2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩34頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、<p>  基于路由器的網(wǎng)絡安全研究和實現(xiàn)</p><p>  【摘要】 在這篇論文中,介紹了計算機的網(wǎng)絡安全與防火墻的技術(shù),主要討論防火墻的概念和分類,詳細說明了防火墻技術(shù)中的包過濾功能。還介紹了AAA配置技術(shù)、OSPF配置技術(shù)和ACL訪問控制列表。詳細介紹與講解了通過ACL訪問控制列表來實現(xiàn)了一個基本的軟件防火墻。最后描述對互聯(lián)網(wǎng)的簡單防火墻技術(shù)的發(fā)展趨勢。 </p><p&g

2、t;  【關(guān)鍵詞】 網(wǎng)絡安全,防火墻,包過濾,ACL</p><p>  Research and implementation of network security based on router</p><p>  【Abstract】 In this paper , the computer network security and the techniques of fir

3、ewalls were mainly discussed, Focuses on the concept of a firewall, a detailed description of the packet filtering in the firewall technology.It also introduced the configuration Technology of AAA OSPF and Access Control

4、 Listtec , Introduced and explained in detail to achieve a basic software firewall by ACL. Finally described the trend of development of the firewalls techniques in Internet briefly.</p><p>  【Key Words】 n

5、etwork security,firewalls,Packet filtering,ACL </p><p><b>  目錄</b></p><p><b>  第1章 緒論1</b></p><p>  1.1選題的背景和意義1</p><p>  1.1.1國內(nèi)外的研究現(xiàn)狀1</

6、p><p>  1.1.2發(fā)展趨勢2</p><p>  1.2研究的基本內(nèi)容2</p><p>  第2章 配置基本網(wǎng)絡環(huán)境4</p><p>  2.1配置基本網(wǎng)絡環(huán)境4</p><p>  2.1.1構(gòu)建小型模擬局域網(wǎng)5</p><p>  第3章 AAA配置6</p>

7、<p>  3.1 AAA簡介6</p><p>  3.1.1什么是AAA6</p><p>  3.2簡單基本的AAA配置6</p><p>  3.2.1組網(wǎng)需求6</p><p>  3.2.2配置步驟6</p><p>  第4章 OSPF配置8</p><p&g

8、t;  4.1 OSPF簡介8</p><p>  4.1.1 OSPF的主要特性8</p><p>  4.1.2 OSPF協(xié)議路由計算的過程8</p><p>  4.2 OSPF的配置9</p><p>  4.2.1配置步驟9</p><p>  第5章 防火墻13</p><p

9、>  5.1防火墻簡介13</p><p>  5.1.1什么是防火墻13</p><p>  5.1.2防火墻的分類13</p><p>  5.2 包過濾14</p><p>  5.2.1包過濾可實現(xiàn)的功能14</p><p>  5.2.2網(wǎng)絡設(shè)備的包過濾的特性15</p>&l

10、t;p>  第6章 ACL配置16</p><p>  6.1訪問控制列表16</p><p>  6.1.1標準訪問控制列表16</p><p>  6.1.2擴展訪問控制列表16</p><p>  6.2防火墻的配置17</p><p>  6.2.1配置步驟18</p><

11、p>  6.2.2防火墻的顯示與調(diào)試21</p><p><b>  結(jié)論23</b></p><p><b>  參考文獻24</b></p><p><b>  附錄26</b></p><p><b>  致謝29</b></p

12、><p><b>  圖目錄</b></p><p>  圖2.1 設(shè)備配置圖5</p><p>  圖5.1 包過濾示意圖14</p><p><b>  表目錄</b></p><p>  表2.1 設(shè)備配置信息4</p><p>  表6.1擴

13、展訪問列表的操作符operator的意義17</p><p>  表6.2防火墻的顯示和調(diào)試22</p><p>  表I防火墻的顯示和調(diào)試(TCP)26</p><p>  表II防火墻的顯示和調(diào)試(UDP)27</p><p>  表III ICMP報文類型的助記符28</p><p><b>

14、  第1章 緒論</b></p><p>  1.1選題的背景和意義</p><p>  隨著網(wǎng)絡應用的日益普及,尤其是在一些敏感場合(如電子商務)的應用,因此網(wǎng)絡安全成為日益迫切的需求之一;路由器作為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間通訊的關(guān)鍵,完全有必要提供充分而又可靠的安全保護功能。</p><p>  本課題的目的就是設(shè)計一種基于路由器的網(wǎng)絡安全解決方案,從

15、安全性、處理速度等方面對其進行可用性評估。</p><p>  1.1.1國內(nèi)外的研究現(xiàn)狀</p><p>  現(xiàn)今網(wǎng)絡中大多都使用TCP/IP協(xié)議,但是因此TCP/IP協(xié)議本身存在缺陷,從而導致了網(wǎng)絡的不安全。雖然TCP/IP協(xié)議具有許多特點,如支持多種應用協(xié)議、互聯(lián)能力強、網(wǎng)絡技術(shù)獨立、等等;但是由于TCP/IP協(xié)議在定制時,并沒有考慮到安全方面的主要因素,因此協(xié)議中還是有很多的安全問

16、題存在。主要有:</p><p>  1. TCP/IP協(xié)議數(shù)據(jù)流在使用FTP、Http和Telnet傳輸時,用戶的賬號以及口令非常容易被竊聽、修改和偽造。</p><p>  2.作為網(wǎng)絡節(jié)點的唯一標識,源地址是通過利用IP地址對TCP/IP協(xié)議進行欺騙,因為IP地址不是完全固定的;因此,攻擊者可以通過直接修改節(jié)點的IP地址冒充某個可信節(jié)點的%-地址來進行攻擊。</p>

17、<p>  3.為了測試目的設(shè)置一個選項IP Soure routing,源路由一般情況下選擇欺騙IP數(shù)據(jù)包;從而使攻擊者可以利用這一選項,直接指明出一條路由方式來進行偽裝、欺騙,然后進行不正當方式的連接。</p><p><b>  1.1.2發(fā)展趨勢</b></p><p>  網(wǎng)絡安全不只是一個單純的技術(shù)間題,同時也是一個非常關(guān)鍵的管理問題。對計算機系

18、統(tǒng)的安全事件進行收集、記錄、分析、判斷,然后采取對應的安全措施來進行處理的一個過程被稱為安全審計。其基本的功能分別為:對用戶、操作命令、文件操作等審計對象進行選擇;對文件系統(tǒng)完整性進行定期的檢測;設(shè)置選擇逐出系統(tǒng);保護數(shù)據(jù)的安全及審計日志等。成立專門負責計算機網(wǎng)絡信息安全的行政管理機構(gòu),從而審查和訂制計算機網(wǎng)絡的信息安全措施。確認安全措施實施的方針、政策以及原則;具體組織、協(xié)調(diào)、監(jiān)督、檢查信息安全措施的執(zhí)行。</p>&l

19、t;p>  來自計算機網(wǎng)絡信息系統(tǒng)內(nèi)部的危害當中,很多是人為造成的對信息安全的危害。由于思想上的松懈和安全意識偏弱,從而給了攻擊者可乘之機。因此,加強單位人員的思想教育,培養(yǎng)單位人員的責任感也是保護網(wǎng)絡安全不可或缺的一個重要環(huán)節(jié)。 </p><p>  計算機網(wǎng)絡安全發(fā)展至今,儼然已成為了一個橫跨通信技術(shù)、網(wǎng)絡技術(shù)、安全技術(shù)、計算機技術(shù)、密碼學等等多種門科技術(shù)的綜合性學科。因此計算機網(wǎng)絡安全的發(fā)展在向高端技

20、術(shù)發(fā)展的同時會朝著全方位化、縱深化、專業(yè)化的方向發(fā)展,隨著各種新興技術(shù)的不斷發(fā)展和出現(xiàn),網(wǎng)絡安全將會由單一的技術(shù)向各種技術(shù)融合的方向發(fā)展。</p><p>  基于路由器的大多數(shù)主要安全技術(shù)通常都是相輔相成的,為了系統(tǒng)安全性的提高,必須通過各種安全機制協(xié)調(diào)工作。當今,由于信息化的高速發(fā)展,加強路由器安全機制和安全協(xié)議,改進新的算法研究將會成為保證網(wǎng)絡安全的高效性的唯一選擇。</p><p>

21、;  1.2研究的基本內(nèi)容</p><p>  隨著Internet的飛速發(fā)展,全國每個中小型企業(yè)和事業(yè)單位都在建設(shè)局域網(wǎng)并連入了互聯(lián)網(wǎng),所以信息網(wǎng)絡安全就必須同時跟上發(fā)展的腳步,成為我們最需要著重關(guān)心的問題之一。</p><p>  我們可以采取在普通路由器中添加安全模塊,從技術(shù)上加強路由器的安全性;或者借助管理手段,從管理上加強對路由器的安全性等多種手段來保證基于路由器的網(wǎng)絡環(huán)境下的安

22、全性。</p><p>  網(wǎng)絡安全與防火墻關(guān)系密不可分,網(wǎng)絡防火墻的構(gòu)建需要明確安全策略,安全而又全面的分析和業(yè)務的需求分析將決定一個組織全局的安全策略,因此我們需要仔細并且正確的設(shè)置網(wǎng)絡安全策略,從而使這個計算機網(wǎng)絡防火墻發(fā)揮它最大的作用。 </p><p>  其中,明確定義哪些數(shù)據(jù)包允許或禁止通過并使用網(wǎng)絡服務,以及這些服務的詳細使用規(guī)則,同時網(wǎng)絡防火墻安全策略中的每一條規(guī)定都應該

23、在實際應用時得到實現(xiàn);這些都屬于網(wǎng)絡防火墻的安全策略。</p><p>  本文就著重介紹與說明在路由器下通過訪問控制列表(ACL)方法實現(xiàn)安全策略,構(gòu)建出一個小型、簡易、安全有合理的計算機網(wǎng)絡的防火墻體系結(jié)構(gòu),從而實現(xiàn)具體的網(wǎng)絡防火墻功能,并對其實現(xiàn)和具體應用進行詳細的敘述。</p><p>  第2章 配置基本網(wǎng)絡環(huán)境</p><p>  2.1配置基本網(wǎng)絡環(huán)境

24、</p><p>  (1)按照表2.1所示內(nèi)容,正確填寫計算機(PA、PB、PC、PD……)及路由器(RA、RB、RC、RD)的網(wǎng)絡連接參數(shù)</p><p>  表2.1 設(shè)備配置信息</p><p>  2.1.1構(gòu)建小型模擬局域網(wǎng)</p><p>  設(shè)備連接如圖2.1所示構(gòu)建出一個小型模擬局域網(wǎng)(由路由器、交換機、PC組成)。<

25、/p><p>  圖2.1 設(shè)備配置圖</p><p><b>  第3章 AAA配置</b></p><p><b>  3.1 AAA簡介</b></p><p>  3.1.1什么是AAA</p><p>  用來對認證、授權(quán)和計費這三種安全功能進行配置的一個框架,被稱為:

26、Authentication,Authorization and Accounting ,即認證、授權(quán)和計費,一般情況下縮寫為AAA即可,簡稱:“三A認證”;它是對網(wǎng)絡安全進行管理的認證方式之一,對所有類型LOGIN用戶進行本地認證、授權(quán)、計費。</p><p>  在這里,網(wǎng)絡安全主要指的是訪問控制,其中包括了:</p><p> ?。?)規(guī)定了哪些用戶可以訪問指定網(wǎng)絡服務器</p

27、><p> ?。?)具有訪問權(quán)限的用戶組分別可以得到哪些服務,可以做些什么</p><p> ?。?)對正在使用該網(wǎng)絡資源的用戶組進行計費功能</p><p>  AAA可完成下列服務:</p><p> ?。?)認證:判斷認證用戶是否可以獲得訪問權(quán)限</p><p> ?。?)授權(quán):被授權(quán)的用戶組可以使用哪些服務。<

28、;/p><p> ?。?)計費:記錄用戶組使用網(wǎng)絡資源的具體情況。</p><p>  3.2簡單基本的AAA配置</p><p><b>  3.2.1組網(wǎng)需求</b></p><p>  對所有類型login用戶進行本地認證,但不要求計費。</p><p><b>  3.2.2配置步驟

29、</b></p><p><b>  # 使能AAA</b></p><p>  [Router] aaa-enable</p><p>  # 配置Login用戶</p><p>  [Router] local-user ftp service-type ftp password simple ftp &

30、lt;/p><p>  [Router] local-user admin service-type administrator ssh password cipher admin</p><p>  [Router] local-user operator service-type operator ssh password simple operator</p><p&

31、gt;  [Router] local-user guest service-type guest ssh password simple guest</p><p>  # 配置對login用戶進行認證</p><p>  [Router] aaa authentication-scheme login default local </p><p>  [Rout

32、er] login-method authentication-mode con default</p><p>  [Router] login-method authentication-mode async default</p><p>  [Router] login-method authentication-mode hwtty default</p><

33、p>  [Router] login-method authentication-mode pad default</p><p>  [Router] login-method authentication-mode telnet default</p><p>  [Router] login-method authentication-mode ssh default</

34、p><p>  # 配置對FTP用戶進行認證</p><p>  [Router] login-method authentication-mode ftp default</p><p>  # 配置對login用戶不計費</p><p>  [Router] undo login-method accounting-mode login co

35、n</p><p>  [Router] undo login-method accounting-mode login async</p><p>  [Router] undo login-method accounting-mode login hwtty</p><p>  [Router] undo login-method accounting-mode

36、 login pad</p><p>  [Router] undo login-method accounting-mode login telnet</p><p>  [Router] undo login-method accounting-mode login ssh</p><p>  四臺路由器均要進行相同的AAA配置,指令相同,不作重復。</p

37、><p>  第4章 OSPF配置</p><p>  4.1 OSPF簡介</p><p>  由IETF組織研發(fā)的一個基于鏈路狀態(tài)下的自治系統(tǒng)內(nèi)部路由協(xié)議被稱為:開放最短路由優(yōu)先協(xié)議(Open Shortest Path First),簡稱OSPF,目前普遍使用的是版本2(RFC1583)。</p><p>  4.1.1 OSPF的主要特性

38、</p><p>  1.適應范圍——支持最多幾千臺路由器的各種大、中、小規(guī)模的網(wǎng)絡。</p><p>  2.快速收斂——在網(wǎng)絡的拓撲結(jié)構(gòu)發(fā)生變化后立即發(fā)送并更新報文并在自治系統(tǒng)中達到同步。</p><p>  3.無自環(huán)——用最短路徑樹算法計算路由,保證了不會生成自環(huán)路由。</p><p>  4.區(qū)域劃分——為了減少占用帶寬,自

39、治系統(tǒng)的網(wǎng)絡被劃分成的區(qū)域傳送的路由信息被抽象。</p><p>  5.等值路由——到同一目的地址的多條等值路由。</p><p>  6.路由分級——當同時使用不同等級的路由時,按區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由和第二類外部路由這個優(yōu)先順序分級。</p><p>  7.支持驗證——支持基于接口的報文驗證,保障了路由計算的安全性、穩(wěn)定性。</p

40、><p>  8.組播發(fā)送——在有組播發(fā)送能力的鏈路層上,基于組播地址進行接收、發(fā)送報文。在達到了廣播作用的同時又最大程度地減少了對其它網(wǎng)絡設(shè)備的干擾。</p><p>  4.1.2 OSPF協(xié)議路由計算的過程</p><p>  OSPF協(xié)議路由的計算過程可簡單描述如下:</p><p>  1. 描述整個自治系統(tǒng)拓撲結(jié)構(gòu)的鏈路狀態(tài)數(shù)據(jù)庫

41、(簡稱LSDB)是由每一臺支持OSPF協(xié)議的路由器維護著;他們都會根據(jù)周圍的網(wǎng)絡拓撲結(jié)構(gòu)來生成鏈路狀態(tài)并且發(fā)布Link State Advertising(LSA),然后再將LSA發(fā)送給網(wǎng)絡中其它路由器。這樣,每臺路由器都將會收到來自其它路由器的 LSA,然后將所有的 LSA 放在一起組成了一個相對完整的鏈路狀態(tài)數(shù)據(jù)庫。</p><p>  2. 對路由器周圍網(wǎng)絡拓撲結(jié)構(gòu)的具體描述被稱為LSA,而對整個網(wǎng)絡的拓

42、撲結(jié)構(gòu)的一種描述則被成為LSDB。自然而然,自治系統(tǒng)內(nèi)的各個路由器都將得到完全相同的網(wǎng)絡拓撲圖是因為路由器會將LSDB轉(zhuǎn)換成一張帶有權(quán)值的真實反映整個網(wǎng)絡拓撲結(jié)構(gòu)的有向圖。</p><p>  3. 使用SPF算法的每臺路由器都會計算出一棵到自治系統(tǒng)中各個節(jié)點的路由的樹,這是一棵以自己為根的最短路徑樹,這棵樹給出了通過廣播外部路由的路由器來記錄關(guān)于整個自治系統(tǒng)的額外信息。</p><p>

43、;  另外,為了建立多個鄰接(Adjacent)關(guān)系,使處于廣播網(wǎng)和NBMA網(wǎng)中的每臺路由器都可以將存儲在本地的路由信息廣播到整個自治系統(tǒng)中去,則會出現(xiàn)多次傳遞任意一臺路由器的路由變化的情況,因而浪費了寶貴的帶寬資源。為了解決這個難題,OSPF因此定義了“指定路由器”(Designated Router),簡稱為DR;為了大大減少各路由器之間鄰居關(guān)系的數(shù)量,DR接收所有路由器發(fā)送出來的路由信息,然后再由它將該網(wǎng)絡的鏈路狀態(tài)廣播出去。 &

44、lt;/p><p>  OSPF支持IP子網(wǎng)和外部路由信息的標記接收,它支持基于接口的報文驗證以保證路由計算的安全性;并使用IP組播方式發(fā)送和接收報文。</p><p>  4.2 OSPF的配置</p><p>  必須先啟動OSPF、使能OSPF網(wǎng)絡后,才能在各項配置任務中配置其它與協(xié)議相關(guān)的功能特性,而OSPF是否使能將不會影響在接口下配置的與協(xié)議相關(guān)的參數(shù)。關(guān)閉

45、OSPF的同時原來在接口下配置的與協(xié)議相關(guān)的參數(shù)也同時失效。</p><p><b>  4.2.1配置步驟</b></p><p>  1. 配置路由器RA</p><p>  [RA]interface S0</p><p>  [RA-Serial0]ip address 192.1.1.1 255.255.255

46、.0</p><p>  [RA-Serial0]interface S1</p><p>  [RA-Serial1]ip address 193.1.1.1 255.255.255.0</p><p>  [RA-Serial1]interface eth0</p><p>  [RA-Ethernet0]ip address 202.0

47、.0.1 255.255.255.0</p><p>  [RA-Ethernet0]quit</p><p>  [RA]ospf enable</p><p>  [RA-ospf]interface s0</p><p>  [RA-Serial0]ospf enable area 0</p><p>  [RA

48、-Serial0]interface s1</p><p>  [RA-Serial1]ospf enable area 0</p><p>  [RA-Serial1]quit</p><p>  [RA]interface e0</p><p>  [RA-Ethernet0]ospf enable area 0</p>&

49、lt;p>  2. 配置路由器RB</p><p>  [RB]interface S0</p><p>  [RB-Serial0]ip address 192.1.1.2 255.255.255.0</p><p>  [RB-Serial0]interface S1</p><p>  [RB-Serial1]ip address

50、 194.1.1.2 255.255.255.0</p><p>  [RB-Serial1]quit</p><p>  [RB]ospf enable</p><p>  [RB-ospf]interface s0</p><p>  [RB-Serial0]ospf enable area 0</p><p> 

51、 [RB-Serial0]interface s1</p><p>  [RB-Serial1]ospf enable area 0</p><p>  [RB-Serial1]quit</p><p>  [RB]interface eth0</p><p>  [RB-Ethernet0]ip address 202.0.1.1 255.

52、255.255.0</p><p>  [RB-Ethernet0]ospf enable area 0</p><p>  [RB-Ethernet0]quit</p><p>  3. 配置路由器RC</p><p>  [RC]interface S0</p><p>  [RC-Serial0]ip addre

53、ss 194.1.1.1 255.255.255.0</p><p>  [RC-Serial0]interface S1</p><p>  [RC-Serial1]ip address 195.1.1.1 255.255.255.0</p><p>  [RC-Serial1]quit</p><p>  [RC]ospf enable&

54、lt;/p><p>  [RC-ospf]interface s0</p><p>  [RC-Serial0]ospf enable area 0</p><p>  [RC-Serial0]interface s1</p><p>  [RC-Serial1]ospf enable area 0</p><p>  [

55、RC-Serial1]quit</p><p>  [RC]interface eth0</p><p>  [RC-Ethernet0]ip address 202.0.2.1 255.255.255.0</p><p>  [RC-Ethernet0]ospf enable area 0</p><p>  [RC-Ethernet0]q

56、uit</p><p>  4. 配置路由器RD</p><p>  [RD]interface S0</p><p>  [RD-Serial0]ip address 193.1.1.2 255.255.255.0</p><p>  [RD-Serial0]interface S1</p><p>  [RD-Se

57、rial1]ip address 195.1.1.2 255.255.255.0</p><p>  [RD-Serial1]interface eth0</p><p>  [RD-Ethernet0]ip address 202.0.3.1 255.255.255.0</p><p>  [RD-Ethernet0]quit</p><p&g

58、t;  [RD]ospf enable</p><p>  [RD-ospf]interface s0</p><p>  [RD-Serial0]ospf enable area 0</p><p>  [RD-Serial0]interface s1</p><p>  [RD-Serial1]ospf enable area 0<

59、/p><p>  [RD-Serial1]interface e0</p><p>  [RD-Ethernet0]ospf enable area 0</p><p>  [RD-Ethernet0]quit</p><p>  如此配置完成后,所有的端口都可以相互PING通。如圖2.1 構(gòu)建的小型局域網(wǎng)就完成了。</p><

60、;p><b>  第5章 防火墻</b></p><p><b>  5.1防火墻簡介</b></p><p>  5.1.1什么是防火墻</p><p>  防火墻作為Internet訪問控制的基本技術(shù),其主要作用是監(jiān)視和過濾通過它的數(shù)據(jù)包,拒絕非法用戶訪問網(wǎng)絡并保障合法用戶正常工作,根據(jù)自身所配置的訪問控制策略決

61、定該包應當被轉(zhuǎn)發(fā)還是應當被拋棄。</p><p>  為了阻止未經(jīng)認證或者未經(jīng)授權(quán)的用戶訪問保護內(nèi)部網(wǎng)絡或數(shù)據(jù),防止來自外網(wǎng)的惡意攻擊,一般將防火墻設(shè)置在外部網(wǎng)和內(nèi)部網(wǎng)的連接處。也可以用防火墻將企業(yè)網(wǎng)中比較敏感的網(wǎng)段與相對開放的網(wǎng)段隔離開來,從而達到即使該訪問是來自局域網(wǎng)內(nèi)部,也必須經(jīng)過防火墻的過濾的效果。 </p><p>  防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流來保護內(nèi)部網(wǎng)絡

62、的安全性,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況?,F(xiàn)在的許多防火墻同時甚至還可以對用戶進行身份鑒別,對信息進行安全加密處理等等。</p><p>  5.1.2防火墻的分類</p><p>  防火墻一般被分為網(wǎng)絡層防火墻和應用層防火墻兩種類型。網(wǎng)絡層防火墻主要是用來獲取協(xié)議號、源地址、目的地址和目的端口等等數(shù)據(jù)包的包頭信息;或者選擇直接獲取包頭的一段數(shù)據(jù)。而選擇對整個信息流進行

63、系統(tǒng)的分析則是應用層防火墻。</p><p>  常見的防火墻有以下幾類:</p><p>  1.應用網(wǎng)關(guān)(Application Gateway):檢驗通過此網(wǎng)關(guān)的所有數(shù)據(jù)包中的位于應用層的數(shù)據(jù)。比如FTP網(wǎng)關(guān),連接中傳輸?shù)乃蠪TP數(shù)據(jù)包都必須經(jīng)過此FTP網(wǎng)關(guān)。</p><p>  2.包過濾(Packet Filter):是指對每個數(shù)據(jù)包都將會完全按照用

64、戶所定義的規(guī)則來比較進入的數(shù)據(jù)包的源地址、目的地址是否符合所定義的規(guī)則。如用戶規(guī)定禁止端口是25或者大于等于1024的數(shù)據(jù)包通過,則只要端口符合該條件,該數(shù)據(jù)包便被禁止通過此防火墻。</p><p>  3.代理(Proxy):通常情況下指的是地址代理。它的機制是將網(wǎng)內(nèi)主機的IP地址和端口替換為路由器或者服務器的IP地址和端口。讓所有的外部網(wǎng)絡主機與內(nèi)部網(wǎng)絡之間的相互訪問都必須通過使用代理服務器來實現(xiàn)。這樣,就

65、可以控制外部網(wǎng)絡中的主機對內(nèi)部網(wǎng)絡中具有重要資源的機器的訪問。</p><p><b>  5.2 包過濾</b></p><p>  一般情況下,包過濾是指對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息中所承載的上層IP協(xié)議中的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口號和目的端口號等,然后與設(shè)定的規(guī)則進行比較,比較后的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。</p>

66、<p>  因此只要用戶所配置的規(guī)則比較符合實際的應用,那么在這一層就可以過濾掉許多帶有安全隱患的未知數(shù)據(jù)包。</p><p>  包過濾(對IP數(shù)據(jù)包)所選取用來判斷的元素如下圖所示(圖中IP所承載的上層協(xié)議為TCP)。</p><p>  圖5.1 包過濾示意圖</p><p>  5.2.1包過濾可實現(xiàn)的功能</p><p>

67、  1. 不讓任何人從外界使用Telnet登錄。</p><p>  2. 讓每個人經(jīng)由SMTP(Simple Message Transfer Protocol,簡單郵件傳輸協(xié)議)向我們發(fā)送電子郵件。</p><p>  3. 使得某臺機器可以通過NNTP(Network News Transfer Protocol,網(wǎng)絡新聞傳輸協(xié)議)向我們發(fā)送新聞,而其它機器都不具備此項服務等等。&l

68、t;/p><p>  5.2.2網(wǎng)絡設(shè)備的包過濾的特性</p><p>  1. 基于訪問控制列表(ACL):訪問控制列表的運用面很廣,它不僅僅可以應用在包過濾中,還可應用在如地址轉(zhuǎn)換和IPSec等其它需要對數(shù)據(jù)流進行分類的特性中的應用中。</p><p>  1.1.支持標準及擴展訪問控制列表:可以是只設(shè)定一個簡單的地址范圍的標準訪問控制列表;也可以使用具體到協(xié)議、源

69、地址范圍、目的地址范圍、源端口范圍、目的端口范圍以及優(yōu)先級與服務類型等等的擴展訪問控制列表功能。</p><p>  1.2. 支持時間段:可以使訪問控制列表在完全自定義的特定的時間段內(nèi)起作用,比如可設(shè)置每周一的8:00至20:00此訪問控制列表起作用。</p><p>  2. 支持訪問控制列表的自動排序:為了簡化配置的復雜程度,方便對于訪問控制列表的配置及維護,可以選擇是否針對某一類的

70、訪問控制列表進行自動排序。 </p><p>  3. 可以具體到接口的輸入及輸出方向:可以在連接WAN的接口的輸出方向上應用某條包過濾規(guī)則,也可以在該接口的輸入方向上應用其它的包過濾規(guī)則。</p><p>  4. 支持基于接口進行過濾:可以在一個接口的某個方向上設(shè)定禁止或允許轉(zhuǎn)發(fā)來自某個接口的報文。</p><p>  5. 支持對符合條件的報文做日志:可記錄報

71、文的相關(guān)信息,并提供機制保證在有大量相同觸發(fā)日志的情況下不會消耗過多的資源。</p><p>  本文主要使用包過濾功能(ACL訪問控制列表)實現(xiàn)基本的防火墻功能,下面將著重介紹ACL訪問控制列表的配置。</p><p><b>  第6章 ACL配置</b></p><p><b>  6.1訪問控制列表</b><

72、/p><p>  簡單的來說就是需要配置一些過濾數(shù)據(jù)包的規(guī)則,規(guī)定什么樣的數(shù)據(jù)包可以通過,什么樣的數(shù)據(jù)包不能通過。</p><p>  訪問控制列表可分為標準訪問控制列表和擴展訪問控制列表。</p><p>  6.1.1標準訪問控制列表</p><p>  acl acl-number [ match-order config | auto ]

73、</p><p>  rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]</p><p>  6.1.2擴展訪問控制列表</p><p>  acl acl-number [ match-order config | auto ]</p&g

74、t;<p>  rule { normal | special }{ permit | deny } pro-number [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port

75、operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code] [logging]</p><p>  其中“protocol-number”用名字或數(shù)字表示的IP承載的協(xié)議類型。數(shù)字范圍為0~255;名字取值范圍為:icmp、igmp、ip、tcp、udp、gre、ospf。</p><p>  對于“protocol”參數(shù)的不同,

76、該命令又有以下形式:</p><p>  1.“protocol”為ICMP時的命令格式如下:</p><p>  rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any

77、 ] [icmp-type icmp-type icmp-code] [logging]</p><p>  2. “protocol”為IGMP、IP、GRE、OSPF時的命令格式如下:</p><p>  rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-add

78、r source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]</p><p>  3.“protocol”為TCP或UDP時的命令格式如下:</p><p>  rule { normal | special }{ permit | deny } { tcp | udp } [sou

79、rce source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]</p><p>  只有TCP和UDP協(xié)議需要指定

80、端口范圍,支持的操作符及其語法如下表:</p><p>  表6.1擴展訪問列表的操作符operator的意義</p><p>  用戶通過配置防火墻添加適當?shù)脑L問規(guī)則,就可利用包過濾來對通過路由器的IP包進行檢查,從而過濾掉用戶不希望通過路由器的包,起到網(wǎng)絡安全的作用。</p><p><b>  6.2防火墻的配置</b></p>

81、;<p><b>  防火墻的配置包括:</b></p><p>  1.允許/禁止防火墻</p><p>  2.配置標準訪問控制列表</p><p>  3.配置擴展訪問控制列表</p><p>  4.配置在接口上應用訪問控制列表的規(guī)則</p><p>  5.設(shè)置防

82、火墻的缺省過濾方式</p><p>  6.設(shè)置特殊時間段</p><p><b>  6.2.1配置步驟</b></p><p><b>  配置路由器RA:</b></p><p>  [RA]firewall enable 啟用防火墻功能</p><p>  [

83、RA]timerange enable 啟用時間段功能</p><p>  [RA]firewall default permit 設(shè)置防火墻缺省過濾方式</p><p>  [RA]settr 08:00 18:00 *設(shè)定工作時間段*</p><p>  [RA]acl 3001 創(chuàng)建ACL規(guī)則編號3001</p>

84、;<p>  [RA-acl-3001]rule special deny tcp source any destination any destination-port greater-than 1024</p><p>  [RA]acl 3002</p><p>  [RA-acl-3002]rule permit ip source 202.0.0.2 0.0.0.0

85、 destination 202.0.3.1 0.0.0.255 在下班時間允許PC-A 訪問網(wǎng)段202.0.3.*</p><p>  [RA-acl-3002]rule permit tcp source any destination any destination-port eq smtp 在下班時間允許發(fā)送郵件</p><p>  

86、[RA-acl-3002]rule special deny ip source 202.0.0.2 0.0.0.0 destination 202.0.3.1 0.0.0.255 在上班時間禁止PC-A訪問網(wǎng)段202.0.3.*</p><p>  [RA-acl-3002]rule special permit ip source 202.0.0.2 0.0.0.0 destin

87、ation 115.239.210.27 0 在上班時間允許PC-A 只能訪問百度</p><p>  [RA-acl-3002]rule special deny tcp source 202.0.0.2 0.0.0.0 destination any destination-port eq smtp 在上班時間禁止PC-A對外發(fā)送郵件</p>&

88、lt;p>  [RA-acl-3002]rule special deny tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq www 在上班時間禁止PC-B 使用www服務</p><p>  [RA-acl-3002]rule special deny tcp source 202.0.0.3 0.0.0.0 desti

89、nation any destination-port eq smtp 在上班時間禁止PC-B對外發(fā)送郵件</p><p>  [RA-acl-3002]rule special permit tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq ftp 在上班時間允許PC-B使用ftp服務</p><

90、p>  [RA-acl-3002]rule special permit tcp source 202.0.0.4 0.0.0.0 destination any destination equal telnet 在上班時間允許PC-C使用telnet功能</p><p>  [RA-acl-3002]quit</p><p>  [RA]interface s0</p

91、><p>  [RA-s0]firewall packet-filter 3001 inbound 將規(guī)則3001作用于從接口S0進入的包</p><p>  [RA-s0]quit</p><p>  [RA]interface e0</p><p>  [RA-E0]firewall packet-filter 3002 inbound

92、 將規(guī)則3002作用于從接口Ethernet0進入的包</p><p><b>  配置路由器RB:</b></p><p>  [RB]firewall enable</p><p>  [RB]firewall default permit</p><p>  [RB]acl 3003</p><

93、p><b>  禁止所有包通過</b></p><p>  [RB-acl-3003]rule deny ip source any destination any </p><p>  配置規(guī)則允許特定主機訪問外部網(wǎng),允許內(nèi)部服務器訪問外部網(wǎng)。</p><p>  [RB-acl-3003]rul

94、e permit ip source 202.0.1.2 0.0.0.0 destination any </p><p>  [RB-acl-3003]rule permit ip source 202.0.1.3 0.0.0.0 destination any</p><p>  [RB-acl-3003]rule permit ip source 202.0.1.4 0.0.

95、0.0 destination any</p><p>  [RB-acl-3003]rule permit ip source 202.0.1.5 0.0.0.0 destination any</p><p>  [RB]acl 3004</p><p>  配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部特定服務器。</p><p>  [RB-a

96、cl-3004]rule permit ip source 202.0.3.2 0.0.0.0 destination 202.0.1.1 0.0.0.255 </p><p>  [RB-acl-3004]rule deny ip source 202.0.3.2 0.0.0.0 destination 202.0.0.1 0.0.0.255</p><p>  配置規(guī)則允許特定用戶從

97、外部網(wǎng)取得數(shù)據(jù)(只允許端口大于1024的包)。</p><p>  [RB-acl-3004]rule permit tcp source any destination 202.0.3.1 0.0.0.0 destination-port greater-than 1024 </p><p>  [RB-acl-3004]quit</p><p>  [RB]

98、interface E0</p><p>  [RB-E0]firewall packet-filter 3003 inbound</p><p>  [RB-EO]quit</p><p>  [RB]interface S1</p><p>  [RB-S1]fire packet-filter 3004 inbound</p>

99、;<p>  [RB-s1]quit</p><p><b>  配置路由器RC:</b></p><p>  [RC]firewall enable</p><p>  [RC]timerange enable</p><p>  [RC]firewall default permit</p>

100、<p>  [RC]settr 17:00 17:05 </p><p>  [RC]acl 3006</p><p>  [RC-acl-3006]rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p&g

101、t;  [RC-acl-3006]rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p>  [RC-acl-3006]rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.3

102、.1 0.0.0.0 icmp-type echo-reply</p><p>  [RC-acl-3006]rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p>  [RC-acl-3006]rule normal deny tcp sou

103、rce 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal telnet</p><p>  [RC-acl-3006]rule normal deny tcp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal teln

104、et</p><p>  [RC-acl-3006]rule special deny icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p>  [RC-acl-3006]rule special deny icmp source 202.0.0.1 0.0.0.0 destin

105、ation 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p>  [RC-acl-3006]rule special deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p>  [RC-acl-3006]rule special

106、 deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p>  [RC-acl-3006]quit</p><p>  [RC]interface s0</p><p>  [RC-Serial0]fire packet-filter 3

107、006 inbound</p><p><b>  配置路由器RD:</b></p><p>  [RD]firewall enable</p><p>  [RD]timerange enable</p><p>  [RD]firewall default permit</p><p>  [

108、RD]settr 18:00 23:59</p><p>  [RD]acl 3005</p><p>  [RD-acl-3005]rule deny ip source 202.0.3.3 0.0.0.0 destination any 在普通時段禁止訪問內(nèi)部網(wǎng)</p><p>  [RD-acl-3005]rule special perm

109、it ip source 202.0.3.3 0.0.0.0 destination 202.0.1.3 0.0.0.0 在特殊時段可以訪問PC-E</p><p>  將一些常用病毒入侵的端口禁用,防止病毒入侵</p><p>  [RD-acl-3005]rule deny udp source any destination any destination-port eq 135

110、</p><p>  [RD-acl-3005]rule deny udp source any destination any destination-port eq 137</p><p>  [RD-acl-3005]rule deny udp source any destination any destination-port eq 138</p><p>

111、;  [RD-acl-3005]rule deny udp source any destination any destination-port eq 445</p><p>  [RD-acl-3005]rule deny udp source any destination any destination-port eq 1434</p><p>  [RD-acl-3005]rul

112、e deny tcp source any destination any destination-port eq 135</p><p>  [RD-acl-3005]rule deny tcp source any destination any destination-port eq 137</p><p>  [RD-acl-3005]rule deny tcp source an

113、y destination any destination-port eq 139</p><p>  [RD-acl-3005]rule deny tcp source any destination any destination-port eq 445</p><p>  [RD-acl-3005]rule deny tcp source any destination any de

114、stination-port eq 4444</p><p>  [RD-acl-3005]rule deny tcp source any destination any destination-port eq 5554</p><p>  [RD-acl-3005]rule deny tcp source any destination any destination-port eq

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論