返回
11网络安全技术(2)

11网络安全技术(2)

ID:5976249

大小:1.49 MB

页数:48页

时间:2017-11-14

11网络安全技术(2)_第1页
11网络安全技术(2)_第2页
11网络安全技术(2)_第3页
11网络安全技术(2)_第4页
11网络安全技术(2)_第5页
资源描述:

《11网络安全技术(2)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Chapter11网络安全技术ISSUE2.1日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播掌握一般防火墙技术掌握地址转换技术课程目标学习完本课程,您应该能够:防火墙地址转换目录防火墙示意图对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处路由器实现防火墙功能IP报文转发机制IPPacketIPPacket网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输

2、出报文规则库由规则决定报文转发动作:丢弃或转发由规则决定报文转发动作:丢弃或转发访问控制列表的作用访问控制列表可以用于防火墙;访问控制列表可用于QoS(QualityofService),对数据流量进行控制;在DCC中,访问控制列表还可用来规定触发拨号的条件;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。ACL的机理一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用

3、这些元素定义的规则访问控制列表的分类按照访问控制列表的用途可以分为四类:基本的访问控制列表(basicacl)高级的访问控制列表(advancedacl)基于接口的访问控制列表(interface-basedacl)基于MAC的访问控制列表(mac-basedacl)访问控制列表的标识利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表1000~1999基本的访问控制列表2000~2999高级的访问控制列表3000~3999基于MAC地址访问控制列表4000~4999基本访问控制列表基本访问

4、控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器基本访问控制列表的配置配置基本访问列表的命令格式如下:aclnumberacl-number[match-order{config

5、auto}]rule[rule-id]{permit

6、deny}[sourcesour-addrsour-wildcard

7、any][time-rangetime-name][logging][fragment][vpn-instancevpn-insta

8、nc-name]怎样利用IP地址和反掩码wildcard-mask来表示一个网段?反掩码的使用反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器高级访问控制列表的配置高级访问控制列表规则的配

9、置命令:rule[rule-id]{permit

10、deny}protocol[sourcesour-addrsour-wildcard

11、any][destinationdest-addrdest-mask

12、any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message

13、icmp-typeicmp-code}][precedenceprecedence][tostos][time-rangetime-name][

14、logging][fragment][vpn-instancevpn-instanc-name]高级访问控制列表操作符操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间高级访问控制列表举例ruledenyicmpsource10.1.0.00.0.

15、255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255de

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。