实验8防火墙访问控制列表ACL配置实验.ppt
《实验8防火墙访问控制列表ACL配置实验.ppt》由会员分享,可在线阅读,更多相关《实验8防火墙访问控制列表ACL配置实验.ppt(26页珍藏版)》请在三一办公上搜索。
1、Chapter 11 网络安全技术,ISSUE 2.0,2,学习目标,掌握一般防火墙技术掌握地址转换技术,学习完本课程,您应该能够:,3,课程内容,第一节 防火墙第二节 地址转换,4,防火墙示意图,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,5,访问控制列表的作用,访问控制列表可以用于防火墙;访问控制列表可用于QoS(Quality of Service),对数据流量进行控制;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。,6,ACL的机理,一个I
2、P数据包如下图所示(图中IP所承载的上层协议为TCP):,7,访问控制列表的分类,按照访问控制列表的用途可以分为四类:基本的访问控制列表(basic acl)高级的访问控制列表(advanced acl)基于接口的访问控制列表(interface-based acl)基于MAC的访问控制列表(mac-based acl),8,访问控制列表的标识,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,9,基本访问控制列表,基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,10,基本访问控制列表的配置,配置基本访问列表的命令格式如下:acl number acl-number ma
3、tch-order config|auto rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging fragment vpn-instance vpn-instanc-name,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?,11,反掩码的使用,反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,可以描述一个地址范围。,12,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是
4、拒绝。,13,高级访问控制列表的配置,高级访问控制列表规则的配置命令:rule rule-id permit|deny protocol source sour-addr sour-wildcard|any destination dest-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|icmp-type icmp-code precedence precedence tos tos time-range time-
5、name logging fragment vpn-instance vpn-instanc-name,14,高级访问控制列表操作符,15,高级访问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging,16,基于接口的访问控制列表,基于接口的访问控制列表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 防火墙 访问 控制 列表 ACL 配置
链接地址:https://www.31ppt.com/p-5005316.html