HC110310003-HCNA-Security-CBSN-第三章-防火墙包过滤技术V1.0
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 11
基本访问控制列表的配置
在系统视图下:
acl [ number ] acl-number [ vpn-instance vpn-instance-name ]
创建基本ACL,并进入ACL视图 应用基本ACL,并进入接口视图
怎样利用 IP 地址 和 反掩码wildcard-mask 来表示
Page 5
访问控制列表原理
步骤1: 入数据流经过防火墙
入数据流
访问控制列表
允许A后续操作 拒绝B后续操作
默认策略操作
BBAABBBAAAAAA AAAA
步骤2: 查找访问控制列表 判断是否允许下一步操作
步骤3: 防火墙根据访问控制列表定 义规则对数据包进行处理
出数据流
访问控制列表作用:
根据定义的规则对经过防火墙的流量进行筛选,由关键字确定筛选出的流量 如何下一步操作。
IP报头
TCP/UDP报头
数据
协议号 源地址 目的地址
协议号 源地址 目的地址
源端口 目的端口
对于TCP/UDP来说,这5个元素 组成了一个TCP/UDP相关,访 问控制列表就是利用这些元素
定义的规则
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
daily off-day Working-day
意义
From 某时间 To某时间 From 某日期 To某日期 星期一/二/三/四/五/六/日
一星期中的每天 休息日(星期六/日) 工作日(星期一 至 星期五)
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
理解访问控制列表原理 了解访问控制列表作用及分类 掌握接口包过滤应用场景及配置方法 掌握域间包过滤应用场景及配置方法
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 2
目录
1. 访问控制列表介绍
2. 接口包过滤技术 3. 域间包过滤技术 4. 包过滤应用分析
Copyright © 2010 Huawei Technologies Co., Ltd录
1. 访问控制列表介绍
2. 接口包过滤技术
3. 域间包过滤技术 4. 包过滤应用分析
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 15
高级访问控制列表
高级访问控制列表使用除源地址外更多的信息描述数据包, 表明是否进行下一步操作。
从202.110.10.0/24来的,到 179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!
基于状态检测防火墙 主要检测哪些信息?
防火墙
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
小于端口号portnumber 不等于端口号portnumber 介于端口号portnumber1 和
portnumber2之间
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 18
地址集与服务集的作用
Address-set地址集
Page 10
基本访问控制列表
基本访问控制列表只使用源地址描述数据,表明是否进行下 一步操作。
从202.110.10.0/24来的数 据包可以通过!
从192.110.10.0/24来的数 据包不能通过!
防火墙
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 6
包过滤分类
接口包过滤
Outbount Inbount
G0/0/0
G0/0/1
域间包过滤
Trust区域
Outbount Untrust区域
Inbount
内部网络
Internet
办事处
公司总部
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
未授权用户
Page 4
访问控制列表是什么
TCP/IP数据包如下图所示(图中IP所承载的上层协议为 TCP/UDP)
MAC报头
Service-set端口集
ip address-set guest type object address 0 192.168.12.0 0.0.0.15 address 1 192.168.15.0 0.0.0.63 address 2 192.168.30.0 0.0.0.127
ip address-set ERP type object address 0 10.10.0.0 0.0.0.127 address 1 10.16.15.0 0.0.0.255 address 2 10.100.10.0 0.0.0.255
rule permit ip source 192.168.11.0 0.0.0.255 time-range work-policy1 rule permit ip source 192.168.12.0 0.0.0.255 time-range work-policy2
服务器组
防火墙 Untrust
应用高级ACL,并进入接口视图
firewall packet-filter acl-number {inbound | outbound}
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 17
高级访问控制列表端口号操作符的含义
Page 9
访问控制列表分类
利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类
列表的种类 基本ACL 高级ACL 基于MAC地址ACL 硬件包过滤ACL
数字标识的范围 2000-2999 3000-3999 4000-4999 9000-9499
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 8
接口包过滤技术简述
应用接口
过滤对象
普通接口
IP报文 以太网帧
特殊接口卡接口 IP报文和以太网帧
包过滤方式 接口包过滤 基于MAC地址包过滤 硬件包过滤
应用于接口未加入安全区域场景
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 3
IP包过滤技术介绍
对防火墙需要转发的数据包,先获取包头信息,然后和设定 的规则进行比较,根据比较的结果对数据包进行转发或者丢 弃。而实现包过滤的核心技术是访问控制列表。
Page 13
基于时间段访问控制列表
DMZ
172.16. 0.0/16
time-range work-policy1 08:00 to 18:00 working-day time-range work-policy2 from 08:00 2009/01/01 to 18:00 2009/12/31
firewall packet-filter acl-number {inbound | outbound}
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
Page 12
如何使用反掩码
反掩码和子网掩码格式相似,但取值含义不同
Trust
192.168.12.0/24
2009/07/15 14:15
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
192.168.11.0/24
Page 14
时间范围操作符的含义
操作符及语法
HH:MM YYYY/MM/DD Mon/Tue/Wed/Thu/Fri/Sat/Sun
0表示对应的IP地址位需要比较
0.255.0.255反掩码有何作用?
1表示对应的IP地址位忽略比较
反掩码和IP地址结合使用,可以描述一个地址范围
0
0
0
255
只比较前24位
0
0
3
255
只比较前22位
0 255
255
255
只比较前8位
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
操作符及语法
equal portnumber greater-than portnumber
less-than portnumber not-equal portnumber
range portnumber1 portnumber2
意义
等于端口号 portnumber 大于端口号portnumber
ip service-set ERP type object service protocol tcp destination-port 21 service protocol tcp destination-port 80 service protocol tcp destination-port 1521 service protocol tcp destination-port 8443
一个网段?
rule [ rule-id ] { permit | deny } [ source { source-address source-wildcard | any | address-set address-set-name } | time-range time-name | logging ]
HC110310003-HCNASecurity-CBSN-第三章-防
火墙包过滤技术V1.0
第三章 防火墙包过滤技术
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved.
目标
学完本课程后,您将能够:
ip service-set Internet type object service protocol tcp destination-port 80 service protocol tcp destination-port 8080 service protocol tcp destination-port 8443 service protocol udp destination-port 53
Page 16
高级访问控制列表的配置命令
在系统视图下:
acl [ number ] acl-number [ vpn-instance vpn-instance-name ]
创建高级ACL,并进入ACL视图
rule [ rule-id ] { deny | permit } protocol [ destination { destination-address destination-wildcard | any | address-set address-set-name } | destination-port { operator port1 [ port2 ] | port-set port-set-name } | precedence precedence | source { source-address source-wildcard | any | address-set address-set-name } | source-port { operator port1 [ port2 ] | port-set port-set-name } | time-range time-name | tos tos | icmp-type icmp-type icmp-code | logging ]