返回
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc

网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc

ID:52113610

大小:1.58 MB

页数:11页

时间:2020-03-23

网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc_第1页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc_第2页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc_第3页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc_第4页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc_第5页
资源描述:

《网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施课程资源子库学习情境3:实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW)网络技术专业教学资源库实训指导3.3-1一、实训题目:基于思科路由器的IOS防火墙防护功能配置(ZPF)二、实训目的:1.配置思科路由器的ZPF功能;2.思科ZPF功能原理与实现。三、实训要求:1.基于PT配置思科路由器ZPF功能;2.理解ZPF配置流程。四、实训网络场景或网络拓扑结构:网络拓扑结构图如下:PT仿真网络结构图如下:10/11网络技术专业教学资源库五、实训

2、步骤:思科的IOS路由器防火墙大体分三类,包过滤防火墙、代理防火墙和状态监测包过滤防火墙。凡是使用IOS系统的路由器大体可以实现第一种和第三种防火墙,包过滤防火墙就是传统意义上的ACL列表;状态监测包过滤防火墙就是IOS的CBAC防火墙或者zone防火墙。ACL有一个功能是叫做established,理解为记忆放过的包,自动放行回来的流量,这个其实在Linux的iptables里面也有相应的功能,这个功能算是包过滤防火墙的延伸,这个功能是路由器自动把返回的流量也放过了,是一个方便用户的方式,不用用户在考虑返回的流量了。但这并不

3、能说是真正意义上的状态监测包过滤技术。而状态监测包过滤是监测四层或更高的层的工作过程,因为有些协议会动态的协商出新的端口,状态监测包过滤是监测的这种新端口,这种端口是无法让ACL感知到的。CiscoIOS防火墙(CBAC)提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护。所有穿过这个接口的流量受到相同的审查策略的保护。这样就降低了防火墙策略实施的颗粒度,同时也给合理的实施防火墙策略造成了困难。    而ZPF技术对原有的CBAC功能进行了增强,ZWF策略防火墙改变了老式的基于接口的配置模式,并且提供了更容易理解和更

4、灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。10/11网络技术专业教学资源库   ZPF提供了状态型的包检测,URL过滤,对DOS攻击的减缓等功能,同时提供了多种协议的支持,例如HTTP,POP3,IMAP,SMTP,ESMTP,sunRPC,IM,P2P等协议。但是需要注意的是,以下特性ZPF暂时还不能支持:uAuthenticationproxyuStatefulfirewallfailoveruU

5、nifiedfirewallMIBuIPv6statefulinspectionuTCPout−of−ordersupport   与传统的IOS相比,ZPF完全改变了配置IOS防火墙的配置。   第一点主要的改变是,ZPF是基于区域的配置。ZPF不在使用CBAC的命令。两种技术可以同时配置在路由器上,但是需要注意的是,这两种技术不能同时在接口上叠加。接口在加入了安全区域以后不能同时在该接口上配置ipinspect命令。   ZPF默认的策略为拒绝所有流量。如果没有配置放行策略,那么所有在区域间进行转发的流量将会被拒绝。而cb

6、ac默认情况下允许转发所有的流量,除非通过使用ACL来对流量进行丢弃。   第二点主要的改变是ZPF的配置命令使用了MQC命令格式。可以使用更灵活的方式来定义ZPF的策略。在本文中只对命令进行介绍,详细的MQC语句的使用请自行参看文档。   ZPF的策略规定如下:u在为接口指定区域之前,必须先配置这个区域。u一个接口只能被指定到一个区域内。u当一个接口被指定了一个区域后,除了在相同的区域内从这个接口始发终结的流量,以及从该接口到其他本路由器接口的流量,默认允许转发外,其他关于这个接口的流量都隐式的拒绝。u相同区域成员间的流量,

7、默认转发u如果要求流量从其他区域来或者到其他区域去,那么必须配置再要通信的区域间允许策略或者审查策略。u自身区域是唯一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认允许的,除非明确的配置了拒绝语句。u流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass,inspect和drop行为只能在两个区域之间进行配置。10/11网络技术专业教学资源库u一个没有加入任何区域的接口是可以使用CBAC特性的。u根据上面所提到的相关问题,我们可以知道,如果流量要在这个路由器的所有接口间转发,那么所有的接

8、口都必须是区域的成员。u唯一一个例外是,到达或者从这个路由器始发的流量默认情况下是允许的(默认情况下路由器的自身接口属于self区域)。如果要限制这样的流量,则需要配置明确的限制策略。   ZFP策略包括三种:pass,deny,intercept。Drop是默认行为,int

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。