列表16</p><p>　　6.2防火墻的配置17</p><p>　　6.2.1配置步驟18</p><

11、;p>　　6.2.2防火墻的顯示與調試22</p><p><b>　　結論23</b></p><p><b>　　參考文獻24</b></p><p><b>　　附錄26</b></p><p><b>　　致謝29</b></

12、p><p><b>　　圖目錄</b></p><p>　　圖2.1 設備配置圖5</p><p>　　圖5.1 包過濾示意圖14</p><p><b>　　表目錄</b></p><p>　　表2.1 設備配置信息4</p><p>　　表6.1

13、擴展訪問列表的操作符operator的意義17</p><p>　　表6.2防火墻的顯示和調試22</p><p>　　表I防火墻的顯示和調試（TCP）26</p><p>　　表II防火墻的顯示和調試（UDP）27</p><p>　　表III ICMP報文類型的助記符28</p><p><b>

14、;　　第1章 緒論</b></p><p>　　1.1選題的背景和意義</p><p>　　隨著網絡應用的日益普及，尤其是在一些敏感場合（如電子商務）的應用，因此網絡安全成為日益迫切的需求之一；路由器作為內部網絡與外部網絡之間通訊的關鍵，完全有必要提供充分而又可靠的安全保護功能。</p><p>　　本課題的目的就是設計一種基于路由器的網絡安全解決方案，

15、從安全性、處理速度等方面對其進行可用性評估。</p><p>　　1.1.1國內外的研究現狀</p><p>　　現今網絡中大多都使用TCP/IP協(xié)議，但是因此TCP/IP協(xié)議本身存在缺陷，從而導致了網絡的不安全。雖然TCP/IP協(xié)議具有許多特點，如支持多種應用協(xié)議、互聯能力強、網絡技術獨立、等等；但是由于TCP/IP協(xié)議在定制時，并沒有考慮到安全方面的主要因素，因此協(xié)議中還是有很多的安全

16、問題存在。主要有：</p><p>　　1. TCP/IP協(xié)議數據流在使用FTP、Http和Telnet傳輸時，用戶的賬號以及口令非常容易被竊聽、修改和偽造。</p><p>　　2．作為網絡節(jié)點的唯一標識，源地址是通過利用IP地址對TCP/IP協(xié)議進行欺騙，因為IP地址不是完全固定的；因此，攻擊者可以通過直接修改節(jié)點的IP地址冒充某個可信節(jié)點的%-地址來進行攻擊。</p>

17、<p>　　3．為了測試目的設置一個選項IP Soure routing，源路由一般情況下選擇欺騙IP數據包；從而使攻擊者可以利用這一選項，直接指明出一條路由方式來進行偽裝、欺騙，然后進行不正當方式的連接。</p><p><b>　　1.1.2發(fā)展趨勢</b></p><p>　　網絡安全不只是一個單純的技術間題，同時也是一個非常關鍵的管理問題。對計算機

18、系統(tǒng)的安全事件進行收集、記錄、分析、判斷，然后采取對應的安全措施來進行處理的一個過程被稱為安全審計。其基本的功能分別為：對用戶、操作命令、文件操作等審計對象進行選擇；對文件系統(tǒng)完整性進行定期的檢測；設置選擇逐出系統(tǒng)；保護數據的安全及審計日志等。成立專門負責計算機網絡信息安全的行政管理機構，從而審查和訂制計算機網絡的信息安全措施。確認安全措施實施的方針、政策以及原則；具體組織、協(xié)調、監(jiān)督、檢查信息安全措施的執(zhí)行。</p>&

19、lt;p>　　來自計算機網絡信息系統(tǒng)內部的危害當中，很多是人為造成的對信息安全的危害。由于思想上的松懈和安全意識偏弱，從而給了攻擊者可乘之機。因此，加強單位人員的思想教育，培養(yǎng)單位人員的責任感也是保護網絡安全不可或缺的一個重要環(huán)節(jié)。 </p><p>　　計算機網絡安全發(fā)展至今，儼然已成為了一個橫跨通信技術、網絡技術、安全技術、計算機技術、密碼學等等多種門科技術的綜合性學科。因此計算機網絡安全的發(fā)展在向高端

20、技術發(fā)展的同時會朝著全方位化、縱深化、專業(yè)化的方向發(fā)展，隨著各種新興技術的不斷發(fā)展和出現，網絡安全將會由單一的技術向各種技術融合的方向發(fā)展。</p><p>　　基于路由器的大多數主要安全技術通常都是相輔相成的，為了系統(tǒng)安全性的提高，必須通過各種安全機制協(xié)調工作。當今，由于信息化的高速發(fā)展，加強路由器安全機制和安全協(xié)議，改進新的算法研究將會成為保證網絡安全的高效性的唯一選擇。</p><p&g

21、t;　　1.2研究的基本內容</p><p>　　隨著Internet的飛速發(fā)展，全國每個中小型企業(yè)和事業(yè)單位都在建設局域網并連入了互聯網，所以信息網絡安全就必須同時跟上發(fā)展的腳步，成為我們最需要著重關心的問題之一。</p><p>　　我們可以采取在普通路由器中添加安全模塊，從技術上加強路由器的安全性；或者借助管理手段，從管理上加強對路由器的安全性等多種手段來保證基于路由器的網絡環(huán)境下的

22、安全性。</p><p>　　網絡安全與防火墻關系密不可分，網絡防火墻的構建需要明確安全策略，安全而又全面的分析和業(yè)務的需求分析將決定一個組織全局的安全策略，因此我們需要仔細并且正確的設置網絡安全策略，從而使這個計算機網絡防火墻發(fā)揮它最大的作用。 </p><p>　　其中，明確定義哪些數據包允許或禁止通過并使用網絡服務，以及這些服務的詳細使用規(guī)則，同時網絡防火墻安全策略中的每一條規(guī)定都應

23、該在實際應用時得到實現；這些都屬于網絡防火墻的安全策略。</p><p>　　本文就著重介紹與說明在路由器下通過訪問控制列表（ACL）方法實現安全策略，構建出一個小型、簡易、安全有合理的計算機網絡的防火墻體系結構，從而實現具體的網絡防火墻功能，并對其實現和具體應用進行詳細的敘述。</p><p>　　第2章 配置基本網絡環(huán)境</p><p>　　2.1配置基本網絡環(huán)

24、境</p><p>　?。?）按照表2.1所示內容，正確填寫計算機（PA、PB、PC、PD……）及路由器（RA、RB、RC、RD）的網絡連接參數</p><p>　　表2.1 設備配置信息</p><p>　　2.1.1構建小型模擬局域網</p><p>　　設備連接如圖2.1所示構建出一個小型模擬局域網（由路由器、交換機、PC組成）。<

25、;/p><p>　　圖2.1 設備配置圖</p><p><b>　　第3章 AAA配置</b></p><p><b>　　3.1 AAA簡介</b></p><p>　　3.1.1什么是AAA</p><p>　　用來對認證、授權和計費這三種安全功能進行配置的一個框架，被稱為

26、：Authentication，Authorization and Accounting ，即認證、授權和計費，一般情況下縮寫為AAA即可，簡稱：“三A認證”；它是對網絡安全進行管理的認證方式之一，對所有類型LOGIN用戶進行本地認證、授權、計費。</p><p>　　在這里，網絡安全主要指的是訪問控制，其中包括了：</p><p>　?。?）規(guī)定了哪些用戶可以訪問指定網絡服務器</

27、p><p>　?。?）具有訪問權限的用戶組分別可以得到哪些服務，可以做些什么</p><p>　?。?）對正在使用該網絡資源的用戶組進行計費功能</p><p>　　AAA可完成下列服務：</p><p>　　（1）認證：判斷認證用戶是否可以獲得訪問權限</p><p>　?。?）授權：被授權的用戶組可以使用哪些服務。&l

28、t;/p><p>　?。?）計費：記錄用戶組使用網絡資源的具體情況。</p><p>　　3.2簡單基本的AAA配置</p><p><b>　　3.2.1組網需求</b></p><p>　　對所有類型login用戶進行本地認證，但不要求計費。</p><p><b>　　3.2.2配置步

29、驟</b></p><p><b>　　# 使能AAA</b></p><p>　　[Router] aaa-enable</p><p>　　# 配置Login用戶</p><p>　　[Router] local-user ftp service-type ftp password simple ftp

30、</p><p>　　[Router] local-user admin service-type administrator ssh password cipher admin</p><p>　　[Router] local-user operator service-type operator ssh password simple operator</p><p

31、>　　[Router] local-user guest service-type guest ssh password simple guest</p><p>　　# 配置對login用戶進行認證</p><p>　　[Router] aaa authentication-scheme login default local </p><p>　　[Rou

32、ter] login-method authentication-mode con default</p><p>　　[Router] login-method authentication-mode async default</p><p>　　[Router] login-method authentication-mode hwtty default</p><

33、;p>　　[Router] login-method authentication-mode pad default</p><p>　　[Router] login-method authentication-mode telnet default</p><p>　　[Router] login-method authentication-mode ssh default<

34、/p><p>　　# 配置對FTP用戶進行認證</p><p>　　[Router] login-method authentication-mode ftp default</p><p>　　# 配置對login用戶不計費</p><p>　　[Router] undo login-method accounting-mode login c

35、on</p><p>　　[Router] undo login-method accounting-mode login async</p><p>　　[Router] undo login-method accounting-mode login hwtty</p><p>　　[Router] undo login-method accounting-mod

36、e login pad</p><p>　　[Router] undo login-method accounting-mode login telnet</p><p>　　[Router] undo login-method accounting-mode login ssh</p><p>　　四臺路由器均要進行相同的AAA配置，指令相同，不作重復。</

37、p><p>　　第4章 OSPF配置</p><p>　　4.1 OSPF簡介</p><p>　　由IETF組織研發(fā)的一個基于鏈路狀態(tài)下的自治系統(tǒng)內部路由協(xié)議被稱為：開放最短路由優(yōu)先協(xié)議（Open Shortest Path First），簡稱OSPF，目前普遍使用的是版本2（RFC1583）。</p><p>　　4.1.1 OSPF的主要特

38、性</p><p>　　1.適應范圍——支持最多幾千臺路由器的各種大、中、小規(guī)模的網絡。</p><p>　　2.快速收斂——在網絡的拓撲結構發(fā)生變化后立即發(fā)送并更新報文并在自治系統(tǒng)中達到同步。</p><p>　　3.無自環(huán)——用最短路徑樹算法計算路由，保證了不會生成自環(huán)路由。</p><p>　　4.區(qū)域劃分——為了減少占用帶寬，

39、自治系統(tǒng)的網絡被劃分成的區(qū)域傳送的路由信息被抽象。</p><p>　　5.等值路由——到同一目的地址的多條等值路由。</p><p>　　6.路由分級——當同時使用不同等級的路由時，按區(qū)域內路由、區(qū)域間路由、第一類外部路由和第二類外部路由這個優(yōu)先順序分級。</p><p>　　7.支持驗證——支持基于接口的報文驗證，保障了路由計算的安全性、穩(wěn)定性。</

40、p><p>　　8.組播發(fā)送——在有組播發(fā)送能力的鏈路層上，基于組播地址進行接收、發(fā)送報文。在達到了廣播作用的同時又最大程度地減少了對其它網絡設備的干擾。</p><p>　　4.1.2 OSPF協(xié)議路由計算的過程</p><p>　　OSPF協(xié)議路由的計算過程可簡單描述如下：</p><p>　　1. 描述整個自治系統(tǒng)拓撲結構的鏈路狀態(tài)數據

41、庫（簡稱LSDB）是由每一臺支持OSPF協(xié)議的路由器維護著；他們都會根據周圍的網絡拓撲結構來生成鏈路狀態(tài)并且發(fā)布Link State Advertising（LSA），然后再將LSA發(fā)送給網絡中其它路由器。這樣，每臺路由器都將會收到來自其它路由器的 LSA，然后將所有的 LSA 放在一起組成了一個相對完整的鏈路狀態(tài)數據庫。</p><p>　　2. 對路由器周圍網絡拓撲結構的具體描述被稱為LSA，而對整個網絡的

42、拓撲結構的一種描述則被成為LSDB。自然而然，自治系統(tǒng)內的各個路由器都將得到完全相同的網絡拓撲圖是因為路由器會將LSDB轉換成一張帶有權值的真實反映整個網絡拓撲結構的有向圖。</p><p>　　3. 使用SPF算法的每臺路由器都會計算出一棵到自治系統(tǒng)中各個節(jié)點的路由的樹，這是一棵以自己為根的最短路徑樹，這棵樹給出了通過廣播外部路由的路由器來記錄關于整個自治系統(tǒng)的額外信息。</p><p&g

43、t;　　另外，為了建立多個鄰接（Adjacent）關系，使處于廣播網和NBMA網中的每臺路由器都可以將存儲在本地的路由信息廣播到整個自治系統(tǒng)中去，則會出現多次傳遞任意一臺路由器的路由變化的情況，因而浪費了寶貴的帶寬資源。為了解決這個難題，OSPF因此定義了“指定路由器”（Designated Router），簡稱為DR；為了大大減少各路由器之間鄰居關系的數量，DR接收所有路由器發(fā)送出來的路由信息，然后再由它將該網絡的鏈路狀態(tài)廣播出去。

44、</p><p>　　OSPF支持IP子網和外部路由信息的標記接收，它支持基于接口的報文驗證以保證路由計算的安全性；并使用IP組播方式發(fā)送和接收報文。</p><p>　　4.2 OSPF的配置</p><p>　　必須先啟動OSPF、使能OSPF網絡后，才能在各項配置任務中配置其它與協(xié)議相關的功能特性，而OSPF是否使能將不會影響在接口下配置的與協(xié)議相關的參數。關

45、閉OSPF的同時原來在接口下配置的與協(xié)議相關的參數也同時失效。</p><p><b>　　4.2.1配置步驟</b></p><p>　　1. 配置路由器RA</p><p>　　[RA]interface S0</p><p>　　[RA-Serial0]ip address 192.1.1.1 255.255.25

46、5.0</p><p>　　[RA-Serial0]interface S1</p><p>　　[RA-Serial1]ip address 193.1.1.1 255.255.255.0</p><p>　　[RA-Serial1]interface eth0</p><p>　　[RA-Ethernet0]ip address 202.

47、0.0.1 255.255.255.0</p><p>　　[RA-Ethernet0]quit</p><p>　　[RA]ospf enable</p><p>　　[RA-ospf]interface s0</p><p>　　[RA-Serial0]ospf enable area 0</p><p>　　[R

48、A-Serial0]interface s1</p><p>　　[RA-Serial1]ospf enable area 0</p><p>　　[RA-Serial1]quit</p><p>　　[RA]interface e0</p><p>　　[RA-Ethernet0]ospf enable area 0</p>

49、<p>　　2. 配置路由器RB</p><p>　　[RB]interface S0</p><p>　　[RB-Serial0]ip address 192.1.1.2 255.255.255.0</p><p>　　[RB-Serial0]interface S1</p><p>　　[RB-Serial1]ip addres

50、s 194.1.1.2 255.255.255.0</p><p>　　[RB-Serial1]quit</p><p>　　[RB]ospf enable</p><p>　　[RB-ospf]interface s0</p><p>　　[RB-Serial0]ospf enable area 0</p><p>

51、　　[RB-Serial0]interface s1</p><p>　　[RB-Serial1]ospf enable area 0</p><p>　　[RB-Serial1]quit</p><p>　　[RB]interface eth0</p><p>　　[RB-Ethernet0]ip address 202.0.1.1 255

52、.255.255.0</p><p>　　[RB-Ethernet0]ospf enable area 0</p><p>　　[RB-Ethernet0]quit</p><p>　　3. 配置路由器RC</p><p>　　[RC]interface S0</p><p>　　[RC-Serial0]ip addr

53、ess 194.1.1.1 255.255.255.0</p><p>　　[RC-Serial0]interface S1</p><p>　　[RC-Serial1]ip address 195.1.1.1 255.255.255.0</p><p>　　[RC-Serial1]quit</p><p>　　[RC]ospf enable

54、</p><p>　　[RC-ospf]interface s0</p><p>　　[RC-Serial0]ospf enable area 0</p><p>　　[RC-Serial0]interface s1</p><p>　　[RC-Serial1]ospf enable area 0</p><p>　　

55、[RC-Serial1]quit</p><p>　　[RC]interface eth0</p><p>　　[RC-Ethernet0]ip address 202.0.2.1 255.255.255.0</p><p>　　[RC-Ethernet0]ospf enable area 0</p><p>　　[RC-Ethernet0]

56、quit</p><p>　　4. 配置路由器RD</p><p>　　[RD]interface S0</p><p>　　[RD-Serial0]ip address 193.1.1.2 255.255.255.0</p><p>　　[RD-Serial0]interface S1</p><p>　　[RD-S

57、erial1]ip address 195.1.1.2 255.255.255.0</p><p>　　[RD-Serial1]interface eth0</p><p>　　[RD-Ethernet0]ip address 202.0.3.1 255.255.255.0</p><p>　　[RD-Ethernet0]quit</p><p&

58、gt;　　[RD]ospf enable</p><p>　　[RD-ospf]interface s0</p><p>　　[RD-Serial0]ospf enable area 0</p><p>　　[RD-Serial0]interface s1</p><p>　　[RD-Serial1]ospf enable area 0<

59、;/p><p>　　[RD-Serial1]interface e0</p><p>　　[RD-Ethernet0]ospf enable area 0</p><p>　　[RD-Ethernet0]quit</p><p>　　如此配置完成后，所有的端口都可以相互PING通。如圖2.1 構建的小型局域網就完成了。</p>&l

60、t;p><b>　　第5章 防火墻</b></p><p><b>　　5.1防火墻簡介</b></p><p>　　5.1.1什么是防火墻</p><p>　　防火墻作為Internet訪問控制的基本技術，其主要作用是監(jiān)視和過濾通過它的數據包，拒絕非法用戶訪問網絡并保障合法用戶正常工作，根據自身所配置的訪問控制策略

61、決定該包應當被轉發(fā)還是應當被拋棄。</p><p>　　為了阻止未經認證或者未經授權的用戶訪問保護內部網絡或數據，防止來自外網的惡意攻擊，一般將防火墻設置在外部網和內部網的連接處。也可以用防火墻將企業(yè)網中比較敏感的網段與相對開放的網段隔離開來，從而達到即使該訪問是來自局域網內部，也必須經過防火墻的過濾的效果。 </p><p>　　防火墻可通過監(jiān)測、限制、更改跨越防火墻的數據流來保護內部網

62、絡的安全性，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。現在的許多防火墻同時甚至還可以對用戶進行身份鑒別，對信息進行安全加密處理等等。</p><p>　　5.1.2防火墻的分類</p><p>　　防火墻一般被分為網絡層防火墻和應用層防火墻兩種類型。網絡層防火墻主要是用來獲取協(xié)議號、源地址、目的地址和目的端口等等數據包的包頭信息；或者選擇直接獲取包頭的一段數據。而選擇對整個信息流進

63、行系統(tǒng)的分析則是應用層防火墻。</p><p>　　常見的防火墻有以下幾類：</p><p>　　1.應用網關（Application Gateway）：檢驗通過此網關的所有數據包中的位于應用層的數據。比如FTP網關，連接中傳輸的所有FTP數據包都必須經過此FTP網關。</p><p>　　2.包過濾（Packet Filter）：是指對每個數據包都將會完全按照

64、用戶所定義的規(guī)則來比較進入的數據包的源地址、目的地址是否符合所定義的規(guī)則。如用戶規(guī)定禁止端口是25或者大于等于1024的數據包通過，則只要端口符合該條件，該數據包便被禁止通過此防火墻。</p><p>　　3.代理（Proxy）：通常情況下指的是地址代理。它的機制是將網內主機的IP地址和端口替換為路由器或者服務器的IP地址和端口。讓所有的外部網絡主機與內部網絡之間的相互訪問都必須通過使用代理服務器來實現。這樣，

65、就可以控制外部網絡中的主機對內部網絡中具有重要資源的機器的訪問。</p><p><b>　　5.2 包過濾</b></p><p>　　一般情況下，包過濾是指對路由器需要轉發(fā)的數據包，先獲取包頭信息中所承載的上層IP協(xié)議中的協(xié)議號、數據包的源地址、目的地址、源端口號和目的端口號等，然后與設定的規(guī)則進行比較，比較后的結果對數據包進行轉發(fā)或者丟棄。</p>

66、<p>　　因此只要用戶所配置的規(guī)則比較符合實際的應用，那么在這一層就可以過濾掉許多帶有安全隱患的未知數據包。</p><p>　　包過濾（對IP數據包）所選取用來判斷的元素如下圖所示（圖中IP所承載的上層協(xié)議為TCP）。</p><p>　　圖5.1 包過濾示意圖</p><p>　　5.2.1包過濾可實現的功能</p><p>

67、;　　1. 不讓任何人從外界使用Telnet登錄。</p><p>　　2. 讓每個人經由SMTP（Simple Message Transfer Protocol，簡單郵件傳輸協(xié)議）向我們發(fā)送電子郵件。</p><p>　　3. 使得某臺機器可以通過NNTP（Network News Transfer Protocol，網絡新聞傳輸協(xié)議）向我們發(fā)送新聞，而其它機器都不具備此項服務等等。&

68、lt;/p><p>　　5.2.2網絡設備的包過濾的特性</p><p>　　1. 基于訪問控制列表（ACL）：訪問控制列表的運用面很廣，它不僅僅可以應用在包過濾中，還可應用在如地址轉換和IPSec等其它需要對數據流進行分類的特性中的應用中。</p><p>　　1.1．支持標準及擴展訪問控制列表：可以是只設定一個簡單的地址范圍的標準訪問控制列表；也可以使用具體到協(xié)議、

69、源地址范圍、目的地址范圍、源端口范圍、目的端口范圍以及優(yōu)先級與服務類型等等的擴展訪問控制列表功能。</p><p>　　1.2. 支持時間段：可以使訪問控制列表在完全自定義的特定的時間段內起作用，比如可設置每周一的8:00至20:00此訪問控制列表起作用。</p><p>　　2. 支持訪問控制列表的自動排序：為了簡化配置的復雜程度，方便對于訪問控制列表的配置及維護，可以選擇是否針對某一類

70、的訪問控制列表進行自動排序。 </p><p>　　3. 可以具體到接口的輸入及輸出方向：可以在連接WAN的接口的輸出方向上應用某條包過濾規(guī)則，也可以在該接口的輸入方向上應用其它的包過濾規(guī)則。</p><p>　　4. 支持基于接口進行過濾：可以在一個接口的某個方向上設定禁止或允許轉發(fā)來自某個接口的報文。</p><p>　　5. 支持對符合條件的報文做日志：可記錄

71、報文的相關信息，并提供機制保證在有大量相同觸發(fā)日志的情況下不會消耗過多的資源。</p><p>　　本文主要使用包過濾功能（ACL訪問控制列表）實現基本的防火墻功能，下面將著重介紹ACL訪問控制列表的配置。</p><p><b>　　第6章 ACL配置</b></p><p><b>　　6.1訪問控制列表</b><

72、;/p><p>　　簡單的來說就是需要配置一些過濾數據包的規(guī)則，規(guī)定什么樣的數據包可以通過，什么樣的數據包不能通過。</p><p>　　訪問控制列表可分為標準訪問控制列表和擴展訪問控制列表。</p><p>　　6.1.1標準訪問控制列表</p><p>　　acl acl-number [ match-order config | auto

73、]</p><p>　　rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]</p><p>　　6.1.2擴展訪問控制列表</p><p>　　acl acl-number [ match-order config | auto ]</p&

74、gt;<p>　　rule { normal | special }{ permit | deny } pro-number [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port

75、 operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code] [logging]</p><p>　　其中“protocol-number”用名字或數字表示的IP承載的協(xié)議類型。數字范圍為0～255；名字取值范圍為：icmp、igmp、ip、tcp、udp、gre、ospf。</p><p>　　對于“protocol”參數的不同

76、，該命令又有以下形式：</p><p>　　1.“protocol”為ICMP時的命令格式如下：</p><p>　　rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | an

77、y ] [icmp-type icmp-type icmp-code] [logging]</p><p>　　2. “protocol”為IGMP、IP、GRE、OSPF時的命令格式如下：</p><p>　　rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-ad

78、dr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]</p><p>　　3.“protocol”為TCP或UDP時的命令格式如下：</p><p>　　rule { normal | special }{ permit | deny } { tcp | udp } [so

79、urce source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]</p><p>　　只有TCP和UDP協(xié)議需要指

80、定端口范圍，支持的操作符及其語法如下表：</p><p>　　表6.1擴展訪問列表的操作符operator的意義</p><p>　　用戶通過配置防火墻添加適當的訪問規(guī)則，就可利用包過濾來對通過路由器的IP包進行檢查，從而過濾掉用戶不希望通過路由器的包，起到網絡安全的作用。</p><p><b>　　6.2防火墻的配置</b></p&g

81、t;<p><b>　　防火墻的配置包括：</b></p><p>　　1.允許/禁止防火墻</p><p>　　2.配置標準訪問控制列表</p><p>　　3.配置擴展訪問控制列表</p><p>　　4.配置在接口上應用訪問控制列表的規(guī)則</p><p>　　5.設置

82、防火墻的缺省過濾方式</p><p>　　6.設置特殊時間段</p><p><b>　　6.2.1配置步驟</b></p><p><b>　　配置路由器RA：</b></p><p>　　[RA]firewall enable 啟用防火墻功能</p><p>　　

83、[RA]timerange enable 啟用時間段功能</p><p>　　[RA]firewall default permit 設置防火墻缺省過濾方式</p><p>　　[RA]settr 08:00 18:00 *設定工作時間段*</p><p>　　[RA]acl 3001 創(chuàng)建ACL規(guī)則編號3001</p&g

84、t;<p>　　[RA-acl-3001]rule special deny tcp source any destination any destination-port greater-than 1024</p><p>　　[RA]acl 3002</p><p>　　[RA-acl-3002]rule permit ip source 202.0.0.2 0.0.0.

85、0 destination 202.0.3.1 0.0.0.255 在下班時間允許PC-A 訪問網段202.0.3.*</p><p>　　[RA-acl-3002]rule permit tcp source any destination any destination-port eq smtp 在下班時間允許發(fā)送郵件</p><p>　

86、　[RA-acl-3002]rule special deny ip source 202.0.0.2 0.0.0.0 destination 202.0.3.1 0.0.0.255 在上班時間禁止PC-A訪問網段202.0.3.*</p><p>　　[RA-acl-3002]rule special permit ip source 202.0.0.2 0.0.0.0 desti

87、nation 115.239.210.27 0 在上班時間允許PC-A 只能訪問百度</p><p>　　[RA-acl-3002]rule special deny tcp source 202.0.0.2 0.0.0.0 destination any destination-port eq smtp 在上班時間禁止PC-A對外發(fā)送郵件</p>

88、<p>　　[RA-acl-3002]rule special deny tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq www 在上班時間禁止PC-B 使用www服務</p><p>　　[RA-acl-3002]rule special deny tcp source 202.0.0.3 0.0.0.0 dest

89、ination any destination-port eq smtp 在上班時間禁止PC-B對外發(fā)送郵件</p><p>　　[RA-acl-3002]rule special permit tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq ftp 在上班時間允許PC-B使用ftp服務</p><

90、;p>　　[RA-acl-3002]rule special permit tcp source 202.0.0.4 0.0.0.0 destination any destination equal telnet 在上班時間允許PC-C使用telnet功能</p><p>　　[RA-acl-3002]quit</p><p>　　[RA]interface s0</

91、p><p>　　[RA-s0]firewall packet-filter 3001 inbound 將規(guī)則3001作用于從接口S0進入的包</p><p>　　[RA-s0]quit</p><p>　　[RA]interface e0</p><p>　　[RA-E0]firewall packet-filter 3002 inbound

92、 將規(guī)則3002作用于從接口Ethernet0進入的包</p><p><b>　　配置路由器RB:</b></p><p>　　[RB]firewall enable</p><p>　　[RB]firewall default permit</p><p>　　[RB]acl 3003</p><

93、;p><b>　　禁止所有包通過</b></p><p>　　[RB-acl-3003]rule deny ip source any destination any </p><p>　　配置規(guī)則允許特定主機訪問外部網，允許內部服務器訪問外部網。</p><p>　　[RB-acl-3003]ru

94、le permit ip source 202.0.1.2 0.0.0.0 destination any </p><p>　　[RB-acl-3003]rule permit ip source 202.0.1.3 0.0.0.0 destination any</p><p>　　[RB-acl-3003]rule permit ip source 202.0.1.4 0.0

95、.0.0 destination any</p><p>　　[RB-acl-3003]rule permit ip source 202.0.1.5 0.0.0.0 destination any</p><p>　　[RB]acl 3004</p><p>　　配置規(guī)則允許特定用戶從外部網訪問內部特定服務器。</p><p>　　[RB-

96、acl-3004]rule permit ip source 202.0.3.2 0.0.0.0 destination 202.0.1.1 0.0.0.255 </p><p>　　[RB-acl-3004]rule deny ip source 202.0.3.2 0.0.0.0 destination 202.0.0.1 0.0.0.255</p><p>　　配置規(guī)則允許特定用戶

97、從外部網取得數據（只允許端口大于1024的包）。</p><p>　　[RB-acl-3004]rule permit tcp source any destination 202.0.3.1 0.0.0.0 destination-port greater-than 1024 </p><p>　　[RB-acl-3004]quit</p><p>　　[RB

98、]interface E0</p><p>　　[RB-E0]firewall packet-filter 3003 inbound</p><p>　　[RB-EO]quit</p><p>　　[RB]interface S1</p><p>　　[RB-S1]fire packet-filter 3004 inbound</p&g

99、t;<p>　　[RB-s1]quit</p><p><b>　　配置路由器RC:</b></p><p>　　[RC]firewall enable</p><p>　　[RC]timerange enable</p><p>　　[RC]firewall default permit</p>

100、;<p>　　[RC]settr 17:00 17:05 </p><p>　　[RC]acl 3006</p><p>　　[RC-acl-3006]rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p&

101、gt;　　[RC-acl-3006]rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p>　　[RC-acl-3006]rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.

102、3.1 0.0.0.0 icmp-type echo-reply</p><p>　　[RC-acl-3006]rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p>　　[RC-acl-3006]rule normal deny tcp so

103、urce 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal telnet</p><p>　　[RC-acl-3006]rule normal deny tcp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal tel

104、net</p><p>　　[RC-acl-3006]rule special deny icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p>　　[RC-acl-3006]rule special deny icmp source 202.0.0.1 0.0.0.0 desti

105、nation 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p>　　[RC-acl-3006]rule special deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p>　　[RC-acl-3006]rule specia

106、l deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p>　　[RC-acl-3006]quit</p><p>　　[RC]interface s0</p><p>　　[RC-Serial0]fire packet-filter

107、3006 inbound</p><p><b>　　配置路由器RD:</b></p><p>　　[RD]firewall enable</p><p>　　[RD]timerange enable</p><p>　　[RD]firewall default permit</p><p>　　

108、[RD]settr 18:00 23:59</p><p>　　[RD]acl 3005</p><p>　　[RD-acl-3005]rule deny ip source 202.0.3.3 0.0.0.0 destination any 在普通時段禁止訪問內部網</p><p>　　[RD-acl-3005]rule special per

109、mit ip source 202.0.3.3 0.0.0.0 destination 202.0.1.3 0.0.0.0 在特殊時段可以訪問PC-E</p><p>　　將一些常用病毒入侵的端口禁用，防止病毒入侵</p><p>　　[RD-acl-3005]rule deny udp source any destination any destination-port eq 13

110、5</p><p>　　[RD-acl-3005]rule deny udp source any destination any destination-port eq 137</p><p>　　[RD-acl-3005]rule deny udp source any destination any destination-port eq 138</p><p&g

111、t;　　[RD-acl-3005]rule deny udp source any destination any destination-port eq 445</p><p>　　[RD-acl-3005]rule deny udp source any destination any destination-port eq 1434</p><p>　　[RD-acl-3005]ru

112、le deny tcp source any destination any destination-port eq 135</p><p>　　[RD-acl-3005]rule deny tcp source any destination any destination-port eq 137</p><p>　　[RD-acl-3005]rule deny tcp source a

113、ny destination any destination-port eq 139</p><p>　　[RD-acl-3005]rule deny tcp source any destination any destination-port eq 445</p><p>　　[RD-acl-3005]rule deny tcp source any destination any d

114、estination-port eq 4444</p><p>　　[RD-acl-3005]rule deny tcp source any destination any destination-port eq 5554</p><p>　　[RD-acl-3005]rule deny tcp source any destination any destination-port eq