访问控制列表及地址转换及配置.doc

访问控制列表和地址转换及配置 学习完此课程，您将会： [ 理解访问控制列表的基本原理 [ 掌握标准和扩展访问控制列表的配置方法 [ 掌握地址转换的基本原理和配置方法 IP包过滤技术介绍 l 如何在保证合法访问的同时，对非法访问进行控制？ [ 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表的作用 l 访问控制列表可以用于防火墙； l 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； l 在DCC中，访问控制列表还可用来规定触发拨号的条件； l 访问控制列表还可以用于地址转换； l 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？ l 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 如何标识访问控制列表？ l 利用数字标识访问控制列表 l 利用数字范围标识访问控制列表的种类 4000－4999 ethernet frame header acl 3000－3999 advavced list 2000－2999 basic list 1000－1999 interface-based acl 数字标识的范围 列表的种类 标准访问控制列表 l 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 标准访问控制列表的配置 l 配置标准访问列表的命令格式如下： [ acl acl-number [ match-order auto | config ] [ rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instance-name ] 如何使用反掩码 l 反掩码和子网掩码相似，但写法不同： [ 0表示需要比较 [ 1表示忽略比较 l 反掩码和IP地址结合使用，可以描述一个地址范围。 高级访问控制列表 l 高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 高级访问控制列表的配置命令 l 配置TCP/UDP协议的高级访问列表： [ rule [ rule-id ] { permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] l 配置ICMP 协议的高级访问列表： [ rule [ rule-id ] { permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] l 配置其它协议的高级访问列表： [ rule [ rule-id ] { permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 高级访问控制列表操作符的含义 介于端口号portnumber1 和portnumber2之间 range portnumber1 portnumber2 不等于端口号portnumber neq portnumber 小于端口号portnumber lt portnumber 大于端口号portnumber gt portnumber 等于端口号 portnumber eq portnumber 意义 操作符及语法 高级访问控制列表举例 l rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect 如何使用访问控制列表 l 防火墙配置常见步骤： [ 启用防火墙 [ 定义访问控制列表 [ 将访问控制列表应用到接口上 防火墙的属性配置命令 l 打开或者关闭防火墙 [ firewall { enable | disable } l 设置防火墙的缺省过滤模式 [ firewall default { permit | deny } l 显示防火墙的状态信息 [ display firewall-statistics { all | interface interface-name | fragments-inspect } l 打开防火墙包过滤调试信息开关 [ debugging firewall { all | eff | fragments-inspect | icmp | other | tcp | udp } 在接口上应用访问控制列表 l 将访问控制列表应用到接口上 l 指明在接口上是OUT还是IN方向 l 在接口视图下配置： [ firewall packet-filter acl-number [inbound | outbound] 基于时间段的包过滤 l “特殊时间段内应用特殊的规则” 时间段的配置命令 l 创建一个时间段 [ time-range time-name { start-time to end-time days | from time1 date1 [ to time2 date2 ] } l 显示 time-range 命令 [ display time-range { time-range name | all } 日志功能的配置命令 l 日志功能是允许在特定的主机上记录下来防火墙的操作 l 开启日志系统 [ info-center enable l 配置日志主机地址等相关属性 [ info-center loghost loghost-number ip-address port … l 显示日志配置信息。 [ display debugging 访问控制列表的组合 l 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。 l 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 [ 深度的判断要依靠通配比较位和IP 地址结合比较 ? rule deny 202.38.0.0 0.0.255.255 ? rule permit 202.38.160.0 0.0.0.255 ? 两条规则结合则表示禁止一个大网段 （202.38.0.0 ）上的主机但允许其中的一小部分主 机（202.38.160.0 ）的访问。 l 规则冲突时，若匹配顺序为config， 先配置的规则会被优先考虑。 地址转换的提出背景 l 地址转换是在IP地址日益短缺的情况下提出的。 l 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 l 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 l 地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。 私有地址和公有地址 地址转换的原理 利用ACL控制地址转换 l 可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。 地址转换的配置任务列表 l 定义一个访问控制列表，规定什么样的主机可以访问Internet。 l 采用EASY IP或地址池方式提供公有地址。 l 根据选择的方式（地址池方式还是Easy IP方式），在连接Internet接口上允许地址转换。 l 根据局域网的需要，定义合适的内部服务器。 Easy IP 配置 l Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置： [ nat outbound acl-number interface 使用地址池进行地址转换 l 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 l 地址池可以支持更多的局域网用户同时上Internet。 使用地址池进行地址转换配置 l 使用地址池进行地址转换配置： l 定义地址池 [ nat address-group group-number start-addr end-addr l 在接口上使用地址池进行地址转换 [ nat outbound acl-number address-group 内部服务器的应用 内部服务器配置 l 内部服务器配置命令格式 l nat server protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ] l 此例的配置 l nat server protocol tcp global 202.38.160.1 80 inside 10.0.1.1 80 NAT的监控与维护 l 显示地址转换配置 [ display nat { all | ……} l 设置地址转换连接有效时间 [ nat aging-time {tcp | udp | icmp} seconds [ nat aging-time default l 清除地址转换连接 [ reset nat 地址转换的缺点 l 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 l 地址转换不能处理IP报头加密的情况。 l 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 典型访问列表和地址转换综合应用配置实例 配置步骤 l 按照实际情况具有以下几个步骤： [ 允许防火墙 [ 定义扩展的访问控制列表 [ 在接口上应用访问控制列表 [ 在接口上利用访问控制列表定义地址转换 [ 配置内部服务器的地址映射关系 配置命令 l [Quidway]firewall enable l [Quidway]firewall default permit l [Quidway]acl number 3001 match-order auto l [Quidway-acl-3001]rule deny ip source any destination any l [Quidway-acl-3001]rule permit ip source 129.38.1.1 0 destination any l [Quidway-acl-3001]rule permit ip source 129.38.1.2 0 destination any l [Quidway-acl-3001]rule permit ip source 129.38.1.3 0 destination any l [Quidway-acl-3001]rule permit ip source 129.38.1.4 0 destination any l [Quidway-acl-3001]acl number 3002 match-order auto l [Quidway-acl-3002]rule deny ip source any destination any l [Quidway-acl-3002]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0 l [Quidway-acl-3002]rule permit tcp source any destination 202.38.160.1 0 destination-port gt 1024 配置命令(续) l [Quidway-Ethernet0]firewall packet-filter 3001 inbound l [Quidway-Serial0]firewall packet-filter 3002 inbound l [Quidway-Serial0]nat outbound 3001 l [Quidway-Serial0]nat server protocol tcp global 202.38.160.1 ftp inside 129.38.1.1 ftp l [Quidway-Serial0]nat server protocol tcp global 202.38.160.1 telnet inside 129.38.1.2 telnet l [Quidway-Serial0]nat server protocol tcp global 202.38.160.1 www inside 129.38.1.3 www