7-防火墙配置与NAT配置课件.pptVIP

第七讲 防火墙配置与NAT配置 防火墙技术 访问控制列表 AR18防火墙配置 AR28防火墙配置 NAT技术 AR18 NAT配置 AR28 NAT配置 防火墙技术 — 概念 防火墙（Firewall）的本义是一种建筑结构，它用来防止大火从建筑物的一部分蔓延到另一部分。 在计算机网络中，防火墙是指用于完成下述功能的软件或硬件： 对单个主机或整个计算机网络进行保护，使之能够抵抗来自外部网络的不正当访问。 防火墙技术 — 分类 包过滤防火墙（Packet Filter Firewall）：对IP包进行过滤，先获取包头信息，包括IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等，然后和设定的规则进行比较，根据比较的结果决定数据包是否被允许通过。 应用层报文过滤（Application Specific Packet Filter）：也称为状态防火墙，它维护每一个连接的状态，并且检查应用层协议的数据，以此决定数据包是否被允许通过。 防火墙技术 — 示意图 防火墙一般被放置在内部网和Internet之间 防火墙技术 — 路由器实现包过滤防火墙 路由器可以在输入和输出两个方向上对IP包进行过滤 访问控制列表 — 概念 访问控制列表（Access Control List, ACL）是实现包过滤规则库的一般方法，它由一系列“permit”或“deny”的规则组成。 除安全之外，访问控制列表还有以下两种应用： QoS（Quality of Service） NAT（Network Address Translation） 访问控制列表 — 分类（AR18） 标准访问控制列表 只使用源IP地址来描述IP包 数字标识：2000 — 2999 扩展访问控制列表 使用源和目的IP地址，协议号，源和目的端口号来描述IP包 数字标识：3000 — 3999 访问控制列表 — 标准ACL [Quidway] acl acl-number [ match-order { config | auto } ] acl-number：2000 — 2999 config：配置顺序 //缺省值 auto：深度优先 [Quidway-acl-2000] rule [ normal | special ] { permit | deny } [source source-addr source-wildcard | any ] normal：该规则在所有时间段内起作用； //缺省值 special：该规则在指定时间段内起作用，使用special 时用户需另外设定时间段 source-wildcard：反掩码（通配符） 访问控制列表 — 反掩码（通配符） 例如：[Quidway-acl-2000] rule normal permit source 55 访问控制列表 — 扩展ACL 配置TCP/UDP协议的扩展ACL 配置ICMP协议的扩展ACL 配置其他协议的扩展ACL 访问控制列表 — 扩展ACL（续） 配置TCP/UDP协议的扩展ACL： rule [ normal | special ] { permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest-wildcard | any ] [destination-port operator port1 [ port2 ] ] 访问控制列表 — 扩展ACL（续） 配置TCP/UDP协议的扩展ACL举例： rule normal deny tcp source destination 6 destination-port equal 80 配置ICMP协议的扩展ACL ： rule [ normal | special ] { permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] 注：缺省为全部ICMP消息类型 配置ICMP协议的扩展ACL举例 ： rule normal deny icmp source any destination 55 icmp-type echo 访问控制列表 —